Darktrace est une société de cyberdéfense britannique, fondée en 2013 par des mathématiciens de l’Université de Cambridge. DataSecurityBreach.fr va vous proposer  de découvrir une nouvelle catégorie de technologie, appelée « Enterprise Immune System ». Elle permet aux entreprises de se défendre contre les cybermenaces avancées d’aujourd’hui, de façon proactive. Son socle technologique est basé sur des avancées récentes dans le domaine des mathématiques probabilistes et de l’apprentissage automatique. Découverte de Darktrace !

DataSecurityBreach.fr :  Qu’est-ce qu’un « système immunitaire d’entreprise » ?
DarkTrace : Le « système immunitaire d’entreprise » est une nouvelle approche de cyberdéfense, qui prend comme point de départ l’inévitable infiltration des réseaux d’entreprise. De la même façon que le corps humain est constamment attaqué par des bactéries et des virus, les entreprises sont également exposées à une gamme de menaces complexes qui ne sont pas prévisibles à l’avance. Le système immunitaire du corps humain nous permet de gérer ces attaques constantes tout en apprenant ce qui fait partie de « nous-mêmes » et ainsi en repérant ce qui est « anormal » en mode adaptatif. Cette capacité d’auto-apprentissage est aussi primordiale pour les stratégies de cyberdéfense d’avenir, permettant ainsi aux entreprises de détecter, en temps réel, des menaces potentielles à l’intérieur de leur système et de les stopper avant qu’elles ne deviennent des incidents nuisibles.

DataSecurityBreach.fr :  Cela fonctionne comment ?
DT : Le « système immunitaire d’entreprise » s’inspire du corps humain qui a la même capacité de repérer des éléments étrangers qui pourraient représenter une menace  mais aussi de « se connaître » et de « s’apprendre » de manière évolutive. La technologie « Enterprise Immune System » repose sur des mathématiques et des techniques d’apprentissage automatique très pointues qui analysent en temps réel les comportements de chaque machine, chaque individu et de l’entreprise dans sa globalité, tout en s’adaptant dynamiquement à leur évolution. Avec ces modèles probabilistes, le système immunitaire d’entreprise établit une compréhension de la « normalité » (pattern of life) qui change constamment selon les activités de l’entreprise, des utilisateurs et des machines. Ce système est capable de repérer les comportements anormaux, au fur et à mesure que ceux-ci apparaissent.

DataSecurityBreach.fr :  Identifier une menace qui n’existe pas encore publiquement (0day) demande de connaître cette menace, Darktrace fait comment pour y arriver ?
DT : Il est impossible de prédire chaque menace à l’avance. Nous faisons face à de plus en plus attaques ciblées, menées par des personnes compétentes qui savent se cacher dans le bruit d’un réseau. Il y a aussi la menace interne, provenant des employés, qui est souvent sous-estimée, car elle est très difficile à détecter. Darktrace fait des calculs probabilistes selon des évidences informatiques changeantes, corrélant des traces d’activité faibles pour établir une vue d’ensemble de normalité et anormalité. Ce processus se passe en temps réel, ce qui nous donne la meilleure opportunité de détecter de vraies menaces qui n’ont pas encore été identifiées.

DataSecurityBreach.fr :  Achetez-vous des 0day pour être capable d’agir en amont ?
DT : Non. Toute la valeur de l’approche du « système immunitaire »’ repose sur l’auto-apprentissage de la plateforme Darktrace, qui n’a pas besoin de connaissances « a priori » sur les menaces déjà existantes ou des règles prédéfinies.

DataSecurityBreach.fr :  Qu’est-ce qu’une activité anormale dans une entreprise ?
DT : Une activité anormale peut être n’importe quelle action ou comportement qui sort du tissu de vie « normal » pour l’entreprise dans sa globalité, une machine ou une personne, ou bien l’ensemble de ces trois éléments. Darktrace prend en compte la mesure de 300 dimensions d’activité pour avoir une visibilité très riche de ce qui se passe à l’intérieur de l’entreprise – par exemple, l’heure normale de connexion au réseau par un employé le matin, les dossiers qu’il utilise souvent, le volume de données envoyées et ses destinations. – etc. Chaque entreprise est différente, alors Darktrace apprend la ‘normalité’ pour chaque client de manière évolutive.

DataSecurityBreach.fr : Les mathématiques (Recursive Bayesian Estimation) seraient-elle plus forte que les pirates/les malveillants/… ?
DT : Les mathématiques probabilistes, y compris le « Recursive Bayesian Estimation », représente une innovation fondamentale dans ce domaine qui aident les organisations de reprendre l’avantage sur l’attaqueur ou des menaces potentielles. Grace à sa vision globale de l’entreprise digitale, Darktrace permet aux organisations de voir – pour la première fois – la topologie de leurs systèmes d’informations en temps réel. Fort de cette surveillance probabiliste, le défendeur est capable d’anticiper les signes de compromission subtils, avant que les malveillants et les attaqueurs aient l’opportunité de voler des informations ou de nuire à l’organisation.

DataSecurityBreach.fr :  Travailler sur le comportement (le soi) de ses employés pour en extraire des comportements « illicites », n’est-ce pas un problème d’un cyber espionnage en entreprise, à l’insu des employés ?
DT : Non ce n’est pas un problème, Darktrace ne lit pas le contenu des données qu’elle analyse, et la consommation de ces données est passive. Nos modèles mathématiques détectent les anomalies automatiquement, et n’alertent l’opérateur de sécurité qu’en cas d’anomalie suspecte.

DataSecurityBreach.fr : Darktrace est capable de gérer ses menaces « inconnues » aujourd’hui, mais certains peuvent agir/se lancer demain, comment gérer le risque de faux positif ?
DT : Les menaces présentes et futures sont traitées de la même façon par Darktrace. Les attaques sont identifiées avant qu’elles lancent de manière définitive de façon proactive. La puissance des modèles mathématiques probabilistes de Darktrace est telle que le nombre de faux positifs typique est radicalement réduit. Il est impossible d’adresser chaque violation de politique ou problème potentiel. Mais comme les probabilités se mettent en œuvre dès l’installation, tout comme l’apprentissage du système qui se construit en temps réel, tout en étant auto-apprenant, cela permet d’éviter les faux positifs et rend l’utilisation de Darktrace unique et extrêmement efficace. Par définition l’utilisation de Darktrace permet d’anticiper les potentialités malveillantes qui n’ont jamais été rencontrées. Grâce à son modèle comportemental, le « système immunitaire d’entreprise » est capable non pas de prédire, mais de se prémunir d’attaque jamais rencontrée auparavant.