Fervent adepte des usages des modèles de Machine Learning dans les SOC, ITrust confronte sa technologie au monde de la production, avec des résultats encourageants. Une étape indispensable dans la maturité de cette nouvelle approche de détection.
Editeur de l’offre SOC Reveelium, ITrust animait cette année sur les Assises de la sécurité un atelier consacré aux stratégies de détection autour de la matrice MITRE et le travail mené par les équipes R&D de l’éditeur autour du Machine Learning supervisé et non supervisé. L’IA est le cheval de bataille de Jean-Nicolas Piotrowski, le président d’ITrust, depuis plusieurs années maintenant, et la technologie sort des laboratoires pour se confronter aux réalités du terrain. « Nous avons clairement franchi une nouvelle étape dans la maturité des technologies d’IA appliquée à la cybersécurité. Nous passons de la théorie à l’épreuve de la production, des résultats en laboratoire à la réalité opérationnelle » explique Alexis Fianson, directeur des services chez ITrust. « Nous avons notamment été capables de détecter des activités anormales pour un de nos clients. S’il s’est avéré qu’il ne s’agissait pas d’une action malveillante, cette activité sortait totalement des méthodes de détection classiques et seule l’IA a pu la détecter. » ITrust compte poursuivre ses développements dans le domaine de l’UEBA (User and Entity Behavior Analytics) en menant des analyses comportementales au travers de différentes sources de logs. En outre, l’éditeur vient notamment de se rapprocher de 4Securitas, éditeur irlandais d’une solution d’EDR (Endpoint Detection and Response) baptisée ACSIA qui va venir renforcer son panel de solutions de protection et de sources de données pour son SOC.
L’IA doit nécessairement être entraînée sur l’environnement du client
Face aux promesses de l’IA dans la détection des attaques informatique les plus subtiles, Alexis Fianson prévient : « Détecter des comportements anormaux sur un site Web est aujourd’hui un modèle qui fonctionne bien. Cela demande une phase d’entraînement des modèles, mais aussi une phase de contextualisation à l’environnement de l’entreprise. Le discours de certains éditeurs qui présentent l’IA comme une solution clé en main fausse la perception de ce que peut faire réellement l’IA. Un modèle d’IA ne va pas détecter par défaut toutes les actions malveillantes, ne va pas tout détecter directement. »
L’IA progresse dans le monde des SOC et aujourd’hui beaucoup d’experts et de RSSI considèrent que ces algorithmes seront nécessaires à l’avenir afin de détecter des activités suspectes qui restent encore sous les radars des outils de détection traditionnels.
Alain Clapaud