Comment l’apprentissage automatique peut aider à résoudre le problème de sécurité informatique

Il y a moins de dix ans, la sagesse dominante était que chaque entreprise devait subir des transformations numériques pour dynamiser les opérations internes et améliorer les relations avec les clients. Ensuite, on leur a dit que les charges de travail dans le cloud étaient l’avenir et que les solutions informatiques élastiques leur permettaient de fonctionner de manière agile et plus rentable, en évoluant selon les besoins.

Alors que les transformations numériques et les migrations vers le cloud sont sans aucun doute des décisions intelligentes que toutes les organisations devraient prendre (et celles qui ne l’ont pas encore fait, que faites-vous !), les systèmes de sécurité destinés à protéger ces infrastructures informatiques n’ont pas été en mesure de suivre le rythme des menaces capables de les saper.

À mesure que les opérations commerciales internes deviennent de plus en plus numérisées, des cargaisons supplémentaires de données sont produites. Avec l’accumulation de données, les systèmes de sécurité informatique et cloud sont soumis à une pression accrue, car plus de données entraînent de plus grandes menaces de failles de sécurité.

Au début de 2022, un gang de cyber-extorsion connu sous le nom de Lapsus$ s’est lancé dans une frénésie de piratage, volant le code source et d’autres données précieuses d’entreprises de premier plan, notamment Nvidia, Samsung, Microsoft et Ubisoft. Les attaquants avaient à l’origine exploité les réseaux de l’entreprise à l’aide d’attaques de phishing, ce qui a compromis un sous-traitant, donnant aux pirates tout l’accès dont disposait le sous-traitant via Okta (un service d’identification et d’authentification). Le code source et d’autres fichiers ont ensuite été divulgués en ligne.

Cette attaque et de nombreuses autres violations de données ciblent des organisations de tous types, allant des grandes sociétés multinationales aux petites startups et aux entreprises en croissance. Malheureusement, dans la plupart des organisations, il y a tout simplement trop de points de données à localiser pour les ingénieurs en sécurité, ce qui signifie que les systèmes et méthodes actuels de protection d’un réseau sont fondamentalement défectueux.

De plus, les organisations sont souvent dépassées par les différents outils disponibles pour relever ces défis de sécurité. Trop d’outils signifie que les organisations investissent une quantité exorbitante de temps et d’énergie, sans parler des ressources dans la recherche, l’achat, puis l’intégration et l’exécution de ces outils. Cela met un stress supplémentaire sur les cadres et les équipes informatiques.

Avec autant de pièces mobiles, même les meilleurs ingénieurs en sécurité sont impuissants à tenter d’atténuer les vulnérabilités potentielles d’un réseau. La plupart des organisations n’ont tout simplement pas les ressources nécessaires pour investir dans la cybersécurité.

En conséquence, elles sont soumises à une épée à double tranchant : leurs opérations commerciales reposent sur les niveaux de sécurité les plus élevés, mais y parvenir a un coût que la plupart des organisations ne peuvent tout simplement pas se permettre.

Une nouvelle approche de la sécurité informatique est désespérément nécessaire pour protéger les données sensibles des entreprises et des organisations. L’approche standard actuelle comprend des systèmes basés sur des règles, généralement avec plusieurs outils pour couvrir toutes les bases. Cette pratique laisse les analystes de la sécurité perdre du temps à activer et désactiver des règles et à se connecter et se déconnecter de différents systèmes pour tenter d’établir ce qui est et ce qui n’est pas considéré comme une menace.

Solutions ML pour surmonter les défis de sécurité des organisations

La meilleure option pour les organisations confrontées à ces problèmes omniprésents consiste à tirer parti des algorithmes d’apprentissage automatique (ML). De cette façon, les algorithmes peuvent former un modèle basé sur les comportements, fournissant à toute entreprise ou organisation une infrastructure informatique sécurisée. Une plate-forme SaaS basée sur ML sur mesure qui fonctionne efficacement et en temps opportun doit être la priorité de toute organisation ou entreprise cherchant à réorganiser son infrastructure de sécurité.

