Sécurité : l’IA pour authentifier l’utilisateur en continu

C’est un classique de la sécurité : l’authentification est la clé qui ouvre l’accès au système d’information le temps d’une session. Un mécanisme statique que Systancia, éditeur de solutions de virtualisation, de cybersécurité et de gestion des identités, cherche à faire évoluer par des algorithmes d’intelligence artificielle. Explications de Frédéric Pierre, directeur scientifique de la société.

Systancia fêtera cet été ses 20 ans d’existence. Spécialisée historiquement dans la virtualisation des postes de travail et des applications, la PME a progressivement étendu son champ d’activité à la cybersécurité. En particulier à partir de 2013 quand elle racheté la société rennaise IPdiva et ses solutions de sécurisation des accès distants. Une partie de l’équipe est à Cesson-Sévigné. Le reste – l’effectif compte 80 personnes au total – est réparti sur deux autres sites : Sausheim, où se trouve le siège, et Paris. Frédéric Pierre, directeur scientifique, est en charge des recherches avancées destinées à enrichir les produits maison. Notamment par l’intelligence artificielle.

D’abord le contexte. Comment sécurise-t-on aujourd’hui les accès au système d’information ?

Frédéric Pierre. Quelle que soit la taille de l’entreprise ou de l’organisation, le système d’information est au centre de l’activité. C’est le cœur sans lequel plus rien ne fonctionne. Et ce cœur est de plus en plus ouvert car il interagit avec l’environnement extérieur : les collaborateurs distants, les partenaires, les fournisseurs, les clients… Et qui dit ouverture, dit nécessairement sécurisation. Il faut à la fois garantir des accès fiables, contrôlés, supervisés, tracés, et se prémunir contre les accès malveillants. Y compris à l’intérieur de l’organisation, point qu’il ne faut pas négliger.

L’authentification, qui permet de vérifier l’identité de la personne ou de l’objet souhaitant accéder au système d’information, est la base de la sécurité. Car c’est l’identité de l’utilisateur qui conditionne les droits et habilitations. Dans les modèles les plus simples, ces droits sont associés à l’identité de manière statique. Alors que dans un modèle évolué, les droits se construisent dynamiquement. Ils sont calculés par le système de gestion des identités.

Gestion des identités, authentification… Ces mécanismes garantissent-ils la sécurité à 100% ?

FP. Tout comme dans la vie courante, la sécurité à 100% n’existe pas. Elle est une affaire de compromis et d’équilibre entre risque et protection. Un système trop ouvert expose l’organisation aux attaques, trop fermé il bloque la productivité. Il n’existe pas de solution qui convienne à toutes les situations. Il faut pouvoir sécuriser de manière différenciée selon les cas d’usage. C’est toute la subtilité de notre métier.

Nous avons appris avec l’expérience que l’acceptabilité est une dimension essentielle de la sécurité : il faut avoir les gens avec soi. Un administrateur acceptera des contraintes multiples d’identification et d’authentification parce que la sécurité fait partie de son métier. Mais prenons l’exemple d’un médecin urgentiste, dont le rôle est de soigner les gens au plus vite, il est hors de question qu’il passe son temps dans des procédures d’authentification. Ceci étant dit, quand on observe l’activité de l’urgentiste, on s’aperçoit qu’il se connecte ponctuellement, de façon brève et pour des tâches bien identifiées. Dans nos produits, nous avons développé un mode spécifique qui répond précisément à ce besoin. Chaque métier a ses exigences, dont le système de sécurité doit tenir compte.

En quoi l’intelligence artificielle peut-elle changer la donne ?

FP. Nous étudions un système innovant d’authentification des utilisateurs basé sur des algorithmes de Machine Learning. C’est l’objet du projet ADACS que nous avons déposé. Il répond à deux constats. D’abord, nous arrivons aujourd’hui aux limites d’un modèle de sécurité basé sur des règles qui autorisent ou interdisent l’accès au système d’information. Parce qu’il existe une infinité de cas d’usages. Et donc une complexité grandissante, bientôt ingérable par les moyens traditionnels. Le deuxième constat, c’est qu’avec l’authentification classique, l’utilisateur peut faire ce que bon lui semble à partir du moment où la session est ouverte.

L’idée fondatrice du projet est de proposer un cadre d’authentification dynamique et continu. De passer d’un modèle piloté par les règles à un modèle piloté par les données relatives à l’utilisateur grâce à une collecte permanente d’information. À partir de ces informations, on construit par apprentissage automatique l’empreinte numérique de l’utilisateur sur le système d’information. Empreinte que l’on compare en temps réel à l’activité courante pour en déduire un indice de confiance. Si l’indice de confiance vient à baisser, on peut imaginer des alertes, une demande de réauthentification ou même le blocage de l’accès. À l’inverse, un indice de confiance élevé permet de travailler en toute fluidité.

Notre cible privilégiée ce sont les utilisateurs à pouvoirs. Par exemple des tiers mainteneurs, qui disposent de comptes d’accès à privilèges. Ensuite, potentiellement, ce mécanisme d’authentification dynamique et continu pourrait infuser vers d’autres usages de nos solutions.

Plus

www.systancia.com

ADACS est un projet labellisé Images & Réseaux, candidat à l’appel à projets 2018 Concours d’innovation lancé par BPI France.

Systancia est membre du pôle de compétitivité Images & Réseaux