Dans les articles précédents, nous avons examiné la menace individu sous différents angles et nous avons vu que la prévention de la menace individu implique les services de sécurité de l'information, les services juridiques et les services des ressources humaines (RH) d'une organisation. Dans ce billet, nous voulons examiner ce que les services de sécurité de l'information peuvent réellement faire pour détecter les menaces internes en cours, voire les prévenir avant qu'elles ne se produisent.
L'aiguille dans la botte de foin
Dans l'ensemble, les menaces sur individu ne représentent qu'une petite partie du comportement des employés. Et si seuls les incidents de type "cygne noir" sont connus du public, les incidents mineurs tels que le vol de propriété intellectuelle ou de listes de contacts de clients se traduiront par des coûts importants pour les organisations.
En outre, les initiés sont par défaut autorisés à se trouver à l'intérieur du réseau et se voient accorder l'accès aux ressources clés d'une organisation et en font usage. Étant donné le grand nombre de schémas d'accès visibles dans le réseau d'une organisation, comment savoir s'il s'agit d'un comportement négligent, nuisible ou malveillant ?
Les services informatiques réagissent généralement à la menace interne, quand ils le font, en mettant en place une surveillance et une journalisation approfondies. L'objectif est de pouvoir au moins procéder à une analyse judiciaire lorsqu'une menace se concrétise et cause des dommages, et d'apporter leur soutien au service juridique dans le cadre d'éventuelles enquêtes.
Il est évident qu'une telle approche ne permet en aucun cas de prévenir la menace. Des mises à jour récentes de solutions de surveillance telles que Sure View et des programmes de recherche du gouvernement américain ont commencé à adopter une approche plus proactive pour détecter une menace pendant qu'elle se produit, et même avant qu'elle ne se produise. Nous avons vu que la psychologie de individu est très complexe et que individu prend généralement des précautions pour échapper à la détection, alors comment une solution logicielle pourrait-elle identifier de manière fiable ce qui est une menace et ce qui ne l'est pas ?
La science des données… la nouvelle solution au menace interne ?
Le problème consistant à détecter une menace interne elle ne se concrétise est aussi difficile et complexe à résoudre que la prédiction du comportement humain lui-même. Quelle sera la prochaine action d'une personne ? Quelle action relèvera du cadre des tâches qui lui ont été confiées ? Quelle action indiquera que cette personne prépare une attaque ?
Les récentes avancées technologiques ont permis de réaliser des progrès significatifs dans la prédiction de ce qui était auparavant considéré comme imprévisible : le comportement humain. Malgré quelques échecs initiaux, des systèmes tels que Google Now, Siri ou Cortana visent à prédire les besoins des utilisateurs avant même qu'ils ne les connaissent.
Cela devient possible grâce aux grandes quantités de données comportementales qui ont été collectées et indexées, et les ressources informatiques disponibles pour l'analyse ont atteint une masse critique pour le déploiement de méthodes d'intelligence artificielle à grande échelle telles que la reconnaissance vocale, l'analyse d'images et l'apprentissage automatique. Cette nouvelle analyse prédictive de grandes quantités de données comportementales est désignée par le terme de science des données.
Cette approche est aujourd’hui appliquée à divers problèmes et domaines, et pourrait également s’appliquer au menace interne . Comme décrit plus haut, le comportement d’un initié est, par définition, autorisé au sein du réseau d’une organisation, et l’on ne dispose généralement pas d’informations suffisantes pour déterminer en temps réel ses intentions ou son état d’esprit. Cependant, à mesure que la quantité de données comportementales collectées augmente, de plus en plus d’indices pourraient être mis en évidence.
Une première approche en science des données consiste à identifier les indicateurs couramment reconnus du menace interne . Il peut s'agir de comportements autorisés, mais qui sont généralement associés à un employé ayant dévié de la norme. On peut citer par exemple les comportements d'exfiltration, tels que le téléchargement de données vers un compte Dropbox, l'utilisation intensive de clés USB ou un volume élevé de téléchargements à partir de serveurs internes. Ces indicateurs sont suffisamment précis pour détecter une attaque en cours, mais seuls certains types d'attaques peuvent être détectés de cette manière (ceux pour lesquels les indicateurs sont connus).
Afin de détecter les attaques futures - et inconnues - une deuxième approche consiste à se concentrer sur les anomalies dans le comportement observé. Une anomalie est quelque chose qui s'écarte de ce qui est standard, normal ou attendu.
Dans le domaine du comportement, une solution de science des données analysera les données comportementales et apprendra ce qui est normal. Un comportement "normal" peut se référer à la normalité en ce qui concerne toutes les variations de comportement observées, le comportement d'un individu au fil du temps ou même les comportements sociaux. Une fois qu'une base de normalité est établie, les valeurs aberrantes peuvent être identifiées.
Sachant que les menaces internes sont associées à des changements de comportement de l'individu en question, la détection des anomalies les révélera, même dans les premiers stades d'une menace. Toutefois, cette meilleure détection a un prix : un nombre plus élevé de faux positifs. Des changements de comportement anodins (dus par exemple à des changements de fonction ou d'équipe, ou à la reprise du travail après les vacances, etc.
Une troisième approche de la science des données (la plus avancée) consiste à générer des récits à partir des résultats des première et deuxième approches, c'est-à-dire à combiner les indicateurs et les anomalies pour générer une interprétation compréhensible du comportement qui se produit au sein d'une organisation. Cette dernière approche est manifestement difficile à mettre en œuvre car, à terme, elle impliquera la création d'une véritable intelligence artificielle. Mais nous nous en approchons...
Cet article a été publié à l'origine dans le cadre du IDG Contributor Network.