Nul ne penserait remettre en question l’immense potentiel de l’Intelligence Artificielle pour la cybersécurité. Ses promesses d’automatisation, d’analyse, de montée en charge rapide et de réaction immédiate aux attaques sont les clés de la défense de demain.
Mais pourquoi ce potentiel serait-il réservé aux « gentils » de l’histoire ? Les attaquants aussi cherchent bien à automatiser leurs attaques, à monter en charge rapidement et à s’adapter aux actions des défenseurs. Et c’est précisément ce que l’IA peut leur offrir, à eux aussi…
Alors, en matière de cybersécurité, l’IA est-elle une amie ou une ennemie ?
Aujourd’hui, l’IA est clairement dans le camp des défenseurs. Mais la course à l’armement ne fait que commencer, et avec le temps, les compétences nécessaires au développement d’outils animés par une Intelligence Artificielle seront plus répandues et pourront sans aucun doute trouver leur chemin du mauvais côté de la ligne rouge. Déjà, de nombreux tutoriels sont disponibles en ligne pour maîtriser les bases de cette discipline et des ressources dédiées peuvent être louées très facilement dans le Cloud.
Les entreprises doivent donc s’attendre à voir se profiler des menaces augmentées par l’IA, et s’y préparer dès aujourd’hui afin de ne pas être prises au dépourvu.
Menaces automatisées à la hausse
L’un des premiers axes d’augmentation des menaces par de l’Intelligence Artificielle pourra venir des codes malveillants. Ces derniers doivent en effet s’adapter constamment afin d’échapper à la détection ou contrer les actions des défenseurs, et il s’agit ici précisément de l’une des forces de l’IA.
Prenons l’exemple de TrickBot, l’un des codes malveillants les plus intéressants du moment, connu pour sa grande modularité et son adaptabilité. TrickBot est constamment modifié pour s’adapter à un contexte technique changeant et à de nouvelles cibles. D’un simple cheval de Troie bancaire, il cible désormais des sociétés de cartes de crédit et des services de gestion de patrimoine, avec des approches toujours nouvelles. TrickBot serait un bon candidat pour être à l’avenir « piloté » par une IA. Celle-ci lui permettrait alors de choisir, parmi sa vaste sélection de modules, de techniques d’infection et de méthodes de déplacement latéraux, quelle approche utiliser à un instant précis en fonction du contexte où il se trouve, et surtout des actions de l’attaquant. Ainsi, après avoir infecté un certain nombre de postes de travail grâce à une vulnérabilité connue, si celle-ci se trouve ensuite corrigée sur le reste du réseau par les défenseurs, l’IA pourra décider d’utiliser le phishing interne pour tenter de se propager aux autres cibles (ce que TrickBot intègre déjà, mais manuellement).
Hameçonnage augmenté
Et puisque nous parlons de phishing, il est tout à fait concevable que nous assistions aussi bientôt à une augmentation du nombre de courriers d’hameçonnage alimentés par l’intelligence artificielle.
Aujourd’hui, les courriers de phishing sont en effet soit automatisés à grande échelle, et donc ils ne peuvent être personnalisés, soit ils sont longuement préparés pour viser un individu en particulier, grâce notamment à un profil détaillé réalisé en partie grâce à une étude approfondie de ses publications sur divers réseaux sociaux – et ne peuvent donc être envoyés en masse.
Mais que se passerait-il si une IA était en mesure d’automatiser la très chronophage phase de repérage qui permet à l’attaquant de créer un courrier parfaitement adapté aux intérêts de sa cible ? Nous verrions alors arriver des vagues massives de phishing parfaitement ciblés, bien préparés, et donc à l’efficacité redoutable.
Par conséquent, il est impératif que les entreprises accentuent leurs formations contre l’hameçonnage en aidant leurs collaborateurs à repérer les courriels frauduleux de grande qualité et des liens ou des pièces jointes suspectes très bien ficelés.
