Analytique 2018-02-08T13:46:00+00:00

Accueil » Recherche » Analytique

ANALYTIQUE

Une meilleure détection grâce aux « Big Data » et aux technologies de statistiques avancées

Quel que soit le théâtre des opérations, une connaissance précise de la carte ainsi qu’une bonne analyse tactique peuvent s’avérer décisives bien avant de livrer bataille. Un adage qui se vérifie aussi dans les domaines de la cyberguerre et de la guerre économique où les outils de détection des intrusions sont révolutionnés par le « Big Data » et la statistique avancée.

Depuis un peu plus de 30 ans, les systèmes de détection d’intrusion (ou IDS pour Intrusion Detection System) permettent de repérer les activités anormales ou suspectes sur un réseau ou une cible donnée. Les tentatives réussies comme les échecs ! Actuellement, les technologies de détection des intrusions utilisées combinent deux types de matériels. D’abord des sondes de bas niveau qui permettent d’analyser des données en utilisant des approches comportementales ou par reconnaissance de signatures d’attaques. Et ensuite, des outils de corrélation des événements remontés par les sondes de bas niveau (ou SIEM pour Security Information and Event Management). Néanmoins, ces outils demeurent imparfaits. Ils présentent en effet un certain nombre de limites : la génération d’un grand nombre d’alertes ; l’insuffisance des fonctions de corrélation, notamment, dans le cas d’alertes « hétérogènes » ; le diagnostic incomplet et imprécis qui nécessite des interventions fréquentes des administrateurs ; le problème des faux positifs, c’est-à-dire de génération de fausses alertes ; ou encore, le problème des faux négatifs, c’est-à-dire d’attaques non détectées, à l’instar des vulnérabilités Zeroday. Autrement dit, les nouvelles vulnérabilités émergentes : celles n’ayant fait l’objet d’aucune publication et surtout n’ayant aucun correctif connu. Et que l’on découvre en permanence !

 

Une nécessité pour les Systèmes de Contrôle Industriel

Pour dépasser ces limites – et surtout pour fiabiliser le diagnostic et la remontée d’informations effectués par les technologies de détection d’intrusion actuelles – de nouvelles approches ont été développées. Ces dernières reposent sur l’utilisation et la combinaison des technologies de Big Data (mégadonnées ou données massives) et des technologies de statistiques avancées. Elles poursuivent un objectif clair : rechercher et identifier les menaces nouvelles dans des volumes de données de plus en plus importants. Au final, ces nouvelles techniques permettent à la fois d’améliorer les techniques de détection (à base d’analyse comportementale) et de développer des capacités de détection de nouvelles menaces. La Chaire Cyber CNI expérimente le déploiement de ce type de réponse dans le contexte des Systèmes de Contrôle Industriel (ICS). En effet, la standardisation grandissante de ces systèmes ainsi que leur connexion – et donc leur ouverture – vers Internet les rendent plus que jamais vulnérables aux cyberattaques. STuxnet, Flame ou Duqu… Les exemples ne manquent pas. Les travaux de la Chaire Cyber CNI s’intéressent donc, plus particulièrement, aux attaques ciblant notamment les ICS, autrement dit les attaques, par exemple par injection, dont l’objectif consiste à faire dévier le système industriel de son comportement normal.