En matière de cyberdéfense des entreprises, l’intelligence artificielle constitue une vraie révolution qui rééquilibre les forces en présence. Pour qu’enfin on puisse vraiment dire que la cybersécurité, ça fonctionne…

L’intelligence artificielle envahit peu à peu notre quotidien que ce soit à la maison ou au bureau. Elle s’infiltre dans tous les domaines et les révolutionne à long terme. Il en va ainsi de l’IA dans le domaine de la cybersécurité. Capgemini prédit que 63% des entreprises auront déployé d’ici la fin de l’année des intelligences artificielles à même de les aider à améliorer leur cybersécurité, à commencer par la défense du réseau.
L’IA s’est imposée comme une aide précieuse et une composante indispensable à la mise en œuvre d’une sécurité des systèmes d’information centrée sur les identités, les accès, les données et les devices.

Pourquoi l’IA change la donne…

La cybersécurité est un domaine technologique construit sur un déséquilibre : jusqu’ici les cybercriminels pouvaient choisir comment, où, et quand précisément attaquer alors que les responsables de la cybersécurité devaient réaliser l’impossible exploit de tout surveiller, tout protéger, partout et tout le temps. Humainement, la tâche est infaisable et explique pourquoi certains dirigeants d’entreprise et certains utilisateurs ont eu l’impression que la cybersécurité ne fonctionnait toujours pas depuis toutes ces années.

L’intelligence artificielle est une chance parce qu’elle permet désormais d’inverser ce déséquilibre. Ce que des êtres humains ne peuvent « humainement » faire, des machines intelligentes le peuvent. À même d’analyser et corréler tous les flux réseaux et tous les logs de monitoring des équipements et applications, elles peuvent surveiller tout, partout, et tout le temps. Elles peuvent détecter le moindre signal faible et le moindre comportement qui sort de l’ordinaire. Elles ont les moyens de tout surveiller et de repérer la moindre anomalie, la moindre chose qui sort de l’ordinaire pour chaque appareil, chaque utilisateur.
Dès lors, elles permettent aux équipes non seulement d’être alertées mais également de réagir plus rapidement face au démarrage d’une phase d’attaque. La vitesse de réaction est un élément clé de toute défense. Plus tôt une attaque est repérée, plus il est aisé de la surveiller, de la contrôler et de la bloquer au moment jugé le plus opportun.
Bref l’intelligence artificielle permet de rééquilibrer les forces en présence…

Les humains ne peuvent gérer de telles volumétries d’attaques

Aucun humain ne peut décemment analyser et interpréter le flux d’informations de sécurité en provenance de toutes les ressources du système d’information étendu.
Parallèlement, la multiplication et la multiplicité des cyber attaques rend quasiment impossible pour quiconque de suivre le flux constant de menaces visant les entreprises, leurs équipements, leurs données et leurs collaborateurs.
Sans compter la pénurie de talents qui complexifie encore la capacité des entreprises à se défendre efficacement.
C’est pourquoi les responsables des entreprises sont de plus en plus séduits par l’idée d’associer intelligence artificielle et automatisations pour assurer l’essentiel de leur cyber défense.

Toutes les IA ne sont pas égales

Les constructeurs et éditeurs de solutions matérielles et logicielles de sécurité l’ont bien compris. Tous affirment intégrer plus d’intelligence dans leurs appareils mais il ne s’agit souvent que de scripts et algorithmes plus élaborés s’appuyant sur des jeux statistiques relativement simplistes. Rares sont les solutions à mettre en œuvre Machine Learning (ML) et Deep Learning (DL) pour réellement apprendre à des IA comment détecter les signaux faibles et découvrir les comportements malveillants d’humains mais aussi d’applications.

Seules ces technologies ML permettent aujourd’hui aux entreprises de suivre le volume croissant des attaques (provenant des emails, des sites visités, des fichiers malveillants, des attaques réseau, etc.) ainsi que celui des informations issues des appareils de surveillance du réseau, des données, des accès et des identités.
Les nouvelles solutions de sécurité bâties sur de vraies IA à base de ML/DL apprennent à quoi ressemble le comportement normal du SI de l’entreprise et peuvent détecter tout ce qui apparaît anormal voire engager les mesures défensives nécessaires (mise en quarantaine d’un email ou d’une machine par exemple). Grâce à toutes les données accumulées et qui s’accumulent seconde après seconde, les entreprises peuvent entraîner les IA à comprendre ce qu’est leur normalité et ainsi reprendre un avantage face aux cybercriminels.

Des IA au service du mal ?

On le sait, pour fonctionner, les IA ont besoin d’une masse considérable de données. C’est justement ce qui rééquilibre les forces. Les entreprises ont à leur disposition davantage de données pour se défendre que les attaquants n’en ont. Depuis deux ans, certains acteurs de la cybersécurité prédisent l’apparition de nouvelles menaces exploitant le machine learning pour déjouer les défenses IA des entreprises. Pour le moment de telles attaques restent du domaine de la science-fiction.

Bien sûr les attaques sont de plus en plus sophistiquées et l’on voit se multiplier des malwares qui adoptent des approches plus ‘intelligentes’ pour déguiser leurs activités malveillantes en activités légitimes. Darktrace, l’un des pionniers des véritables IA cyber-défensive, a l’an dernier identifié une telle attaque contre une entreprise du secteur de l’énergie car son IA a su détecter cette sournoise menace que les outils de sécurité traditionnels et les experts en cybersécurité n’avaient pas repérée. Aussi sophistiquée que fût l’attaque, elle engendrait quand même sur le SI des signes anormaux.

Certes des IA, et notamment les services cognitifs de génération d’images et de paroles, ont déjà été utilisées par les cybercriminels pour mener des attaques en se faisant passer pour des responsables de l’entreprise. Les technologies du « Fake » ont beaucoup progressé grâce à l’IA au point qu’il nous faut désormais des IA pour détecter les fausses images, fausses vidéos et fausses voix générées par d’autres IA.

Les machines finiront par se protéger elles-mêmes

Ainsi, nous sommes déjà entrés dans l’ère des algorithmes contre les algorithmes, des IA utilisées à des fins malveillantes contre des IA de cyber défense. Typiquement, Darktrace a introduit en 2019 son « Cyber AI Analyst », une intelligence artificielle qui émule les processus d’analyse des humains pour investiguer en permanence les cyber-menaces mais à la vitesse des ordinateurs. Les entreprises qui l’emploient estiment qu’elles ont ainsi réduit de 92% le temps nécessaire à l’analyse des menaces et la mise en œuvre des protections ou remédiations nécessaires. Couplées à l’automatisation, de telles IA de cyber défense sont déjà capables d’ordonner à certains équipements d’activer automatiquement des boucliers pour parer les attaques en cours qu’elles ont repéré.

Encore essentiellement utilisées pour alerter les humains d’anomalies dans les comportements des utilisateurs ou des équipements, les intelligences artificielles de cybersécurité permettent non seulement de rehausser considérablement le niveau de résilience des entreprises mais elles assureront à terme tout le travail de remédiation et de protection. Et ce n’est pas de la science-fiction. C’est déjà un début de réalité dans certains centres de sécurité.

 

Crédit photos : Shutterstock