Les règles de détection des failles « zero-day » que l'IA ne peut pas réécrire

Le secteur de la cybersécurité est en perpétuelle réaction. Chaque trimestre apporte son lot de nouvelles menaces, de nouvelles techniques de contournement et de nouveaux acronymes censés redéfinir la défense. Cela place les RSSI et les directeurs techniques, chargés de prendre des décisions à long terme concernant l’infrastructure, face à un paradoxe : les stratégies de détection doivent rester pertinentes pendant cinq à dix ans, alors même que le paysage des menaces évolue tous les quelques mois. La mise en place de défenses multicouches est donc indispensable. La question qui reste en suspens est de savoir sur quoi ancrer ces couches pour qu'elles résistent à l'évolution des menaces.

Pour élaborer une stratégie durable, il faut aller au-delà des changements observés dans le paysage des menaces et identifier ce qui ne change pas : les contraintes sous-jacentes qui continuent de déterminer le comportement des menaces, quelle que soit l'évolution des outils. Ces invariants offrent aux défenses multicouches un ancrage solide, permettant ainsi à l'architecture de détection de rester pertinente malgré l'évolution des menaces et des techniques spécifiques. Dans cet article, nous nous concentrons sur trois de ces invariants, car ce sont eux qui ont l'impact le plus direct sur la manière dont les pipelines de détection modernes doivent être conçus.

La défense statique n'est qu'une illusion temporaire. Les attaquants analysent la logique de détection, partagent leurs techniques de contournement et perfectionnent sans cesse leurs méthodes. Une fois déployée et laissée telle quelle, aucune technologie défensive ne reste efficace très longtemps face à un adversaire déterminé. C'est le cas depuis la mise en place du premier bac à sable, et les logiciels malveillants générés par l'IA ne font qu'accélérer ce cycle.

En pratique, cela signifie que les logiciels malveillants furtifs n'ont pas besoin de contourner toutes les couches de détection. Il leur suffit de contourner celle sur laquelle vous comptez. Les variantes peuvent désormais être produites plus rapidement, testées face aux mesures de défense et affinées dans le cadre de cycles itératifs. Ce qui prenait autrefois des semaines de développement peut désormais se faire en quelques heures.

Dans les environnements OT, le problème d'adaptation s'aggrave. Les cycles de correctifs sont longs, les systèmes sont souvent contrôlés par les fournisseurs, et les logiciels sont déployés via des mises à jour de micrologiciels, des packages fournis par les fournisseurs et des outils de terrain difficiles à remplacer. Ces mêmes fichiers constituent des vecteurs de diffusion idéaux, car ils sont attendus, jugés fiables et difficiles à inspecter sans perturber les opérations.

Certains de ces fichiers peuvent être nettoyés, tandis que d'autres ne le peuvent pas. Les fichiers exécutables, les images de micrologiciel et les fichiers de correctifs doivent fonctionner comme prévu, ce qui limite les cas où le désarmement et la reconstruction du contenu peuvent être appliqués. Il en résulte un éventail plus restreint de méthodes d'inspection viables, et l'inspection statique devient souvent le contrôle par défaut dans bon nombre de ces environnements, même si c'est précisément cette approche que les attaquants ont appris à contourner.

Aucun moteur de détection ne parvient à lui seul à obtenir des résultats optimaux. Il ne s'agit pas d'une limite inhérente à une technologie particulière, mais d'une propriété statistique liée à la combinaison de classificateurs indépendants. Lorsque plusieurs moteurs évaluent le même fichier à l'aide de méthodes différentes, leurs taux d'erreur ne s'additionnent pas de manière linéaire. Ils se compensent mutuellement, ce qui donne lieu à une capacité de détection combinée qui surpasse systématiquement celle de n'importe quel moteur pris isolément, quel que soit son niveau de sophistication.

La conclusion est simple, même si elle n'est pas très réjouissante. Un logiciel malveillant furtif n'a pas besoin de contourner tous les contrôles possibles. Il lui suffit de contourner celui sur lequel vous comptez le plus. Un fichier qui échappe aux contrôles de réputation mais déclenche des indicateurs comportementaux, ou qui échappe à la détection par signature mais présente des similitudes anormales avec une famille de logiciels malveillants connue, est intercepté dans un pipeline à plusieurs niveaux. Dans un modèle à moteur unique, il passe à l'étape suivante.

La plupart des environnements utilisent déjà plusieurs outils, mais les signaux qu’ils génèrent sont souvent disparates. Un système signale un fichier comme suspect, un autre le juge inoffensif, tandis qu’un troisième génère des indicateurs qui nécessitent une interprétation manuelle. C’est donc à l’analyste qu’incombe la charge de la corrélation.

Cela entraîne deux types de défaillance récurrents :

1. Une tentative de contournement réussit discrètement lorsqu'une menace échappe au contrôle initial et ne déclenche jamais d'inspection plus approfondie

1. Le volume des alertes augmente lorsque des signaux qui se chevauchent ou qui s'opposent génèrent du bruit sans permettre de distinguer clairement les informations

À grande échelle, aucune de ces deux situations n'est viable. Dans les environnements à haut débit, soit la détection passe à côté de ce qui compte, soit elle submerge l'équipe chargée d'intervenir.

