Une arme redoutable dans la lutte contre la cybercriminalité

La défense contre les cyberattaques ressemble à un jeu du chat et de la souris qui ne s’arrêtera vraisemblablement pas tant que vivra l’internet. De plus en plus de criminel-le-s inondent le cyberespace de logiciels malveillants (Malware) afin de voler des données ou des cryptomonnaies, de paralyser des réseaux et de faire chanter des entreprises, des organisations et des administrations publiques. De nombreuses attaques restent assez grossières et faciles à identifier. Ouvrir une pièce jointe suspecte provenant d’un expéditeur inconnu ou cliquer sur un lien douteux suffit souvent à donner aux pirates la clé pour accéder à son système informatique. Si les programmes antivirus détectent et bloquent une grande partie des logiciels malveillants, les pirates expérimenté-e-s parviennent toujours à franchir la première ligne de défense et à exécuter malgré tout des composants de logiciels malveillants bien camouflés.

Un flot constant de messages d’alerte

Les composants non détectés peuvent s’installer dans la mémoire vive des terminaux et s’activer à une date ultérieure. C’est là qu’intervient, si elle existe, une autre arme de défense: le logiciel Endpoint Detection and Response (EDR), qui surveille le comportement des terminaux connectés (serveurs, PC et ordinateurs portables) et traque les anomalies. Problème: l’EDR détecte une multitude d’activités inconnues et par conséquent suspectes, ce qui génère un flot d’alertes. Ces «alertes» constituent un défi pour les centres d’opérations de sécurité (SOC) des grandes entreprises, car un fragment de code suspect n’est pas systématiquement un danger réel – loin de là! Il est impossible pour les analystes d’effectuer des recherches fastidieuses pour vérifier le degré de chaque alerte. Dans le jargon, on parle de «fatigue d’alerte».

L’analyse automatisée permet d’économiser du temps et des efforts

C’est précisément à ce problème que l’entreprise biennoise Threatray s’est attelé avant de proposer une solution avec ses logiciels. «Nous sommes à la pointe de la reconnaissance de nouvelles variantes de logiciels malveillants», déclare Endre Bangerter, fondateur, CEO de la spin-off de la BFH et coresponsable de l’Institute for Cybersecurity and Engineering (ICE) de la BFH-TI. «Généralement, les collaborateurs et collaboratrices doivent analyser ce qu’il convient de faire lorsque l’EDR signale un code inconnu. Threatray en revanche automatise l’analyse, ce qui permet d’économiser énormément de temps et d’efforts.» Pour ce faire, Threatray exploite une faiblesse des logiciels malveillants: les cybercriminel-le-s évaluant eux aussi le rapport cout-utilité de leur travail, leurs logiciels malveillants sont rarement des nouveautés radicales, mais plutôt des évolutions. Autrement dit, ils transforment des logiciels malveillants existants, tôt ou tard blacklistés par tous les outils de défense, en en reprenant ce qui a fait ses preuves – comme c’est d’ailleurs le cas pour toute mise à jour logicielle. Dénicher ces fragments de code «recyclés» et les associer à un logiciel malveillant connu, telle est la spécialité de Threatray.

De nouveaux segments de clientèle grâce à l’IA

Grâce aux analyses de Threatray, les équipes de centres d’opérations de sécurité (SOC) peuvent adopter plus rapidement et de manière plus ciblée les contremesures adéquates, mais aussi identifier les fausses alertes du logiciel d’analyse EDR. Toutefois, cet outil de cyberdéfense n’est qu’une des nombreuse solutions utilisées aujourd’hui par les entreprises et n’est pas en mesure de garantir une sécurité absolue: «La sécurité absolue restera à jamais inaccessible, mais nous améliorons la visibilité des logiciels malveillants qui reposent sur des technologies avancées.» L’entreprise s’est fait une bonne réputation en peu de temps. Sa clientèle se compose de grandes entreprises en Suisse et à l’étranger, qui disposent d’équipes SOC spécialisées, ainsi que de fournisseurs de services informatiques auxquels les petites entreprises confient leur cybersécurité. «Actuellement, nos produits s’adressent à des analystes spécialisé-e-s», reconnait Endre Bangerter. «Mais grâce à l’intelligence artificielle, nous disposons désormais des moyens d’élargir notre segment de clientèle. Grâce à l’IA, il est également possible de présenter les résultats du processus d’analyse à des utilisateurs et utilisatrices moins qualifié-e-s d’une manière qui leur permette de s’en servir efficacement.»

Née sur le terreau de la BFH

La technologie Threatray s’intègre dans n’importe quel EDR, donc aussi dans les systèmes de cyberdéfense des entreprises. Actuellement, l’entreprise teste son intégration dans Microsoft Defender for Endpoint avec les services informatiques de la BFH qui utilisent ce logiciel. La boucle est bouclée: forte de son expérience indéniable dans le domaine de l’apprentissage automatique et de l’intelligence artificielle, la BFH-TI a constitué pendant des années le terreau idéal pour développer les technologies sur lesquelles repose Threatray. Fondée en 2018, l’entreprise a été classée en 2022 parmi les 100 start-up les plus prometteuses par des investisseurs et investisseuses suisses de premier plan. Depuis, elle a pu transférer avec succès dans le monde économique le savoir-faire mis au point à la haute école. Elle ne manquera pas de travail de sitôt.