© DiSIEM, source: disiem-project.eu

Pour les sociétés du monde entier, la cybercriminalité reste une menace dominante. Selon HelpNetSecurity, 73 % des experts en sécurité des sociétés s’attendent à subir une faille de sécurité majeure sous un an. En réalité, selon IT Governance, rien qu’en juin 2020, les sociétés européennes ont connu pas moins de 92 incidents de sécurité, ce qui représente plus de sept millions de violations.

Au vu de ces chiffres, l’on comprend aisément pourquoi l’ancien directeur général d’IBM, Ginni Rometty, a qualifié la cybercriminalité de «plus grande menace qui pèse sur toutes les sociétés du monde».

Mais alors, que font les sociétés pour limiter la menace? Pour commencer, elles dépensent beaucoup d’argent. Selon un rapport de l’International Data Corporation, les dépenses en matière de sécurité, de matériel, de logiciels et de services en Europe ont atteint 27,3 milliards de dollars (environ 23,2 milliards d’euros) en 2019, soit une augmentation de 8,3 % par rapport à 2018. D’ici 2022, les sociétés européennes devraient dépenser plus de 35 milliards d’euros en solutions de sécurité.

Une grande partie de cet argent est consacrée aux systèmes de gestion des informations et des événements de sécurité (SIEM), qui sont devenus la référence en matière de cybersécurité.

«Les systèmes SIEM représentent un élément fondamental des infrastructures TIC omniprésentes qui constituent l’épine dorsale de notre société numérique», déclare Alysson Bessani, professeur agrégé à la faculté de sciences de l’université de Lisbonne et coordinateur du projet DiSIEM, financé par l’UE. «Ces systèmes utilisent un ensemble de capteurs et d’outils pour surveiller les infrastructures et déceler les éventuelles menaces qui pèsent sur l’organisation.»

Le problème des systèmes SIEM est qu’ils sont extrêmement coûteux à mettre en œuvre et à exploiter de manière efficace. Pour pallier ces inconvénients, le projet DiSIEM s’est attaché à améliorer les systèmes SIEM déjà en fonctionnement.

«Le projet visait à rendre ces systèmes SIEM plus intelligents en les développant dans plusieurs directions», ajoute Alysson Bessani. «En tenant compte de diverses sources d’information et des capteurs de menaces, nous cherchons à améliorer les fonctionnalités de cybersécurité des organisations européennes.»

Renforcer l’efficacité des systèmes SIEM

Pour atteindre son objectif, le projet DiSIEM a porté ses efforts sur un certain nombre d’améliorations essentielles. Par exemple, en utilisant des techniques avancées d’apprentissage automatique, les chercheurs ont permis aux systèmes SIEM de filtrer les données collectées sur Twitter et les blogs, de regrouper des informations connexes, d’inspecter du texte et de créer des informations lisibles par une machine.

Ces techniques ont été appuyées par de nouveaux outils de visualisation qui affichent l’impressionnante quantité d’informations collectées de manière à ce que les analystes en sécurité puissent facilement en retirer de nouvelles informations. Le projet a également contribué au développement de nouvelles solutions pour le stockage sécurisé de mégadonnées et de modèles analytiques de prévision des menaces.

«En fin de compte, nous avons développé de nouveaux outils de traitement, de stockage et de visualisation de l’information capables d’améliorer l’efficacité des systèmes SIEM», explique Alysson Bessani.

De la recherche à la pratique

Les solutions DiSIEM ont été testées avec succès dans les centres opérationnels de sécurité d’EDP et d’Amadeus, deux grandes sociétés exploitant des infrastructures stratégiques. Depuis les essais, les deux sociétés ont continué à utiliser plusieurs des composants DiSIEM.

«EDP utilise notre outil d’évaluation hiérarchique des risques pour fournir des informations globales sur les risques aux cadres dirigeants», conclut Alysson Bessani. «Grâce à nos solutions, Amadeus a amélioré sa capacité à empêcher les robots d’Internet de dérober ses données, ce qui a permis à la société de réaliser de substantielles économies.»

Bien que le projet soit maintenant terminé, ses travaux se poursuivent. Le projet a, par exemple, lancé une société dérivée pour faciliter la commercialisation de son système de stockage sécurisé multi-cloud. La start-up, baptisée Vawlt, a déjà obtenu plus d’un demi-million d’euros de financement de pré-démarrage d’Armilar Venture Partners et emploie actuellement cinq personnes (dont trois chercheurs du projet DiSIEM).