Les plates-formes de protection des applications cloud natives (CNAPP), une solution de sécurité et de conformité, peuvent permettre aux équipes de sécurité informatique de déployer et d’exécuter des applications cloud natives sécurisées dans des environnements de cloud public automatisés. Les CNAPP peuvent appliquer des algorithmes ML sur des données basées sur le cloud pour découvrir des comptes avec des autorisations inhabituelles (l’un des chemins d’attaque les plus courants et non détectés) et découvrir les menaces potentielles, y compris les vulnérabilités de l’hôte et de l’open source.

ML peut également assembler de nombreux points de données anormaux pour créer des histoires riches de ce qui se passe dans un réseau donné, ce qui prendrait des jours ou des semaines à un analyste humain pour le découvrir.

Ces plates-formes tirent parti du ML via deux pratiques principales. La gestion de la posture de sécurité dans le cloud (CSPM) gère la sécurité de la plate-forme en surveillant et en fournissant un inventaire complet pour identifier tout écart par rapport aux objectifs de sécurité personnalisés et aux cadres standard.

La gestion des droits d’infrastructure cloud (CIEM) se concentre sur la sécurité des identités en comprenant tous les accès possibles aux données sensibles via chaque autorisation d’identité. De plus, les vulnérabilités de l’hôte et du conteneur sont également prises en compte, ce qui signifie qu’une urgence correcte peut être appliquée aux attaques en cours. Par exemple, un comportement anormal observé sur un hôte avec des vulnérabilités connues est beaucoup plus pressant que sur un hôte sans vulnérabilités connues.

Une autre option SaaS basée sur ML consiste à externaliser le centre des opérations de sécurité (SOC) et la fonction de gestion des incidents et des événements de sécurité (SIEM) à un tiers et à bénéficier de leur algorithme ML. Avec des analystes de sécurité dédiés enquêtant sur toutes les menaces, SaaS peut utiliser ML pour gérer les fonctions de sécurité critiques telles que la surveillance du réseau, la gestion des journaux, l’authentification unique (SSO) et les alertes de point de terminaison, ainsi que les passerelles d’accès.

Les plateformes SaaS ML offrent le moyen le plus efficace de couvrir toutes les bases de sécurité. En appliquant le ML à tous les comportements, les organisations peuvent se concentrer sur leurs objectifs commerciaux tandis que les algorithmes rassemblent tout le contexte et les informations nécessaires sur une plate-forme de sécurité unique.

S’appuyer sur des experts tiers

Exécuter les algorithmes ML complexes pour apprendre une ligne de base de ce qui est normal dans un réseau donné et évaluer les risques est un défi, même si une organisation dispose du personnel pour en faire une réalité. Pour la majorité des organisations, l’utilisation de plates-formes tierces qui ont déjà construit des algorithmes à former sur les données produit une infrastructure réseau plus évolutive et sécurisée, bien plus pratique et efficace que les options locales.

S’appuyer sur un tiers de confiance pour héberger une plateforme SaaS ML permet aux organisations de consacrer plus de temps aux besoins internes, tandis que les algorithmes étudient le comportement des réseaux pour fournir les niveaux de sécurité les plus élevés.

En matière de sécurité du réseau, s’appuyer sur un tiers de confiance n’est pas différent que d’engager un serrurier pour réparer les serrures de votre maison. La plupart d’entre nous ne savent pas comment fonctionnent les serrures de nos maisons, mais nous faisons confiance à un expert extérieur pour faire le travail. Le recours à des experts tiers pour exécuter des algorithmes ML offre aux entreprises et aux organisations la flexibilité et l’agilité dont elles ont besoin pour fonctionner dans l’environnement numérique d’aujourd’hui.

Maximiser cette nouvelle approche de la sécurité permet à tous les types d’organisations de surmonter leurs problèmes de données complexes sans avoir à se soucier des ressources et des outils nécessaires pour protéger leur réseau, offrant une tranquillité d’esprit inégalée.

Ganesh le Génial (Steven Puddephatt) est architecte technico-commercial chez GlobalDots.