Philippe Fauchay (RSA) : Le Big Data pour « se protéger de menaces que l’on ne connait pas »

RSA a annoncé Security Analytics, une nouvelle plateforme d’analyse des menaces de sécurité, que nous a présenté Philippe Fauchay, le directeur de RSA France.

Silicon.fr : Les annonces de projets de plateformes de sécurité s’appuyant sur les technologies de Big Data se multiplient. Qu’en est-il de Security Analytics ?

Philippe Fauchay : RSA Security Analytics sur une plateforme de monitoring de la sécurité qui combine l’analyse des logs et l’analyse réseau sous l’angle sécurité, avec des fonctions forensic.

Le contexte Big Data et analytique permet, au travers des flux réseau, de capturer, stocker et faire l’analyse des menaces potentielles externes et internes à l’entreprise.

Et de lancer les alertes de sécurité. RSA a ajouté à la capture des flux réseau la capacité de reconstituer ladite capture afin d’en analyser le contenu. Quelles que soient les alertes, nous pouvons investiguer dans un même outil toutes les traces archivées.

Silicon.fr : Qu’apporte le Big Data à la sécurité des réseaux ?

Nos clients vivent dans un état de compromission : le malware est déjà présent dans leur réseau ! Ils doivent être capables d’avoir une visibilité énorme du contexte où se produit la menace, des adresses IP, et de la performance.

Et pour cela, ils doivent collecter de plus en plus d’informations. En ajoutant la sécurité au réseau, nos clients risquent d’exploser le volume, jusqu’à plusieurs téra. De plus, ils ont besoin d’outils pour collecter et analyser en heures et en minutes, et donc de capacités à les traiter.

Voilà pourquoi la sécurité est devenue un problème de Big Data. Et le pourquoi de notre acquisition de la technologie NetWitness.

Silicon.fr : Votre solution est-elle ‘cloud’ ?

Il y a plusieurs typologies de clients et de contraintes de sécurité. Certains clients, par exemple, ne veulent pas que leurs traces sortent de leur réseau. Comment gérer la sécurité ? En interne ? Ou avec une solution de support externalisée, car on ne sait pas la gérer ? La tendance est à l’externalisation.

De plus, des outils de sécurité comme Security Analytics nécessitent un niveau de compétence supérieur à ce qu’il était demandé auparavant, ce qui nécessite d’externaliser l’analyse. En France, 15% à 20% des grandes entreprises pratiquent l’externalisation, elles seront 30% l’année prochaine.

Silicon.fr : Combien de temps conservez-vous les données ?

Les données récentes sont conservées deux semaines pour l’analyse en temps réel. Les paquets réseau sont conservés un mois, les logs un an. Le datawarehouse permet de stocker les données, qui sont compressées.

Il s’agit plutôt pour l’entreprise de suivre une politique de conservation, en séparant la donnée et la métadonnées, la première pouvant par exemple être conservée un mois et la seconde un an. C’est souvent plus une question de stockage que de capacité d’analyse…

Silicon.fr : Quelles sont les technologies sous-jacentes à Security Analytics, en particulier sur le Big Data ?

Notre plateforme est composée d’un moteur temps réel, NetWitness, et d’un datawarehouse avec Hadoop et Greenplum. Avec EMC, RSA a pris de l’avance, nous avons pu aller très vite et être très évolutifs.

Nos appliances peuvent être virtuelles, mais nous préférons privilégier les appliances physiques. (Pour plus d’informations sur la plateforme, lire notre article « RSA fait face aux menaces de sécurité avec du Big Data »)

Silicon.fr : Et chez le client ?

Le client dispose d’une console unifiée, en HTML5, avec les alertes temps réel, des tableaux de bord et des indicateurs, et un outil d’analyse sur incident. Une API permet la gestion de l’incident remonté vers administration du datacenter.

Silicon.fr : Quelles sont vos ambitions avec votre nouvelle solution ?

Tout d’abord sur notre base installée, Security Analytics offre les capacités dont nos clients ont besoin. La solution va également nous permettre d’adresser de nouveaux clients à équiper avec des solutions stratégiques.

Elle est innovante, elle se démarque de la majorité de nos concurrents. Sur le Security Management, nous enregistrons une progression supérieure à 40% et nous pensons maintenir cette progression.

Pour le futur, la problématique est de se protéger de menaces que l’on ne connait pas… Face à elles, les signatures et les règles sont inopérantes. Et il est toujours plus facile d’outrepasser une règle.

C’est pourquoi nous devons aller vers des systèmes agiles et auto-apprenants. À nous de nous adapter aux menaces et d’agir en conséquence. En particulier avec des moteurs d’analyse intelligents.