Les solutions analytiques « Big Data » face aux solutions traditionnelles pour combattre le cybercrime


Rédigé par Jacques Hoeusler, Teradata International le 27 Octobre 2016

Il est difficile de dire ce qui est le plus surprenant : le nombre considérable de cyber-attaques réussies dans le monde, le coût exorbitant de ces cyberattaques (estimé à près de 500 milliards d'Euros par an selon de nombreux experts), ou bien le fait que personne ne semble réellement être en mesure de les contrecarrer efficacement avec les moyens traditionnels d'avant le 'Big Data'.



Dans le cadre de l'Union Européenne, un projet de directive du Parlement et du Conseil Européens vient d'être adoptée). Il concerne des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union qui imposerait un niveau de sécurité minimum pour les technologies, les réseaux et les services numériques dans l'ensemble des États membres. Le texte propose également d'obliger certaines entreprises et organisations à signaler les incidents de sécurité informatique majeurs dont elles sont victimes. La stratégie de cybersécurité de l'Union définit l'approche adoptée par l'UE pour prévenir au mieux les perturbations et les attaques informatiques et y apporter une réponse. Elle passe en revue une série d'actions visant à augmenter la cyber‑résilience des systèmes informatiques, à réduire la cybercriminalité et à renforcer la politique de l'UE en matière de cybersécurité et de cyberdéfense à l'échelle internationale, pour protéger le cyberespace, dans les domaines tant civils que militaires.

Il est temps : les pirates informatiques savent depuis longtemps qu'il existe un marché noir florissant pour les données volées. De fait, plus de 100 000 cyberattaques sont perpétrées chaque jour comme des fraudes bancaires ou encore le piratage de sites des gouvernements comme ce fut le cas en 2011 pour le Ministère de l'économie et des Finances .

Pire, les défenses traditionnelles s'avèrent de plus en plus inopérantes, et les victimes de ces attaques sont typiquement dans un mode réactif - et souvent bien trop tardif - par manque de moyens adaptés. Pour passer à un mode beaucoup plus préventif, et donc prendre de l'avance par rapport aux hackers, ou au pire pouvoir réagir beaucoup plus vite lorsqu'une attaque se produit, la meilleure solution aujourd'hui est l'utilisation des fameux « Big Data » et de puissantes applications analytiques associées. Ceci dit, les technologies de sécurité traditionnelles, de type anti-virus, anti-malware, anti-DoS (Denial of Service), anti-DDoS (Distributed Denial of Service), etc..., sont clairement, dans le cadre de la mise en œuvre de solutions de Big Data, à conserver, car il y a une réelle complémentarité entre elles.

Les principaux défis auxquels les entreprises se trouvent couramment confrontées en matière de lutte contre la cybercriminalité sont majoritairement les suivants :
- L'accélération à un rythme soutenu des cyberattaques, et l'incapacité des systèmes et processus en place à en suivre le rythme, et, à plus forte raison, à les prévenir,
- L'incapacité à analyser en temps réel ou quasi-réel des volumes massifs de données multi-structurées ou non-structurées,
- L'incapacité à traiter des données de la plus fine granularité, et dans leur entièreté, sans agrégation, sans échantillonnage, ce qui limite grandement les capacités d'analyse et de réaction,
- Des temps de réaction trop longs à partir du moment où sont détectés des évènements suspects,
- La capacité des hackers à trouver en permanence de nouveaux moyens d'envahir les réseaux de communication, obligeant les entreprises à dépenser des sommes considérables en systèmes de sécurité.

En conséquence, les objectifs que se fixent les entreprises sont clairement de :
- Mettre en place des solutions offrant des capacités en temps réel ou quasi-réel d'analyses non-limitées de tout le détail du trafic réseau, et de corrélation d'évènements de toutes natures,
- Réduire les temps de réponse aux évènements réseau suspects,
- Améliorer l'efficacité des contrôles et des audits,
- Analyser et évaluer les trafics réseau entrants et sortants : en répondant en temps réel ou quasi-réel aux questions : quoi, qui, quand, comment ?
- Mettre en place une capacité de prédiction de risques potentiels, et d'actions proactives de prévention.

