Comparatif des IA de cybersécurité : SentinelOne et Vectra au coude à coude
"AI inside". Il n'y a guère de solutions logicielles qui ne soient distribuées aujourd'hui sans ce coup de tampon. Le recours aux technologies d'intelligence artificielle garantirait, aux yeux du marché, des performances élevées. Le monde de la cybersécurité n'échappe pas à la règle et les éditeurs spécialisés communiquent désormais tous sur les apports du machine learning et du deep learning. Du discours marketing à la réalité terrain, il y a comme toujours un décalage. L'apport de l'IA se concentre avant tout dans la détection des menaces. "Elle permet d'identifier les signaux faibles qui caractérisent un comportement malicieux parmi un flot de données", observe Olivier Patole, associé EY Consulting expert en cybersécurité. "Dans le domaine de l'investigation, l'IA peut aussi assister les analystes en corrélant des informations issues de différentes sources. En revanche, les débuts en matière de réponse automatisée à un incident et de remédiation proactive restent frileux. A l'avenir, l'IA automatisera peut-être tout le cycle mais pour l'heure, nous n'y sommes clairement pas".
Pour Olivier Patole, l'adoption de ce type de solution répond à deux enjeux principaux. Il s'agit tout d'abord de réduire le délai de réaction en traitant à la volée de gros volumes d'informations. Mais aussi de répondre à la pénurie de compétences cyber en automatisant des tâches jusqu'alors manuelles. Ces plateformes adressent les besoins de protections toute type d'entreprise même si les tarifs affichés les prédestinent principalement aux grandes organisations. Pour le consultant, le choix de la plateforme dépend du contexte client, de son existant, de la qualité de la donnée exploitable. "L'entraînement des modèles à base de machine learning nécessitent des jeux de données volumineux", rappelle-t-il. Les éditeurs diffèrent aussi dans leur approche. "Darktrace s'appuie sur l'analyse statistique pour déceler un comportement inconnu jusqu'alors. Vectra AI part, lui, sur la détection de comportements malicieux sur la base de schémas d'attaque connus." Le fournisseur se réfère pour cela au framework Mitre Att&ck.
| SentinelOne | Darktrace | Deep Instinct | Vectra AI | |
|---|---|---|---|---|
| Année de création | 2013 | 2013 | 2015 | 2010 |
| Machine learning | X | X | X | |
| Deep learning | X | |||
| Intégration Mitre Att&ck | X | X | ||
| Règles de détection personnalisées | X | X | X | |
| Démonstration gratuite | X | X | X | X |
| Références clients | Aston Martin, Norwegian Airlines, FIMBank, TGI Fridays... | McLaren, Saniflo, Global Travel, eBay Classifieds, AeroVironment… | Seiko, T Systems, HP, Honeywell, Seneca… | EDAG, Greenhill, INDEVCO, Fenaco… |
| Tarification | Plateforme Singularity, de 6 à 12 dollars par agent et par mois | NC | NC | NC |
Dans tous les cas, Olivier Patole recommande de faire un test grandeur nature pour évaluer le delta entre les promesses de l'éditeur et les performances en situation réelle. Quelle est la capacité à détecter les incidents tout en limitant les faux positifs ? "Un travail de paramétrage important est parfois nécessaire pour réduire ce bruit", argue-t-il.
Se pose aussi la question de la souveraineté avec une offre majoritairement anglo-saxonne et israélienne. Pour Olivier Patole, il convient, dans ce contexte, d'avoir une assurance raisonnable que les algorithmes ne comportent pas de biais et soient suffisamment robustes. "Ils peuvent être analysés par des tiers privés. Des auditeurs certifieront que les algorithmes ne font que ce pour quoi ils ont été conçus", insiste-t-il.
Enfin, il y a un enjeu de pérennité pour des éditeurs qui affichent, dans ce comparatif, entre six et onze ans d'existence. En dépit des levées de fonds et des introductions en Bourse, un mouvement de consolidation pourrait s'opérer. Les acteurs historiques de la cybersécurité pourraient être tentés de rattraper leur retard sur le front de l'AI en rachetant des nouveaux entrants.
Darktrace, un système immunitaire autonome
Créée en 2013 à Cambridge au Royaume-Uni, Darktrace a été distingué en 2021 par le magazine Time comme l'une des "entreprises les plus influentes". Coté à la Bourse de Londres depuis avril 2020, l'éditeur emploie quelque 1 500 collaborateurs dans le monde et compte constructeur automobile Rolls-Royce ou le système de santé britannique NHS parmi ses références. Darktrace présente sa solution Enterprise Immune System comme "la première plateforme de cyberdéfense autonome au monde".
Reposant sur une approche statistique, le "système immunitaire auto-apprenant" de Darktrace protège contre les cybermenaces en se basant sur les modèles comportementaux "normaux" d'une entreprise. Toute modification dans ces schémas habituels est analysée et isolée pour prévenir une éventuelle attaque. Dévoilée en septembre 2020, la version 5 d'Enterprise Immune System étend le périmètre aux environnements cloud. Son module Darktrace Antigena agit en temps réel sur des services en mode SaaS, comme Microsoft 365 ou Zoom. L'objectif est aussi d'étendre la cyber-protection aux télétravailleurs, y compris s'ils ne sont pas connectés au VPN de l'entreprise.
