IDPS-ESCAPE : monitorer ses risques cyber en toute intelligence (artificielle)
En voulant amener toutes les entités européennes considérées comme essentielles ou importantes pour le fonctionnement de ses États membres à un niveau de maturité élevé en matière de cybersécurité, la directive européenne NIS2 met de nombreuses organisations au défi du monitoring. Pour les accompagner dans leur mise en conformité, Arash Atashpendar, Cofounder & CTO, Agnese Gini, R&D Specialist, et Camar Houssein, Security Consultant chez itrust Abstractions Lab, dévoilent IDPS-ESCAPE, une solution open source boostée à l’intelligence artificielle disponible depuis le 1er septembre.
Un trio intelligent
itrust Abstractions Lab, spin-off d’itrust consulting, vient de publier la version alpha de l’un des six sous-projets de CyFORT, un projet de recherche développé en collaboration avec itrust consulting et visant à fournir des outils de cybersécurité aux licences permissives pour proposer des alternatives à « l’enfermement propriétaire de fournisseurs ». Baptisé IDPS-ESCAPE, pour « Intrusion Detection and Prevention Systems for Evading Supply Chain Attacks and Post-compromise Effects », il permet de répondre aux nouvelles exigences de la directive européenne NIS2 sur la sécurité des réseaux et des systèmes d’information. « Toutes les entités rendant des services considérés comme critiques ou hautement critiques pour le fonctionnement des États membres, qu’elles soient publiques ou privées, seront soumises à certaines obligations, parmi lesquelles le monitoring de leur infrastructure informatique. C’est ce que propose notre système de détection et de prévention d’intrusion », contextualise Arash Atashpendar.
ADBox repose sur une intelligence artificielle entraînée pour modéliser le comportement normal d’un système
IDPS-ESCAPE, développée selon C5-DEC2 et ses outils (version bêta publiée le 19 juillet), est une solution en trois composantes qui capte un flux d’informations et l’analyse au sein d’un système centralisé. Les logiciels open source Wazuh et Suricata collectent et monitorent les données provenant respectivement des ordinateurs et des réseaux. « Ces agents chargés d’observer tout ce qui tourne sur un ordinateur et tout ce qui y entre via le réseau vont saisir une importante quantité d’informations qu’ils vont centraliser. À eux seuls, ces outils génèrent souvent de fausses alertes. Les responsables IT doivent alors agir rapidement ; dans une urgence qui ne leur permet tout simplement pas d’analyser toutes les données collectées par le système. Parfois, ils sont contraints de mettre à l’arrêt toute l’infrastructure, et donc les services rendus par leur organisation, alors même que l’anomalie en question ne représente peut-être aucun risque. C’est la raison pour laquelle IDPS-ESCAPE contient un 3e composant de notre cru, ADBox, pour « Anomaly Detection Box », qui repose sur une intelligence artificielle entraînée pour modéliser le comportement normal d’un système. Cette IA détient, après quelques temps, une telle connaissance du système, tellement d’éléments de contexte pour affiner son modèle, qu’elle établit sa propre définition de ce qui constitue une déviation. La probabilité qu’elle remonte une fausse alerte est donc considérablement réduite. Tel un détective qui relève des empreintes sur une scène de crime, elle distingue celles des utilisateurs autorisés de celles des criminels. Si ces derniers ont déjà opéré, elle pourra éventuellement reconnaître leur mode opératoire et le genre d’attaque en cours pour qu’une réponse appropriée puisse y être apportée. L’automatisation permet non seulement un gain de temps considérable mais aussi d’importantes économies », explique Arash Atashpendar.
L’adaptabilité pour maître-mot
itrust Abstractions Lab intervient directement auprès de ses clients pour y implémenter son produit. « Nous prenons en charge tout le volet technique : nous paramétrons la solution de manière qu’elle s’adapte aux besoins du système en place, car chaque organisation compose, organise et utilise son environnement informatique différemment. Ensuite, nous accompagnons nos clients dans la prise en main de l’outil. Bien que nous utilisions Wazuh et Suricata par défaut – parce qu’ils sont open source et permettent de réduire drastiquement les coûts, nous ne sommes pas liés impérativement à ces technologies. Notre solution est assez souple pour intégrer tout type de logiciel. Notre objectif est de fournir une approche de gestion des incidents qui décharge les organisations d’une part importante de leurs obligations vis-à-vis de NIS2 afin qu’elles puissent se concentrer sur leur cœur de métier », déclare Camar Houssein.
L’avantage de l’open source
Si le projet est porté par des acteurs comme le ministère de l’Économie, c’est qu’il permet aux petites et moyennes entreprises de bénéficier d’outils aussi avancés que ceux proposés par les géants de la tech, mais à moindre coût. « En Europe, selon la Commission européenne et l’ENISA, 99% des entreprises sont des PME, parmi lesquelles plus de 80% considèrent la cybersécurité comme essentielle pour leurs activités. Pourtant, elles n’ont pas forcément les moyens d’Amazon, Microsoft ou Google à allouer au monitoring de leurs risques. Les initiatives européennes qui promeuvent des projets comme le nôtre visent à contrer le monopole de quelques-uns en offrant des produits que les plus petites entreprises n’ont ni les moyens ni le temps de réinventer. Le ministère nous a fourni des ressources grâce auxquelles nous avons développé une solution que toute entreprise peut utiliser, mais aussi corriger si elle dispose des compétences requises. Quiconque modifie IDPS-ESCAPE et en commercialise une version améliorée doit néanmoins respecter les termes de notre licence, à savoir en publier les codes. C’est en misant sur cette économie plus « durable » que peuvent se développer à faible coût des technologies aux capacités avancées », indique Arash Atashpendar.
Décharger les organisations d’une part importante de leurs obligations vis-à-vis de NIS2
Mais les logiciels à code source ouvert ne sont pas qu’économiquement avantageux. Ils sont également gage de transparence. Un système de détection et de prévention d’intrusion, par sa nature, capte toutes les données d’une organisation. Comment les traite-t-il ? Où les envoie-t-il ? Les réponses à ces questions sont connues dans le cas d’un logiciel open source. « Et si les développeurs peuvent parfois manquer de temps ou de ressources pour établir toute la documentation nécessaire, itrust Abstractions Lab a rédigé un manuel très complet qui explique comment utiliser l’outil et présente ses spécificités techniques de manière très détaillée », poursuit Agnese Gini.
D’alpha à bêta
Publié le 1er septembre, IDPS-ESCAPE fait ses premiers pas hors du « lab ». Une version plus stable, plus économe aussi, devrait voir le jour après quelques mois entre les mains des usagers. « En installant l’outil chez nos clients, nous reviendrons inévitablement vers notre département R&D avec des observations et remarques soulevées sur le terrain. Des éléments additionnels devront probablement être mis en place pour répondre aux besoins quotidiens de certaines organisations et aux éventuels manques identifiés. Cela nous permettra de stabiliser la solution mais aussi d’optimiser les algorithmes pour que le tout consomme moins de ressources », révèle Camar Houssein.
L’outil a également été conçu dans l’idée d’évoluer au rythme des développements de l’IA. « L’apprentissage automatique est une branche de l’intelligence artificielle qui se développe très rapidement. C’est la raison pour laquelle nous avons créé ADBox de manière que les nouvelles technologies en la matière puissent y être intégrées le plus simplement possible. Si un meilleur algorithme venait à émerger, nous pourrions y recourir sans même que l’utilisateur n’en ait conscience. Il en sera bien sûr informé d’une certaine manière puisque nos solutions sont open source, mais il n’aura pas à rectifier son utilisation de l’outil », conclut Agnese Gini.