Jacques Hoeusler - Consultant Principal, Teradata International
Les solutions de Big Data qui s'imposent donc désormais, en complément des solutions traditionnelles, pour atteindre ces objectifs, s'intéressent de manière privilégiée aux modifications non-immédiatement évidentes de comportements ou de tendances. Même petites et apparemment localisées, de telles modifications peuvent laisser deviner de gros problèmes. La plupart des technologies traditionnelles de sécurité ne sont pas armées pour détecter de telles modifications : elles sont conçues pour minimiser les effets de tel ou tel type d'attaque. Malheureusement, les pirates informatiques ne vivent pas dans le passé; bien au contraire, ils sont à la pointe de la technologie, et font souvent preuve de capacités d'innovation malheureusement très remarquables. Et lorsque l'on examine en détail les actuelles solutions antivirus, anti-malware ou anti DoS/DDoS par exemple, on se rend compte qu'aucune de ces technologies n'a de réelles capacités d'apprentissage, d'adaptation, et de prise en compte de multiples sources de données très volumineuses et très variées, tant structurées, semi-structurées que non-structurées (le fameux Big Data) pour pouvoir réellement contrecarrer des attaques sophistiquées.

Un enjeu majeur pour la cybersécurité est, encore davantage que dans les autres domaines du Big Data, de pouvoir détecter et qualifier en temps quasi-réel des évènements anormaux pouvant ne représenter que quelque chose comme 0,1% noyés au milieu de 99,9% de trafic réseau parfaitement normal (ces 99,9% étant qualifiés de 'bruit' au regard des 0,1% de 'signaux' utiles à identifier). En d'autres termes, il s'agit fondamentalement de construire un environnement unique, complet et faisant autorité pour transformer, en quasi-temps réel et au moyen de solutions analytiques très puissantes, des quantités énormes de données en informations-clés relevant de la cybersécurité. Cet environnement permettra de réagir également en temps quasi-réel, de prévenir des attaques programmées mais non-encore exécutées, et ceci non pas d'une manière isolée ou sur la base d'échantillonnages ou d'agrégation de données, mais toujours avec une vision d'entreprise intégrée et globale, et avec l'intégralité des données de détail.

Toutes les enquêtes menées sur le sujet confirment que les solutions traditionnelles non-Big Data (c'est-à-dire en silos, partielles, n'utilisant que des échantillons et des agrégations) sont de plus en plus inopérantes pour contrer des attaques de plus en plus sophistiquées, et encore plus inadaptées lorsqu'il s'agit de prévention. L'accroissement de ces faiblesses est renforcé par l'interconnexion sans cesse croissante entre les réseaux et par la disparition également croissante des frontières entre réseaux du fait de la généralisation des connexions à distance, notamment via toutes sortes de réseaux mobiles plus ou moins sécurisés : ceci entraîne qu'il est de plus en plus difficile d'avoir une vision précise de l'activité sur les réseaux, et que les sources potentielles de faiblesses sur les réseaux exploitables par des individus mal intentionnés ne cesse de croître. Autant dire que vu l'impact économique très important et croissant des attaques - des études l'évaluent à plus 500 milliards d'Euros - la question n'est plus vraiment de savoir s'il est opportun de se doter de solutions analytiques Big Data, elle est de savoir quels sont les délais les plus courts pour le faire.

Jacques Hoeusler est Consultant Principal chez Teradata International.
Diplomé de l'Ecole Nationale Supérieure des Mines, et l'Université La Sorbonne, Jacques possède un diplôme d'ingénieur Civil. Spécialiste des questions big data, il a démarré sa carrière chez Capgemini pour intégrer AT&T puis Teradata en 2007. Il possède une grande expertise des environnements IT dans l'industrie des télécommunication et réseaux.



Dans la même rubrique :