Attention à l’explosion de l’IA dans l’entreprise
Il y a un autre risque, moins souvent évoqué : l’adoption généralisée de l’intelligence artificielle dans différents secteurs de l’entreprise (RH, finance, etc.) peut rendre plus difficile la compréhension des interactions, et donc le déploiement des systèmes de sécurité dans les meilleures conditions d’efficacité. Car sans visibilité sur ce que fait l’IA, les équipes de sécurité pourraient avoir du mal à déterminer où concentrer leurs efforts ou à repérer des comportements anormaux.
Pour s’en protéger, les organisations doivent donc se poser dès à présent une série de questions vitales. Quelles sont les forces et les faiblesses de leurs infrastructures informatiques ? Et parmi celles-ci, lesquelles sont concernées par l’arrivée de l’IA ? Quels sont les comportements des employés qui influent sur les moyens de défense ? Ces comportements pourraient-ils, demain, être pris en charge aussi par une IA ? Répondre à ce genre de questions permettra de déterminer plus facilement une utilisation optimale de l’IA au sein de l’entreprise, en toute sécurité.
La clé, en définitive, est de revenir aux bases et d’adopter une stratégie de prévention, de détection et de réponse. Si elle est déployée correctement, l’intelligence artificielle peut être dans ce cadre très utile pour recueillir des renseignements sur les nouvelles menaces, les tentatives d’attaques et les intrusions réussies. Elle peut aussi détecter les anomalies au sein du réseau et les signaler plus rapidement qu’un humain ne le pourra jamais.
Les entreprises peuvent également rendre la vie difficile aux pirates informatiques en isolant les applications vulnérables. Il s’agit d’une méthode utile pour réduire les risques et rendre les logiciels malveillants inoffensifs en leur permettant de s’exécuter entièrement dans un environnement complètement isolé et confiné. De manière cruciale, cette approche aide à se protéger contre les vecteurs d’attaques les plus courants, tels que les téléchargements malveillants, les plug-ins et les pièces jointes d’e-mails, qui seront forcément des outils mis au service de l’IA comme ils le sont aujourd’hui pour les attaquants humains… simplement bien plus rapidement et à une échelle largement supérieure !
Au fur et à mesure que l’utilisation des applications au sein des organisations continue de croître, ce sont ces domaines que les pirates cibleront en priorité avec des attaques augmentées par l’IA. La sécurisation des applications doit ainsi toujours être une préoccupation majeure pour les chefs d’entreprise qui cherchent à assurer la protection continue de leurs infrastructures informatiques, quelles que soient les nouvelles technologies à arriver sur le marché.
IA contre IA
La rentabilité de l’intelligence artificielle dans le domaine de la cybersécurité est avérée par des études et l’efficacité opérationnelle de l’automatisation devient de plus en plus évidente au fil des jours.
Mais il ne faut pas croire qu’il s’agit là de solutions miracles. Car ce serait oublier que l’IA sera probablement demain à la fois un élément vital de la défense comme une arme de destruction massive. Les entreprises doivent donc se préparer à non seulement accueillir l’IA pour les aider à se protéger et à atteindre leurs objectifs, mais aussi à voir face à elles des adversaires dotés des mêmes atouts.
Et c’est dès à présent que cela se passe : il faut se pencher dès maintenant sur l’automatisation, comprendre les apports de l’IA dans tous les domaines stratégiques de l’entreprise, chercher les optimisations, rationaliser et automatiser sa défense. Et le tout en s’appuyant toujours plus sur les équipes de sécurité humaines, qui doivent être présentes en première ligne. Car l’humain aura toujours un rôle essentiel à jouer, en apportant notamment son intuition et ses capacités de déduction et de gouvernance. Mais cela ne suffira probablement bientôt plus, et il est grand temps de s’y préparer.
_________
Arnaud Lemaire est Tech Evangéliste, F5 Networks