L’explicabilité peut renforcer la relation entre l’humain et l’IA et contribuer à améliorer les performances des équipes de sécurité en combinant le traitement automatique du langage naturel (NLP) et la détection des menaces.

La cybersécurité est un problème qui n’est plus à échelle humaine. Les environnements numériques et les exigences en matière de sécurité sont trop complexes pour que l’Homme soit capable de toujours les gérer, et pourtant il le faut. Un pirate peut se contenter de réussir une seule fois là où les équipes de sécurité doivent réussir à chaque fois.

Les organisations actuelles détiennent une trop grande quantité de données pour que l’humain puisse suivre et anticiper chaque cyberattaque. Il est impossible de passer manuellement en revue tous les logs de sécurité d’une organisation et de rédiger des détections statiques. Les professionnels de la cybersécurité ont besoin d’être épaulés dans cette mission.

 

Dans un contexte où l’IA devient incontournable en cybersécurité, l’Intelligence Artificielle Explicable (IAX) va devenir un atout majeur pour les professionnels de la sécurité comme pour les managers

Les spécialistes de la cybersécurité sont sceptiques de nature. Avant de pouvoir faire confiance à un système avec lequel ils travaillent, ils doivent le comprendre. L’Intelligence Artificielle (IA) et les équipes doivent travailler ensemble pour se défendre contre des hackers aux techniques toujours plus sophistiquées. Si les avancées en matière d’IA peuvent aider les équipes de sécurité à optimiser leurs performances, elles ne peuvent pas se limiter au seul développement d’algorithmes mathématiques avancés. Les humains doivent pouvoir agir et contrôler leurs systèmes et comprendre la manière dont l’IA les affecte.

L’accent sera de plus en plus mis sur l’IAX, une notion qui est aux antipodes du concept de « boîte noire » qui est souvent associé aux algorithmes d’IA. En cybersécurité, une boîte noire est un système dont on peut voir les données entrantes et les résultats sans connaître son fonctionnement interne. Or, ces résultats sont souvent produits sans explication et la sécurité étant au cœur des préoccupations des conseils d’administration des entreprises, les équipes doivent aujourd’hui communiquer les impacts attendus de l’IA, ses biais potentiels et ses actions, sans en comprendre tous les tenants et les aboutissants.

L’IAX renverse cette situation en veillant à ce que les professionnels de la sécurité informatique puissent regarder « sous le capot » de la boîte noire et comprendre les choix effectués par la technologie (et plus spécifiquement par l’IA). L’IAX produit un raisonnement détaillé pour clarifier les décisions de l’IA. Pour établir la confiance nécessaire, les humains doivent garder le contrôle et appréhender le processus décisionnel de l’IA. Il ne s’agit pas de comprendre et de remettre en question chaque décision, mais plutôt d’être en mesure d’approfondir le processus décisionnel si nécessaire. Cette capacité est cruciale lorsqu’il s’agit d’enquêter sur des cyberincidents et de déterminer avec discernement les mesures à prendre.

 

Aujourd’hui, il ne suffit plus de constater l’existence d’un événement de sécurité : les équipes de sécurité doivent comprendre le comment et le pourquoi

Il est impossible d’identifier une vulnérabilité ou la cause profonde d’une attaque sans comprendre comment un cyber-attaquant est parvenu à franchir les défenses ou pourquoi l’IA a pu contenir la menace. Dès lors, comment mettre en place l’IAX en matière de cybersécurité ?

L’IAX met les données à la disposition des humains, dans la mesure du possible, et en toute sécurité. Les résultats générés par l’IA sont présentés en langage clair, simple et souvent associés à des outils de visualisation. Les processus et méthodes qui permettent aux utilisateurs de comprendre et de se fier aux résultats et données générées par le machine learning seront bientôt au cœur des Centres d’Opérations de Sécurité (SOC).

L’IAX permet de comprendre les différents niveaux de prise de décision, du niveau d’abstraction le plus élevé au plus bas. En programmant l’IA pour qu’elle explique le pourquoi des micro-décisions qu’elle prend quotidiennement, les équipes sont alors en mesure de prendre les macro-décisions, ayant un impact sur l’ensemble de l’entreprise et nécessitant un contexte humain.

L’utilisation du traitement automatique du langage naturel (NLP) dans l’analyse des données sur les menaces illustre bien ce phénomène. Associé à une détection et une réponse sophistiquées des menaces par l’IA, le NLP peut aider à donner un sens aux données et à « rédiger » de manière autonome des rapports complets. Ces rapports peuvent expliquer l’ensemble du processus d’attaque, étape par étape, depuis les premiers stades jusqu’à la progression de l’attaque, en passant par les mesures correctives nécessaires. Dans certains cas, le NLP peut également être appliqué à des modèles existants, tels que le modèle ATT&CK de MITRE, couramment utilisé, pour aider à exprimer les résultats d’une manière qui ajoute une plus-value aux flux de travail des analystes de sécurité, même chevronnés.

Le NLP peut même être en mesure d’exposer les hypothèses qui sous-tendent une cyber-attaque, en expliquant le « comment » en plus du « quoi ». Cela permet non seulement de décortiquer les actions de détection des menaces et de réponse proportionnée de manière simple et digeste, mais aussi d’informer les équipes sur la manière d’empêcher ces menaces de se reproduire.

 

Les responsables de la sécurité ne sont pas les seuls à reconnaître l’importance de l’IAX : les régulateurs ont pris conscience des risques liés aux méthodes de formation de l’IA

Habituellement, l’IA est formée sur des ensembles de données importants et sensibles, qui peuvent être partagés par plusieurs équipes et organisations dans différentes régions du monde, ce qui peut compliquer les mesures de conformité. Autant que possible, pour faciliter la vie des organisations et des régulateurs lorsqu’ils sont confrontés à ces questions complexes, l’IAX devrait être généralisée et harmonisée dans un souci de transparence, d’objectivité pour, en fin de compte, favoriser la résilience de l’IA.

Les organisations devraient également prendre des mesures pour tirer parti de l’IA afin d’en faire bénéficier les équipes humaines et les rendre plus efficaces et plus robustes. Si des biais ou des inexactitudes apparaissent dans les algorithmes, les organisations pourraient compter sur l’IAX pour identifier où se sont formés les biais et prendre des mesures pour les atténuer (en plus de comprendre les processus qui sous-tendent ses décisions).

En identifiant et en optimisant ces biais, l’IA contribue à éliminer les défis auxquels les équipes humaines devront faire face à l’avenir, plutôt que de les amplifier. Pour que les algorithmes IA puissent réellement renforcer les défenses de sécurité, l’humain derrière l’IA doit comprendre ces décisions grâce à l’explicabilité.

___________________

Par Max Heinemeyer, VP of Cyber Innovation de Darktrace

 

À lire également :

> « Grâce à l’IA nous avons construit un système immunitaire similaire à celui humain mais pour les réseaux et systèmes »

> Comment Darktrace, une start-up européenne, révolutionne l’IA et la cybersécurité

> Cybersécurité : l’IA apporte de l’évolutivité au whitelisting

> L’IA pour mener la chasse contre les cyberpirates