Ce matin j'assiste à la RSA Conférence à la
présentation du patron de Intel Security ex McAfee qui base son discours sur la
promotion des statistiques issues du big data comme le prochain paradigme, le
prochain nirvana de la cyber sécurité.
Il fait la comparaison avec le baseball où il y a
quelques 10 ans les Oakland Athletics se sont fait connaître et ont failli
gagner la compétition grâce un emploi totalement nouveau des statistiques dans
leur sport.
Et donc sa thèse consiste à pousser l'idée que
nous devrions espérer de tels progrès dans notre métier. Cela me fait penser à
tous ces économistes qui pensent qu'on peut mettre l'économie et le monde en
chiffres. Dans les deux cas ils oublient de se demander si le domaine qu'ils
abordent se prête à la statistique. Et dans les deux cas la réponse est non.
Certes on peut espérer des résultats dans la
détection des attaques. Et encore faut-il avoir une idée des modes d’attaque
pour chercher avec pertinence. Ce n’est guère de la statistique mais de la
recherche dans les masses de données. La statistique n'est qu'un outil elle
n'est pas la solution.
Mais ce n'est pas le centre de notre sujet. Si le
big data peut aider à la détection, il ne peut en rien aider à la réduction des
problèmes en amont.
On oublie encore que les attaquants ne peuvent
passer à travers un logiciel que lorsque celui-ci a des bugs et qu'une fois un
bug trouvé, son exploitation est systématique. En d'autres mots, le domaine où
réside le vrai défi de la sécurité à savoir le développement d'applications et
de systèmes sûrs, ne donne aucune prise à la statistique. Et donc annoncer
celle-ci comme le prochain âge de la cybersécurite n'est rien d'autre qu'une
plaisanterie ridicule.
1 comment:
Comme le disait un de mes prof de stats à la fac: "la statistique c'est comme un bikini. Elle montre beaucoup de choses mais cache l'essentiel"
Post a Comment