Quelle utilisation faire de l’IA en matière de cybersécurité ?

Le moins que l’on puisse dire, c’est qu’un nouveau consensus technico-marketing a émergé ces derniers mois : l’intelligence artificielle (IA) et la cybersécurité seraient les nouveaux ingrédients d’une nouvelle alliance stratégique pour les entreprises et organisations…

L'IA aujourd’hui et ce que l'on peut en attendre pour demain

Il est rarement contesté que les organisations font face à la multiplication continue des cybermenaces : les différentes publications des offreurs de solutions de sécurité abondent bien naturellement dans ce sens, mais elles peuvent être suspectées de promouvoir « une » vision du marché ou a minima de ne pas avoir la neutralité attendue d’un rapport officiel institutionnel. C’est pourquoi quand des institutions comme le Forum Économique Mondial [1] , Europol [2] ou maintenant les assureurs [3] abordent le risque cyber à un tel niveau, l’heure n’est plus au doute et à la réflexion, mais à l’action.

Les entreprises et organisations évoluent et réagissent : pas toutes en même temps, pas toutes à temps, pas toutes au même rythme, pas toutes autant qu’il le faudrait… mais le mouvement est inéluctable. D’autant que l’étau législatif et les chaînes de responsabilité ou d’obligation se précisent bien, avec par exemple, la mise en œuvre du RGPD en mai 2018 ou les décrets d’application de la directive NIS sur les OSE en France…

Celles qui avaient déjà acté le risque cyber à une « juste » valeur et n’étaient pourtant pas restées attentistes se sont pourtant trouvées confrontées à un problème nouveau.

Le modèle actuel répondrait de moins en moins bien à la demande :

• la surface d’attaque est en extension permanente ;
• les volumes de données pertinentes à traiter sont en augmentation exponentielle ;
• les barrières techniques plient mais ne rompent pas encore ;
• les applications sensibles sont bien mieux ciblées ;
• les attaques cyber sont d’une vélocité redoutable ;
• les analystes en cybersécurité sont submergés par les alertes…

Depuis 2 ans, sous les roulements de tambours du marketing et de la communication des offreurs de solutions, les entreprises se tournent  vers des solutions à base d’IA pour renforcer la protection de leurs actifs numériques [4] , et suivre la promesse selon laquelle « l’IA va réinventer la cybersécurité ».

De quoi parle-t-on quand on parle d’IA ?

Il ne s'agit pas ici des traitements classiques de données, même en très gros volume, mais tel que défini par Andrew Ng, de Stanford University, des capacités montrées par un système apprenant et perçu par un humain comme représentant de l’intelligence. Aujourd’hui, les domaines d’applications typiques de l’IA sont les historiques, la reconnaissance vocale, le traitement d’images ou d’analyse vidéo, la capacité de décision des objets autonomes (avec prise de décisions complexes), la reconnaissance du langage naturel…  S’ajoutent désormais, et de façon plus innovante, des modèles prescriptifs, de la créativité augmentée, de l’automatisation complexe ou des simulations avancées et, bien entendu, de l’analyse complexe débouchant, in fine, sur des prédictions.

Plus techniquement, on pourra parler également de machine learning (ML) – destiné à faire agir les ordinateurs sans qu'ils aient explicitement été programmés en ce sens – et de deep learning (DL) – lorsqu’on utilise des algorithmes inspirés par la structure et les fonctions cognitives du cerveau humain, via des réseaux neuronaux artificiels par exemple.

Quid de l’IA pour la cybersécurité ?

C’est aujourd’hui un ensemble de capacités techniques qui permettent à une organisation de détecter, prévoir/anticiper et bien entendu répondre aux menaces cyber, en temps réel, sur des bases de ML ou de DL.

