Cybersécurité: détecter une menace interne grâce à vos touches de clavier
Emmanuel Martinez|Publié le 30 septembre 2024
«Un stress majeur amène un changement de comportement qui peut dénoter des intentions criminelles», dit le président de Bradley & Rollins, Bertrand Milot. (Photo: courtoisie)
La vélocité de la frappe sur un clavier, le nombre de frappes par seconde et le mouvement de la souris d’un usager sont quelques-unes des caractéristiques qui sont utilisées par l’entreprise montréalaise de cybersécurité Bradley & Rollins pour identifier des menaces internes.
Elle vient de breveter une solution qui détecte les attitudes suspectes des employés à partir de l’usage de leur ordinateur.
«On va être capable de déterminer si dans votre comportement, il y a des macro-changements, puisqu’on fait ce qu’on appelle de l’analyse de physiométrie, explique en entrevue le fondateur et président de la start-up, Bertrand Milot. Un stress majeur amène un changement de comportement qui peut dénoter des intentions criminelles.»
L’idée derrière cette innovation est que si un employé décide de volontairement exfiltrer des données avec un objectif malveillant ou s’il est contraint de le faire par un cybercriminel, cela se reflétera sur son attitude devant son écran.
«Le stress va être tel que votre physiométrie va vraiment changer, précise le patron. Pouvoir détecter une menace interne devient très important pour les entreprises. Hydro-Québec et Desjardins ont été victimes de vols de données par des employés. Toutes les grosses organisations ont une épée de Damoclès au-dessus de leur tête, mais il n’y a pas d’outil qui permette de couvrir ce risque-là.»
Un autre couche de sécurité
Avec sa solution, la start-up peut envoyer un message à l’usager pour l’avertir qu’un comportement inhabituel a été identifié ou même limiter les accès à des bases de données en attendant de lever des doutes. Pour mener à bien ce projet, l’entreprise qui a également des bureaux à Toronto et en France, a reçu un coup de pouce de PROMPT, l’organisme public québécois spécialisé dans le secteur des technologies de l’information et du numérique.
L’innovation de Bradley & Rollins permettrait aussi de détecter si un cybercriminel ou une intelligence artificielle a pris le contrôle d’un poste de travail
« On s’ajoute aux outils existants qui détectent des menaces extérieures, précise le président. On ne veut pas les remplacer parce qu’il y a déjà des outils sur le marché qui le font très bien. Ce qui nous intéresse, c’est la portion où malheureusement ces outils sont inefficaces. Et cette portion, c’est quand le comportement de l’utilisateur est imité. »
Il estime que ce type de menaces est en progression avec la montée de l’IA.
Prévoir les prochaines victimes
Bradley & Rollins a aussi recours à d’autres informations pour lancer une alerte. Un volet de son système de protection consiste à surveiller avec de l’IA les forums du web caché dans lesquels les cybercriminels échangent. Ceci permettra de comprendre les intentions des acteurs malveillants, afin d’extrapoler leurs gestes.
Une autre composante est de prédire qui seront les prochaines victimes et donc de réduire la surface d’attaque. Une fois qu’ils s’infiltrent dans une entreprise, les pirates se servent généralement d’informations glanées pour s’attaquer à d’autres employés, fournisseurs et partenaires d’affaires pour les rançonner. «Notre outil va nous permettre de faire de la prévisibilité sur les comportements criminels et d’identifier les prochaines victimes», affirme Bertrand Milot. Par exemple, de prédire que si un employé de la compagnie Y a un comportement suspect et qu’il s’occupe d’assurer le service pour l’entreprise Z, cette dernière peut être aussi à risque.
«On pourra prévenir des attaques», juge-t-il. Ce projet de recherche appliquée est financé par le ministère de l’Économie et de l’innovation à hauteur de 1 million de dollars.
Est-ce éthique?
La détection des macro-changements physiométriques pourrait même contribuer au bien-être des employés, croit le fondateur de la jeune pousse. Des problèmes de santé mentale ou d’épilepsie pourraient être ainsi détectés à partir de changement de comportement sur le clavier d’ordinateur. «On serait capable de prévenir des arrêts cardiaques ou des tendances suicidaires en organisation, dit Bertrand Milot. Il y a une vraie dimension humaine qui est très importante pour moi.»
Est-ce que la solution technologique de Bradley & Rollins viole des principes éthiques, comme le droit à la vie privée? Le fondateur ne croit pas. «Avant de se faire subventionner, on a passé à travers des comités d’éthique importants, dit-il. On a réussi pour une raison très simple: on veut faire de la dissuasion. On ne désire pas faire de la répression. On souhaite faire en sorte que l’utilisateur s’autorégule donc c’est pour cela qu’on lui envoie un message pour l’avertir d’un comportement suspect.»
L’entreprise espère commercialiser son innovation en 2026. Elle vise surtout les grandes organisations, aussi bien ici qu’à l’étranger.