MetaDefender résout ce problème en organisant la détection sous la forme d'un pipeline unifié plutôt que d'un ensemble de contrôles indépendants. Chaque couche analyse le même fichier sous un angle différent, et les résultats sont regroupés en un verdict unique et corrélé.

Pipeline de détection MetaDefender et contribution des signaux

Chaque couche répond à une question différente. La réputation porte sur ce qui est déjà connu. L'analyse dynamique met en évidence ce qui ne l'est pas. La notation fournit un contexte, et la recherche de menaces relie des événements isolés pour en faire un ensemble exploitable. Le résultat final est une décision unique fondée sur l'ensemble des preuves disponibles, et non quatre résultats distincts. Sur l'ensemble des quatre couches, le pipeline atteint une efficacité de détection des vulnérabilités « zero-day » de 99,9 %.

Une institution financière internationale traitant près de 1 000 e-mails suspects par jour a mis en place une analyse dynamique au sein de son centre d'opérations de sécurité (SOC) grâce à un bac à sable basé sur une machine virtuelle et intégré à un système d'automatisation SOAR. Le système a bien fonctionné jusqu'à ce que le volume augmente. Sandbox se sont allongées, les incidents hautement prioritaires ont nécessité une intervention manuelle, et l'automatisation est devenue un goulot d'étranglement plutôt qu'un levier d'efficacité.

En déployant MetaDefender au niveau du périmètre, l'entreprise a déplacé la fusion des signaux en amont. Les fichiers ont ainsi été analysés avant leur transmission, et non plus après leur exécution sur les terminaux. Les goulots d'étranglement au niveau des files d'attente ont été éliminés, le temps d'analyse est passé de quelques minutes à quelques secondes, et le SOC a retrouvé la capacité de se concentrer sur les enquêtes plutôt que sur la gestion du retard accumulé.

Il existe une différence notable entre un système de détection qui exploite des flux de menaces externes et un système qui génère ses propres renseignements. La détection basée sur des flux est limitée par nature : elle ne peut identifier que ce que d'autres ont déjà découvert, documenté et partagé. Les nouvelles menaces, les variantes modifiées et les attaques ciblées conçues pour échapper aux infrastructures de détection publiques échappent à ce cadre.

L'analyse dynamique change la donne. Lorsqu'un fichier est exécuté dans le cadre d'une inspection par émulation, le résultat ne se résume pas à un simple verdict. Il fournit des indicateurs de comportement, des données sur l'activité réseau, des informations de configuration et des traces d'exécution. Ces données constituent des renseignements de première main qui permettent la recherche rétrospective, le regroupement des variantes et le blocage proactif, fondés sur des comportements observés plutôt que sur des indicateurs signalés.

Dans les secteurs des infrastructures critiques, des services financiers et de la défense, la vérifiabilité n'est pas seulement une question de choix architectural. Il s'agit d'une exigence opérationnelle liée à la conformité et à la traçabilité.

Les cadres réglementaires exigent de plus en plus une analyse vérifiable des menaces inconnues, et non plus une simple validation basée sur des données d'entrée. Un verdict binaire dépourvu de preuves à l'appui ne résiste pas à un audit ou à une enquête. Les systèmes de détection doivent être capables de démontrer comment un fichier s'est comporté, quels indicateurs ont été extraits et comment la décision a été prise.

Cela modifie également la manière dont les organisations appréhendent leurs propres risques. Un environnement capable de générer ses propres données de renseignement permet de dresser une image précise de l'activité des menaces au fil du temps. Des tendances se dégagent au niveau des campagnes, de la réutilisation des infrastructures et des schémas comportementaux récurrents ciblant des flux de travail spécifiques. Les flux externes, ainsi que les données de renseignement générées en interne, apportent une vision plus approfondie.

MetaDefender génère des informations de renseignement dans le cadre de son processus de détection. Chaque fichier analysé via une analyse dynamique par émulation produit des indicateurs comportementaux, des artefacts extraits et des signaux corrélés qui sont réinjectés dans le système. La détection devient ainsi un processus d'apprentissage continu plutôt qu'une décision ponctuelle.

Ces informations ne restent pas isolées. Elles alimentent l'IA prédictive d'Alin, où les vulnérabilités « zero-day » confirmées en environnement sandbox sont utilisées pour réentraîner les modèles de détection pré-exécution. Chaque menace confirmée renforce la capacité du système à reconnaître plus tôt des schémas similaires, avant même que l'exécution n'ait lieu. Cela crée une boucle de rétroaction entre l'analyse approfondie et la prédiction rapide.

Une agence gouvernementale nationale chargée de protéger les systèmes sensibles et les données des citoyens illustre bien cette différence opérationnelle. Son ancien bac à sable produisait des rapports détaillés, mais obligeait les analystes à interpréter manuellement des signaux comportementaux fragmentés, et la confiance dans la détection des vulnérabilités « zero-day » s'est érodée à mesure que des échantillons échappant aux filtres passaient entre les mailles du filet.

Après le déploiement MetaDefender , le sandboxing est passé d'un simple outil de génération de rapports à un pipeline de détection unifié, capable de fournir un verdict unique par fichier, étayé par des preuves comportementales structurées et une notation des menaces. C'était enfin le type de renseignements sur lesquels l'agence pouvait agir directement.