Aujourd’hui, compte tenu de l’offre disponible, on peut classer les propositions en deux catégories :

• l’IA embarquée dans des produits de sécurité traditionnels (typiquement les solutions de postes de travail), en forte évolution actuellement ;
• des systèmes spécifiques d’IA basée sur des algorithmes et des technologies « maison », utilisés dans de nombreux domaines, dont la cybersécurité (comme IBM Watson par exemple).

Comment intégrer l’IA dans son plan directeur ?

Une IA est le reflet des données qualifiées par lesquelles elle a pu apprendre : la première étape est donc d’identifier l’ensemble des sources de données nécessaires à l’alimentation de la plate-forme d’IA et de créer ainsi la plate-forme de centralisation consolidée. C’est le prérequis, comme pour la mise en place des SIEMS de génération précédente. Sans donnée, pas de résultat !

L’objectif est de redonner la main aux analystes humains sur les cas les plus consommateurs aujourd’hui (par leur nombre, leur vitesse d’évolution…) ou à venir, sans bien savoir où chercher…

Selon le rapport de Capgemini précité, les cinq cas reconnus comme apportant un bénéfice maximal et une mise en œuvre raisonnablement coûteuse sont :

• la détection de « maliciels » ;
• la détection d’intrusion (ce qui semble assez old school) ;
• mais aussi la qualification de risque pour les environnements industriels (OT) ;
• la détection de fraude en environnement classique (IT) ;
• et l’analyse comportementale d’utilisateur ET d’objets en environnement IoT (on pense ici à la 5G). Déjà plus innovant !

S’ouvrir vers l’extérieur, en participant à des dispositifs d’échanges mutualisés, pour maintenir sa connaissance de l’évolution de la menace, s'avère également indispensable : c’est désormais le seul moyen de s’assurer qu’une organisation reste prête face aux menaces touchant déjà d’autres organisations (du secteur, de la même géographie, utilisant les mêmes logiciels…).

Il faut également aligner le management de la sécurité opérationnelle sur l’IA : l’impact de l’usage de l’IA ne sera fort que si couplé à des organisations matures de type Security, Orchestration, Automation and Response (SOAR [5] ) en permettant les réponses rapides telles qu’attendues face aux menaces détectées.

Il ne faut pas oublier le volet humain et la conduite du changement, en assurant la montée en compétences des analystes, au risque de transformer l’IA en une boîte noire toute puissante.

Enfin, à long terme, une surveillance de cette IA avec une gouvernance adaptée est indispensable : que se passerait-il si elle était en fait compromise par un attaquant ?

Y a-t-il déjà des bénéfices ?

Il est encore trop tôt pour être affirmatif tant les promesses sont fortes et les technologies en cours de mise en place.

Un domaine maîtrisé aujourd’hui est la lutte contre les e-mails frauduleux ; bien que parent pauvre des investissements informatiques, l’IA est présente ici depuis plus de 15 ans et y fait un retour spectaculaire, avec de récentes innovations pour lutter efficacement contre le phishing avancé ou « courriel malicieux ».

Les nouveaux retours attendus sont bien évidemment ailleurs, sur la détection et les réponses apportées aux intrusions ou fuites de données, via une automatisation totale, de la détection à la remédiation. D’où ces promesses de rapidité et de libération de temps faites par ces chers analystes…

Il convient de rester lucide : l’histoire nous a appris que l’innovation « positive » sera immanquablement détournée de son objectif premier et viendra, elle aussi, renforcer les armes des attaquants. La DARPA (Defense Advanced Research Projets Agency) ne s’y est pas trompée, en organisant dès 2016 des « cybercombats » entre machines autonomes basées sur de l’IA [6] . À défaut de l’être chez tous les défenseurs, l'IA est déjà étudiée et sera de plus en plus présente du côté des attaquants…

Exemple tout récent à méditer [7] : une belle attaque démarrant encore et toujours par un simple e-mail malicieux, un coup de fil, un plan d’attaque intégrant une IA, de type DeepFake [8] , synthétisant la voix du P-DG pressé et, au final, un virement bancaire unitaire de 220 000 euros… Pour l’instant.