Selon une récente étude publiée par le cabinet de conseil Accenture, les entreprises françaises subiraient deux ou trois cyberattaques effectives par mois.[1] Face à une quantité toujours plus importante de données, identifier une activité illicite parmi un flot d’actions légitimes devient de plus en plus complexe. Le balayage manuel d’une telle quantité de données (ex : logs) n’est plus possible depuis longtemps.

Il existe aujourd’hui deux catégories de systèmes de détection des intrusions mais qui ont chacun leurs limites : l’humain et la machine.

L’humain peut être confronté à des attaques inconnues de ses systèmes d’analyses. La plupart de ces systèmes sont basés sur de la détection de signature d’attaque avec un résultat quasiment binaire : si l’évènement analysé correspond à un schéma connu et il est considéré comme dangereux, sinon il sera qualifié d’insignifiant.

Les machines ont, quant à elles, pour principal problème la détection des faux positifs. Les faux positifs ont pour conséquence de bloquer le système et contraindre les humains à intervenir, pour s’assurer qu’il s’agit d’un faux ou bien d’une réelle attaque.

Une politique trop laxiste entrainerait des faux négatifs, c’est-à-dire qu’elle passerait à côté de certains incidents. A l’inverse, trop de protectionnisme génère un grand nombre de faux positifs (fausses alertes) qu’il faudra humainement requalifier ultérieurement. Un système de pré-filtrage devrait automatiquement remonter une attaque ou une violation de sécurité.

Vers la limite des solutions de cybersécurité existantes

Outre la volumétrie des données en constante augmentation, la typologie des attaques se diversifie toujours davantage. De plus en plus de signatures différentes sont nécessaires ce qui a pour conséquence de ralentir les systèmes de détection.

Qui n’a jamais maudit son antivirus tant il ralentissait l’appareil lors des scans hebdomadaires ?

De même, les systèmes de détection ou de protection en temps réel basés sur des signatures (comme les IDS/IPS ou les firewalls applicatifs) sont de plus en plus impactés par la lourdeur de leurs bases de données qui ne fait que de croître.

Ce modèle sera donc de moins en moins performant et finira même par devenir irréaliste et donc inutilisable.

L’intelligence artificielle, une révolution dans la cybersécurité ?

L’intelligence artificielle adopte une approche similaire à celle de l’humain. En effet, un administrateur ne recherche pas une attaque (comme le fait un système de détection par signature), il cherche un fait anormal c’est-à-dire inhabituel. La différenciation entre une action légitime et une attaque repose donc sur l’expérience de ce qu’il a déjà vu par le passé.

C’est exactement sur ce principe que repose une détection d’anomalie opérée par intelligence artificielle : avec le temps, elle va apprendre (via le machine learning) quel est le comportement habituel et le qualifier de normal. Tout autre comportement sera alors considéré et donc remonté comme suspect.

Bien entendu, un humain va encore plus loin puisqu’il arrive à comprendre le fonctionnement d’une application et à interpréter l’intention d’un utilisateur. Mais l’intelligence artificielle offre une nouvelle façon de classifier les évènements qui ne dépendent pas de signatures. Elle se révèle à la fois plus pertinente et plus performante.

Le champ des possibles est assez vaste et certaines applications exploitent déjà le machine learning à des fins de cybersécurité.

Parmi elles on peut bien sûr citer les systèmes de détection des évènements sécurité (SIEM) dont certains utilisent l’intelligence artificielle pour détecter les écarts de comportement utilisateur par rapport au comportement habituel d’utilisateur qu’ont connu les systèmes. Cette capacité est souvent appelée UEBA ou User and Entity Behavior Analytics.

Il existe aussi maintenant une nouvelle génération d’anti-virus dont le fonctionnement repose à la fois sur la détection d’anomalies et sur un vaste réseau d’échange et d’apprentissage. Puisque la détection de ces systèmes ne repose pas sur une base de données des binaires connus, ce type d’anti-virus permet de bloquer dès leur sortie les derniers malwares. Ainsi, quand un ransomware dissimulé dans une macro word est stoppé, il l’est simplement parce qu’il ne semble pas normal pour l’application winword de vouloir chiffrer d’autres fichiers. Cela ne fait simplement pas partie des comportements habituels identifiés…

On le sait, l’intelligence artificielle va révolutionner bon nombre de métiers et même en faire disparaître certains. L’informatique en général et la sécurité en particulier ne font pas exception à la règle et c’est un « bon nouveau profil », compte tenu de la pénurie de profils en cybersécurité.

L’intelligence artificielle devrait non seulement soulager les administrateurs sécurité des tâches les moins complexes, mais aussi fonctionner en symbiose avec eux dans un environnement où l’un apprendra de l’autre.

________
Yannick Delmont est Head of Security chez Claranet