« Les techniques d’intelligence artificielle sont les seules qui permettront de sauver notre industrie ». Stuart McClure, CEO et fondateur de la société Cylance.

« Il n’y a rien de nouveau dans le monde du hacking » affirme Stuart McClure, CEO de la société Cylance spécialisée dans le développement de solutions de cybersécurité qui font appel aux techniques d’intelligence artificielle. La formule selon laquelle la sécurité n’est pas une destination mais un voyage est connue tout comme celle du voleur et du gendarme pour décrire la course permanente que se font les hackers et les spécialistes de la sécurité.

« Mais l’objectif que nous poursuivons est d’élever le montant d’investissement et le temps nécessaire pour dissuader une proportion important de candidats hackers de se lancer dans des activités malveillantes » poursuit-il. Tout le monde ferme sa porte à clé sachant pertinemment que le voleur qui souhaitera rentrer dans la maison pourra le faire. Mais de la même manière cela complique un peu sa tâche.

Cylance applique l’intelligence artificielle

5-ia-2Créé en 2012, Cylance développe des programmes antivirus et d’autres types de logiciels qui mettent l’accent sur la prévention des virus et les logiciels malveillants. La société est basée à Irvine, en Californie. Cylance est couramment présentée comme « la première entreprise à appliquer l’intelligence artificielle, la science algorithmique et l’apprentissage automatique à la cyber-sécurité. »
Cylance a été fondée par Stuart McClure et Ryan Permeh. McClure était auparavant co-fondateur de Foundstone, un cabinet de conseil de sécurité, qu’il a vendu à McAfee en 2004, dont il est devenu CTO.
En juin dernier, Cylance a levé 100 millions de dollars des fonds d’investissement Blackstone Tactical Opportunities et Insight Venture Partners portant à près de 150 M$ les montants collectés. L’entreprise connait une croissance rapide. D’avril à septembre 2016, elle est passée de 300 à 700 salariés et de 750 à 1300 clients. Cylance fait partie du club des licornes c’est-à-dire des sociétés valorisées à plus de 1 milliard de dollars.

Depuis toujours, il existe trois méthodes principales pour couvrir les risques de cybersécurité : prévenir, détecter et répondre. En général, les sociétés spécialisées dans la sécurité ont une démarche dite des 99 %, explique Stuart McClure. Elles essayent de prévenir 99 % des attaques, puis de détecter 99 % des 1 % qu’elles n’ont pas pu prévenir et enfin répondre aux 99 % des 1 % qu’elles n’auraient pas pu détecter. La démarche de Cylance est tout autre. « Nous nous concentrons en totalité sur la prévention, explique-t-il. Peu importe que l’hacker soit russe ou chinois, ou que ce soit une grand-mère dans l’Idaho ».

Du particulier au général

Les spécialistes de la sécurité sont face à une difficulté majeure : on peut déterminer qu’un morceau de code est bon ou mauvais si on peut le comparer à quelqu’un chose de connu ou s’il a réussi à passer toutes les défenses. « Dans la société dans laquelle j’étais CTO, nous avions 2000 spécialistes passant leurs journées à faire ce type de travail, poursuit-il. Chez Cylance, en utilisant les techniques d’intelligence artificielle, nous pouvons faire mieux avec seulement 7 data scientists. Nous utilisons les techniques d’apprentissage non supervisé et supervisé ».  Non supervisé d’abord pour analyser automatiquement les millions de caractéristiques qui permettront de savoir si un code est malveillant ou non puis supervisé ensuite pour opérer une analyse manuelle sur celles qui sont plus difficiles à évaluer.

Apprentissage supervisé vs apprentissage non supervisé

L’apprentissage supervisé (supervised learning) est une technique d’apprentissage automatique où l’on cherche à produire automatiquement des règles à partir d’une base de données d’apprentissage contenant des « exemples » (en général des cas déjà traités et validés).

L’apprentissage non supervisé (parfois dénommé « clustering ») est une méthode d’apprentissage automatique. Il s’agit pour un logiciel de diviser un groupe hétérogène de données, en sous-groupes de manière que les données considérées comme les plus similaires soient associées au sein d’un groupe homogène et qu’au contraire les données considérées comme différentes se retrouvent dans d’autres groupes distincts ; l’objectif étant de permettre une extraction de connaissance organisée à partir de ces données.

Cylance se présente comme une des tout premiers spécialistes de cybersécurité à utiliser les techniques d’intelligence artificielle. « Mais certainement pas la dernière », poursuit Stuart McClure.

« Les algorithmes d’intelligence artificielle commencent toujours avec des cas d’utilisation particulier, notamment des ensembles de données à partir de laquelle nous développons des algorithmes plus généraux qui alors peuvent ou peuvent ne pas être en mesure d’être appliquée à différents autres cas d’utilisation », conclut Kathryn Hume, directeur marketing de Fast Forward Labs, une société qui applique les technologies d’IA à des cas concrets

 

Wedge applique l’intelligence artificielle au niveau du réseau pour révolutionner la prévention des malwares
5-ia-1Wedge Networks, Société sur la prévention en temps réel des menaces de réseau, présente des solutions pour lutter contre ransomware, attaques zero-day et autres menaces avancées de réseaux entrant, en se basant sur l’intelligence de la menace.
La nouvelle version Wedge Advanced Malware Blocker (WedgeAMB) est le premier produit de la solution de protection en temps réel (Wedge Absolute Real-Time ou WedgeARP). La série WedgeARP est une plate-forme de sécurité sous la forme de machines virtuelles ou d’appliance incluant un moteur d’inspection.
WedgeAMB fait appel aux technologies d’’intelligence artificielle de Cylance et d’autres technologies pour détecter et bloquer les virus et les logiciels malveillants avancés, tels que ransomware, au niveau du réseau, afin de les empêcher de pénétrer dans les réseaux d’entreprise.
Les menaces sont bloquées en temps réel, ce qui élimine le coût, la perturbation, l’effort et la gêne associée à la lutte contre des menaces après qu’ils ont pénétré dans le réseau. Il fournit également une visibilité en temps réel du paysage des menaces au niveau du réseau, l’habilitation du personnel de sécurité pour identifier et se concentrer sur les risques les plus critiques.