En tant que responsable IT, une question vous revient sans cesse : quid de l’optimisation et de l’accélération de vos activités ? Il se trouvera d’ailleurs souvent quelqu’un pour lancer dans la conversation des termes comme « intelligence artificielle » ou « apprentissage automatique » afin de savoir si vous suivez l’actualité technologique.
La notion d’intelligence artificielle peut se révéler déroutante. Elle est devenue une expression fourre-tout applicable à diverses méthodes et technologies. Dans le domaine de la cybersécurité, le sigle IA revient dans trois scénarios d’utilisation courants que les entreprises doivent cerner afin de déterminer si elles utilisent véritablement l’intelligence artificielle, et surtout, ce qu’elles peuvent en attendre.
Analyse de mégadonnées (big data)
Le premier scénario d’utilisation a trait à l’analyse des mégadonnées (big data). L’IA utilise l’analyse statistique du trafic – site web, e-mails ou autres données réseau – pour prédire le type d’anomalies susceptibles de constituer des menaces pour la sécurité, des virus par exemple. Cette méthode analyse diverses formes de données – comme, dans un e-mail, l’origine du message, le cheminement suivi et son objet afin de déterminer si la communication en question présente un risque.
Néanmoins, ce processus, relativement élémentaire, recense souvent des faux positifs, assimilant le trafic légitime à du trafic malveillant. Pour éviter cette erreur, des analystes humains prennent le relais sur les menaces potentielles. Il ne s’agit pas ici d’une IA « pur jus » puisque le processus décisionnel humain est prépondérant.
Apprentissage supervisé
L’apprentissage automatique (ou machine learning) correspond à un usage plus authentique de l’IA. Il est fait appel à un algorithme, qui classe les données en groupes distincts. Dans le cadre d’un apprentissage supervisé, cet algorithme apprend à catégoriser les données, par exemple à partir d’images annotées de chats et de chiens, de manière à pouvoir reconnaître ces animaux à l’avenir. À condition d’être alimentés avec des données en nombre suffisant sur les types de communications s’apparentant à des cybermenaces, les algorithmes d’apprentissage automatique peuvent distinguer les menaces du trafic légitime.
L’apprentissage supervisé, c’est en quelque sorte une analyse « survitaminée » de mégadonnées. Cette technique permet de prendre des décisions judicieuses plus rapidement que ne peut le faire l’homme. Sachant qu’il n’est pas rare que les menaces actuelles soient constituées de plusieurs centaines d’éléments, plus vous réussissez à les isoler et à les mettre en corrélation, meilleure est la qualité de la détection.
Pourquoi est-ce tellement primordial ? Les experts en sécurité ne mettront une mesure en œuvre qu’à condition d’être certains d’avoir correctement cerné le problème. La crainte d’obtenir un résultat erroné oblige bien souvent à s’en remettre à l’homme pour prendre la décision finale. Il est essentiel d’être en mesure de recourir à l’apprentissage automatique pour isoler plus sûrement les cybermenaces si nous voulons automatiser les prises de décision sans que la validation humaine ne ralentisse le processus.
Apprentissage non supervisé
Avec l’apprentissage non supervisé, l’IA se révèle sous une forme encore plus pure. Il est fait appel à un algorithme qui analyse des données et en retire ses propres enseignements sans apprentissage préalable. Par exemple, en examinant des images en ligne, celui-ci apprendra de lui-même que certaines représentent des vaches, d’autres des zèbres. Mais le processus risque d’être fastidieux. Donnez carte blanche à un algorithme d’apprentissage non supervisé sur des données de sécurité, et ne soyez pas surpris si plusieurs années s’écoulent avant qu’il ne livre un éclairage intéressant. Ceci dit, les enseignements tirés au final risquent de changer véritablement la donne — peut-être aura-t-il relevé certaines lignes de code associées à des virus ou attaques, par exemple.
Une analogie simple
La réflexion sur l’IA peut aussi être menée autrement, en usant d’un moyen mnémotechnique. Il est en effet possible d’établir une analogie avec la cuisine. L’analyse de mégadonnées s’apparente à la préparation de beans on toast. Cette recette ne nécessite que deux ingrédients simples, mais encore faut-il veiller à disposer la juste proportion de haricots blancs des plus savoureux sur du pain de mie grillé. L’analyse de données recherche les exemples où cet équilibre laisse à désirer et met en évidence l’anomalie de sorte qu’elle puisse être rectifiée par un chef cuisinier.
L’apprentissage supervisé, lui, nous permet d’étoffer la liste des ingrédients. Comme s’il s’agissait de préparer un excellent curry en permutant à l’envi les épices. Plus les ingrédients sont nombreux, plus le nombre de permutations est élevé. L’apprentissage supervisé accomplit ce que tout cuisinier lambda s’évertue à faire – réaliser des essais par milliers avant de tenir ce subtil mélange de piment et de citron vert, pour le plus grand plaisir des papilles.
Entre-temps, l’apprentissage non supervisé peut être comparé aux recettes mises au point par le chef britannique Heston Blumenthal, l’une des grandes figures de la gastronomie moléculaire et de la cuisine expérimentale. Celui-ci ne se fixe aucune limite quant aux ingrédients et méthodes utilisés. Et n’a aucune idée préconçue en matière de sensations gustatives acceptables.
Quelle personne, saine d’esprit, songerait à utiliser du gravier comme ingrédient culinaire ? Récemment, Heston Blumenthal a préconisé d’ajouter du gravier au potage pour l’épaissir. Les autres chefs et les clients sont partagés, et incapables de dire s’il s’agit ou non d’une idée de génie. Une telle incertitude ne serait pas d’un grand secours dans la détection des menaces, domaine dans lequel la riposte se doit d’être ferme.
Si l’apprentissage non supervisé n’est nullement entravé par notre approche mentale — et c’est bien là ce qui fait sa force — il faut cependant s’y reprendre à plusieurs fois avant de revenir avec une recette utilisable. L’acquisition des connaissances risque de prendre énormément de temps, pour des résultats parfois très mitigés. L’aspect positif, c’est que vous pouvez finir par trouver quelque chose d’extraordinaire que nos cerveaux d’êtres humains n’auraient tout simplement pas imaginé.
La prochaine fois que quelqu’un vous pose des questions sur l’IA ou affirme avoir une solution de cybersécurité extraordinaire, pilotée par l’IA, pour vous, demandez-vous si celle-ci est adaptée aux impératifs de votre activité. Il vous faudra tenir compte de la quantité de données produites par votre activité, mais aussi de leur aspect stratégique et de leur utilité. Peut-être n’avez-vous besoin que de quelques haricots blancs sur un toast. Peut-être avez-vous déjà servi un curry. Ou peut-être recherchez-vous de toutes nouvelles saveurs.
L’IA peut vous proposer de nouveaux niveaux de cybersécurité pour simplifier vos opérations. Tout l’enjeu consiste à déterminer le mieux adapté à votre activité.
__________
Greg Day est VP & CSO Palo Alto Networks Europe, Moyen-Orient et Afrique