Ce que l'avenir nous réserve en matière de lutte contre les malwares est une question ouverte. L'analyse des fichiers basée sur la signature, la méthode jusqu'ici la plus répandue pour faire face aux infections, s'avère de moins en moins efficace en raison d'une production de plus en plus volumineuse de logiciels malveillants. Mais en l'absence d'une meilleure stratégie, de nombreux produits antivirus pour l'entreprise continuent encore de compter largement sur cette méthode. Même si l'on constate des changements par ailleurs. Ainsi, les éditeurs de logiciels antivirus commencent à réaliser que pour garder de l'avance sur les développeurs de malware (ou du moins, pour ne pas être trop pris de cours), ils doivent décortiquer plus finement les logiciels malveillants, savoir comment ils sont fabriqués, d'où ils viennent, pour, espérons-le, prédire où ils sont susceptibles de mener leurs futures attaques. Selon Dave Millier, CEO de Sentry Metrics, une entreprise basée à Toronto qui fait du consulting dans le domaine de la sécurité et vend des services gérés, aujourd'hui les vendeurs se focalisent moins sur les menaces ponctuelles. Ils commencent à collecter des données et essayent de les mettre en perspective pour identifier des tendances à plus long terme. « La technologie qui permet de le faire est relativement nouvelle », estime-t-il. « La collecte des données se fait de plus en plus au niveau du réseau, là où l'on essaye d'utiliser un grand nombre d'informations dans un objectif de sécurité, ce que nous n'avions pas l'habitude de faire auparavant ».

Modéliser les menaces potentielles

Parmi ses clients, Sentry Metrics compte Sourcefire, un fournisseur pour qui, fondamentalement, « logiciels malveillants » signifie problème « Big Data ». Depuis peu, Sourcefire propose aux entreprises un produit de sécurité dans le cloud appelé FireAMP. Celui-ci élargit le filet de sécurité en recherchant des signatures de codes malveillants «plus floues » et s'intéresse à des motifs plus divers pour repérer toute activité suspecte. FireAMP utilise également ce que Sourcefire appelle « l'apprentissage machine » pour modéliser des menaces potentielles et anticiper sur la forme qu'elles pourraient prendre.

FireAMP peut rétrospectivement et très efficacement restituer la séquence d'un événement, en l'occurrence comment s'est passée une attaque au niveau du réseau, une capacité qui peut avoir son importance, non seulement pour renforcer la sécurité de l'entreprise concernée, mais aussi pour des raisons juridiques. « Nous avons transformé notre plateforme cloud en enregistreur de vol pour points d'accès », explique Oliver Friedrichs, vice-président senior du groupe chargé de la technologie dans le cloud chez Sourcefire. « Nous enregistrons l'activité des fichiers qui transitent à travers les points de terminaison. Ces enregistrements, infalsifiables, de l'activité des fichiers dans le cloud sont ensuite conservés ». Celui-ci explique que « FireAMP place ses connecteurs aux points de sortie et envoie des données vers le cloud chaque fois qu'un utilisateur installe ou exécute des applications. De sorte que, en cas de violation, nous pouvons dire précisément par quel point la menace s'est introduite, où elle est allée, quelle personne a été infectée en premier, où elle s'est propagée et quels dégâts elle a pu commettre ».

Identifier les menaces plus rapidement

Trend Micro, un autre fournisseur de solutions de lutte contre les malwares, a également investi dans de nouvelles capacités de renseignement, alimentant son infrastructure grâce au cloud et à la force de sa communauté en ligne. Pour Tom Moss, directeur des produits et services chez Trend Micro Canada, ce combat est équivalent à « la lutte contre l'incendie avec la stratégie du feu ». « À l'image des contrôleurs de botnets qui se servent de plus en plus du cloud et de l'Internet pour contrôler un grand nombre de machines, nous utilisons le réseau de machines de nos clients pour recueillir des informations sur la façon dont se comportent les logiciels malveillants, et pour savoir avec qui ils essayent de communiquer ». Là encore, les données sont collectées pour une analyse ultérieure. Trend Micro examine les antécédents de la source à l'origine de l'infection. Notamment, «où a été enregistré le domaine ? Est-ce que d'autres domaines ont été enregistrés par la même personne ? Combien de fois l'adresse associée à ce domaine a changé ? »

Selon Dave Millier, alors que l'analyse devient un instrument de lutte contre les logiciels malveillants, avec le Big Data, l'industrie de la sécurité informatique est confrontée aux mêmes défis que tout le monde. « Rapatrier de grosses quantités de données en un seul endroit pour les examiner est une bonne stratégie », estime-t-il. Mais donner du sens à cette analyse de données brutes reste compliqué. « Afin de traiter ces informations de manière efficace, d'être capable de trouver des éléments significatifs, cette masse de données a vraiment besoin d'être indexée et organisée», ajoute le CEO de Sentry Metrics.

« Avec ces données non structurées, on perd en flexibilité ». Dave Millier estime que dans l'ensemble, les différents outils utilisés pour recueillir et analyser les données relatives à la sécurité se sont considérablement améliorés ces dernières années. Le niveau et le degré des analyses sont bien plus élevés. « On a une bien meilleure idée de ce qui se passe réellement sur le réseau. On peut voir ce qui se passe au niveau du système, au niveau du réseau, au niveau du firewall, et même au niveau de l'application. Et notre capacité à identifier les menaces plus rapidement est certainement meilleure ».