Le Big Data au service de la cybersécurité Un marché logiciel encore immature

Technologie encore jeune, l'application du Big Data à la sécurité est encore immature. Les solutions évoluent rapidement et nécessitent de nombreuses briques additionnelles.

Il existe de très nombreuses plateformes SIEM sur le marché. Le cabinet Gartner classe Qradar d'IBM/Q1 Labs, HP ArcSight, Splunk, McAfee Enterprise Security Manager parmi les leaders de ce marché, avec RSA Security Analytics et NetIQ Sentil. Des solutions qui sont de plus en plus fréquemment interfacées avec des clusters Hadoop pour stocker et analyser les données. Des solutions extrêmement couteuses. A l'échelle d'une multinationale, un déploiement avoisine le million d'euros. 

Des solutions jeunes et encore peu matures

picwiz : une solution utilisée par bull sur le terrain du big data appliqué à la
Picwiz : une solution utilisée par Bull sur le terrain du Big Data appliqué à la sécurité. © Capture / Picwiz

En outre, Charles Ibrahim de Bull estime ces solutions encore peu matures. "Les performances et l'efficacité des SIEM restent très variables. Des outils comme Qradar d'IBM/Q1 Labs ou Security Analytics de RSA font partie des SIEM qui ont intégré cette fonctionnalité Big Data, avec des clusters Hadoop pour stocker des données. Les technologies Big Data ont repoussé ces limites qui existaient il y a une dizaine d'années, mais il reste d'importantes limites, notamment pour ce qui est du temps réel." Et Charles Ibrahim d'insister : "Ces solutions restent en phase de maturation. Elles nécessitent encore beaucoup d'ajustements au moment de leur mise en place chez le client, et elles évoluent encore beaucoup avec des mises à jour majeures tous les trois ou quatre mois. Ce sont des solutions qui sont encore jeunes."

Bull utilise D3js, le framework de visualisation du New York Times

Les SIEM doivent être souvent complétées de solutions additionnelles pour contrer les attaques de type APT. C'est notamment le cas dans le domaine de la visualisation des données. Sur ce terrain, Bull s'appuie notamment sur la solution Picwiz pour mener des investigations sur un gros volume de logs hors SIEM. "L'outil ne fait pas de la corrélation proprement dite, mais du tri. On peut ainsi identifier des individus consultant des sites frauduleux, des sites de pirates ou des sites d'hébergement de malwares sans qu'il soit facile de corréler les deux sites ensembles", commente Charles Ibrahim. Mais l'expert utilise aussi D3js, le framework de visualisation de données du New York Times, pour visualiser les données, mais aussi ELK (Elastic Search Kibana) et Logstash : des solutions particulièrement bien adaptées à la visualisation de très grands volumes de données.

Intégration / Big Data