En mai dernier, Darktrace a noué un partenariat avec Microsoft pour associer sa technologie de cyber IA autonome aux contrôles de sécurité internes du géant du numérique, s'intégrant notamment à Azure Sentinel. Autre solution de Darktrace, Antigena Email est, elle, hébergée sur Microsoft Azure. Elle fait appel au machine learning pour stopper les campagnes de phishing ciblées et les attaques par usurpation d'identité échappant au filtrage traditionnel des messageries.
SentinelOne, l'analyse des données temps réel
Créée en 2013, SentinelOne est une start-up de cybersécurité basée à Mountain View en Californie et disposant de bureaux à Boston et Tel Aviv. Elle a été fondée par d'anciens d'IBM, d'Intel, de Check Point, de McAfee, de Palo Alto Networks et des forces de défense israélienne. Après une série de levées de fonds dont l'une à hauteur de 267 millions de dollars en novembre 2020, SentinelOne s'est introduite à la Bourse de New York le 1er juin 2021. L'opération a permis de valoriser la société près de 9 milliards de dollars. Un record sur le front des IPO menées dans la cybersécurité. SentinelOne revendique quelque 4 700 entreprises utilisatrices dans 80 pays
Baptisée Singularity, sa plateforme de XDR (pour extended detection and response) fait appel à l'apprentissage machine pour identifier rapidement des comportements malveillants et assurer aux serveurs ou aux postes de travail une protection en temps réel contre les menaces avancées. Son IA comportementale sécurise aussi les conteneurs logiciels et les charges de travail dans le cloud ou encore les équipements IoT. La plateforme couvre aussi des services cloud tels que Okta, Netskope, ServiceNow, Splunk, Zendesk ou Slack.
L'été dernier, l'éditeur complétait son offre en annonçant Storyline Active Response (STAR), un moteur cloud dédié à la détection des menaces et la protection contre ces dernières. Il permet aux équipes des SOC de créer des règles personnalisées pour tout ou partie d'un réseau afin de déclencher des alertes et des contre-mesures automatisées. Objectif : réduire les délais de réponse aux attaques en éliminant certaines activités d'EDR (end point detection and response) manuelles.
SentinelOne a fait l'acquisition en février 2021 de Scalyr, une plateforme cloud conçue pour analyser en temps réel un grand volume de données issues de machines et d'applications. Objectif affiché : allier big data et XDR. Fondée par le créateur de Google Docs, Scalyr permet la création d'un data lake intégrant données internes à l'entreprise et des données issues de plateformes comme Microsoft Azure ou AWS. L'opération a été bouclée pour 155 millions de dollars.
Deep Instinct, la force du deep learning
Fondée en 2015 à Tel Aviv sous l'impulsion d'experts en cybersécurité israéliens et avec une représentation commerciale à New York, Deep Instinct s'appuie, comme son nom l'indique, sur les mécanismes du deep learning. L'apprentissage profond permet ici de travailler sur les données brutes elles-mêmes pour établir des corrélations. Cette approche aurait pour bénéfice, selon l'éditeur, de stopper des logiciels malveillants qui ne seraient pas jusqu'alors documentés (zero day) et de réduire fortement les faux positifs. Alors que sa solution est disponible depuis 2017, Deep Instinct revendique, comme faits d'armes, la découverte du cheval de Troie bancaire Trickbot et du ransomware Dharma. Sur son site, la société va plus loin en estimant pouvoir arrêter 100% des ransomwares.
Quoi qu'il en soit, Deep Instinct a séduit Nvidia qui a investi dans la société en juillet 2017 et HP qui s'appuie sur sa solution pour sécuriser ses PC portables professionnels via son offre Sure Sense. L'éditeur a aussi reçu le soutien de l'assureur Munich Re. Après avoir commencé à ouvrir des bureau sur le Vieux Continent fin 2020, l'éditeur a embauché l'ancien directeur EMEA de VMware, Rodolphe Moreno, pour développer l'Europe du Sud. En avril dernier, Deep Instinct a levé 100 millions de dollars en série D, doublant le financement obtenu à ce jour.
Vectra AI, une plus grande antériorité
Fondée en 2010 à New York sous le nom de TraceVector avant d'être rebaptisée Vectra Networks, Vectra a finalement accolé à sa marque le suffixe AI pour rappeler l'apport de l'intelligence artificielle dans la détection et la réponse aux menaces. Bien implanté en Europe et notamment en France, l'éditeur a ouvert, en 2018, un centre de R&D à Dublin (Irlande).
Baptisée Cognito, sa plateforme orientée APIs étend la surveillance aux charges de travail dans le cloud, aux datacenters et aux équipements IoT. Répondant à la norme SOC 2 Type 2, elle priorise les menaces en établissant des scores de criticité à destination des équipes de sécurité.
Vectra AI propose aussi plusieurs modules aditionnels. Cognito Detect, qui automatise la détection en temps réel, se décline en plusieurs versions pour AWS, Azure AD ou Office 365. Début novembre, la société annonçait, par ailleurs, la disponibilité de cette solution sur la marketplace de Microsoft Azure. Cognito Recall permet, lui, aux experts d'effectuer des recherches proactives sur les menaces et d'enquêter sur les incidents. Enfin, Cognito Stream fournit des métadonnées réseau et cloud pour alimenter un système de gestion des événements et des informations de sécurité (SIEM). En avril dernier, Vectra AI levait 130 millions de dollars, ce qui valorisait la société à 1,2 milliard de dollars.