Projets

Ellie Mae se tourne vers l'IA pour la détection autonome de menaces

Selim Aissi (Ellie Mae) : « la plus grande menace pour notre secteur et d’autres secteurs similaires reste les ransomwares ».

Spécialiste du traitement des demandes de prêts hypothécaires, Ellie Mae utilise la collecte d'informations sur les menaces, l'analyse prédictive et l'IA pour traquer proactivement les menaces persistantes avancées comme les ransomwares.

PublicitéDans le domaine de la sécurité de l'information, les malfaiteurs ont l'avantage : ils peuvent attaquer de manière proactive, tandis que la sécurité fonctionne généralement sur un modèle de défense réactif. Pour aller vers une approche plus proactive, certaines organisations ont adopté la détection avancée des menaces, une pratique de sécurité qui implique de passer au crible des données pour identifier les menaces persistantes avancées (APT) avant que les attaques ne surviennent. Des entreprises comme Ellie Mae, qui fournit une plateforme cloud traitant près de 44% des demandes de prêts hypothécaires aux Etats-Unis, ont poussé cette approche de détection des menaces un cran plus loin, en exploitant l'analyse prédictive pour déployer un système autonome de traque des menaces. « Par nature, la traque des menaces est très proactive », pointe Selim Aissi, vice-président senior et Chief Security Officer (CISO) chez Ellie Mae. « Vous n'attendez pas qu'une attaque survienne. Vous explorez, hiérarchisez et investiguez les menaces avant qu'une attaque ne se produise ou même avant qu'un malware ne soit connu. » Ellie Mae a débuté le développement de son projet « détection autonome des menaces pour les menaces avancées persistantes » il y a un peu plus de deux ans, afin de combattre des menaces comme les rançongiciels, que Selim Aissi qualifie de menace la plus existentielle et coûteuse pour toute entreprise. Ce projet a valu à Ellie Mae un CIO 100 Award dans la catégorie Excellence IT.

En décembre 2019, l'Emisoft Malware Lab a publié un état des lieux sur les ransomwares aux Etats-Unis, révélant que les USA avaient fait l'objet d'un « tir de barrage incessant et sans précédent en matière d'attaques par rançongiciels » en 2019, avec un surcoût potentiel de 7,5 milliards de dollars, incluant le coût des paiements de rançons, de récupération des données, des enquêtes judiciaires et des pertes de chiffre d'affaires. « La plus grande menace pour notre secteur et d'autres secteurs similaires reste les ransomwares », estime Selim Aissi. « L'impact d'un rançongiciel est dévastateur pour toute entreprise. Dans les entreprises au modèle SaaS, quand le service est interrompu pendant des jours ou des semaines, c'est un désastre. »

Cibler proactivement les ransomwares

Comme les technologies traditionnelles de protection contre les rançongiciels fournissent une protection statique, elles peinent à se maintenir à niveau face à des techniques de ransomwares nouvelles et sophistiquées selon Selim Aissi. La clef est d'apprendre de façon proactive à partir de précédentes attaques par ransomware pour identifier de nouveaux indicateurs de compromission et des techniques d'évasion avant que celles-ci ne soient utilisées. Le projet de détection autonome d'Ellie Mae fait précisément cela, exploitant la collecte d'informations, l'analyse prédictive, l'IA et ces indicateurs de compromission (IoC) précédemment identifiés pour enrichir les contrôles de sécurité existants.

PublicitéL'un des plus gros défis pour réussir un programme de détection des menaces avancées peut résider dans le volume total des données à traiter. Ellie Mae a commencé par traiter à la main les données relatives aux IoC puis alimenter les outils de sécurité avec ces informations. Mais une fois que cette base était en place, Selim Aissi et son équipe ont entrepris « une très franche transition vers l'automatisation », afin de permettre à l'organisation de réagir au bon moment. « Nous avons automatisé l'agrégation de données provenant de différentes sources, la validation ainsi que les alertes aux équipes de sécurité opérationnelles » détaille Selim Aissi. « Cela a été une étape majeure dans notre transition ».

Accompagner le changement auprès des équipes de sécurité

Autre grande étape : obtenir le soutien des équipes dirigeantes et des parties prenantes. Très tôt, Selim Aissi a rencontré l'équipe exécutive senior, le comité de direction, les régulateurs et les conseils exécutifs. « J'ai effectué beaucoup de validations de notre programme de détection des menaces au cours des trois dernières années », raconte Selim Aissi. « De nombreuses propositions s'y sont greffées. Nous suivons un plan et une feuille de route bien établis, et cela n'est pas terminé. »

Comme dans bien des gros projets de transformation, l'accompagnement au changement a également été un ingrédient essentiel. « Dans une perspective de gestion du changement, l'essentiel de l'impact concernait mes équipes de sécurité opérationnelle et d'ingénierie », souligne Selim Aissi. « Beaucoup de ces capacités reposaient traditionnellement sur des tâches manuelles, les analystes de sécurité devaient aller collecter l'information sur les menaces et l'intégrer manuellement dans les outils. Nous avons dû nous ajuster et former les analystes sécurité et les ingénieurs à cette façon autonome de faire les mêmes choses. » Pour Selim Aissi, l'accompagnement au changement était particulièrement important, car le programme de détection autonome des menaces n'est pas un sujet à part, il s'inscrit dans tout ce qu'effectue l'organisation de cybersécurité, y compris le programme de gestion des patchs et vulnérabilités. Conséquences positives, l'élimination des tâches de détection manuelle des menaces a libéré du temps pour les ingénieurs et analystes sécurité, leur permettant de faire d'autres tâches, et cela a aussi permis à l'équipe de supprimer plusieurs outils de sécurité uniquement capables de faire de la surveillance et de la détection statique.

Adopter une vision à long terme

Le projet a également demandé un haut niveau de collaboration transversale entre départements. L'équipe de sécurité a travaillé de façon rapprochée avec les équipes ingénierie, infrastructure, cloud et assurance qualité pour identifier tous les actifs sensibles pouvant être touchés par des ransomwares, ainsi que tous les protocoles réseau pouvant être exploités pour propager des malwares, indique Selim Aissi. Les équipes ont aussi collaboré pour réaliser des analyses d'impact sur les activités, afin d'évaluer l'impact potentiel d'un rançongiciel. La sécurité s'est également coordonnée avec le service juridique, la protection des données, des clients clefs et les régulateurs pour s'assurer que les fonctionnalités autonomes de la technologie respectaient les obligations légales et de protection de la vie privée.

Selim Aissi indique que le programme a accru l'efficacité de la sécurité opérationnelle de près de 35% et a amélioré d'un facteur 10 l'identification précoce des menaces. Il a également accéléré de 60% la vitesse de résolution des incidents impliquant de nouvelles menaces.

Selim Aissi conseille aux autres professionnels de la sécurité qui cherchent à démarrer un programme de détection des menaces d'adopter une vision stratégique à long terme. « La traque autonome des menaces n'est pas quelque chose que vous pouvez mettre sur pied en peu de temps », insiste Selim Aissi. « Cela demande beaucoup de planification, de ressources humaines et de formation aux outils, la définition de SLA clairs, des investissements, de l'intégration et de l'automatisation. » Il souligne aussi qu'il faut bâtir une solide capacité de collecte d'information sur les menaces avant de pouvoir se lancer dans la détection. Enfin, il préconise de s'assurer que l'ensemble des parties prenantes dans l'entreprise partagent la même vision du programme.

Article de Thor Olavsrud / CIO Etats-Unis (Adaptation et traduction par Aurélie Chandèze)