L’intelligence artificielle (IA) se trouve au cœur des tendances technologiques qui laisse apparaître beaucoup d’espoir dans la sécurisation et la maîtrise des informations. Beaucoup de vendeurs de solutions de sécurité informatique surfent sur cette vague en faisant de l’IA un argument marketing parfois mensonger. Certains parlent même d’IA washing ! Alors, que peut apporter l’IA en matière de cybersécurité ?
L’IA est sur le point de révolutionner le domaine afin de maintenir la confidentialité, la disponibilité et l’intégrité des informations circulant sur les systèmes informatiques. Face à des vulnérabilités souvent méconnues, des menaces qui se complexifient et un besoin de gérer toujours plus d’incidents de sécurité, les solutions basées sur l’IA pourraient se faire la part belle. En effet, on entend parler du chiffre de 18 milliards de dollars en 2023. Mais de quoi parle-t-on exactement ?
Détection et réponses aux incidents : les premières applications de l’IA en cybersécurité
A partir des règles établies par les analystes en gestion des informations et des événements de sécurité, les organisations ont des milliers d’incidents à traiter dans lesquels se dissimulent de véritables attaques. Les Security Operation Center (SOC) peuvent alors être submergés par des « faux positifs » qui pèsent sur la charge de travail des experts. Dans ce contexte, l’IA peut libérer du temps pour gérer et répondre aux attaques en fournissant un meilleur niveau d’analyse.
Les SOC pourraient ainsi bénéficier d’une automatisation dans le tri des alertes grâce au Robotic Process Automation (RPA) qui analyse des données en les comparant à des listes noires et autres bases de données de logiciels malveillants. Cette technique est également essentielle pour répondre aux incidents automatiquement en appliquant de nouvelles règles pour se protéger des menaces.
Toutefois, pour déterminer la gravité des incidents et trier les fausses alertes des vraies attaques, le RPA ne suffit pas car il n’apprend pas de son expérience. Pour cela, les IA basées sur l’automatisation cognitive utilisent du Machine Learning (ML) ou apprentissage automatique afin d’assurer ce tri. Il s’agit sans doute d’une des techniques d’IA des plus prometteuses en matière de cyber-sécurité. Permettant aux algorithmes d’apprendre sans règles préétablies, des heures d’entraînements sur de vastes catalogues de données l’amènent à différencier le pathologique du normal puis de répondre en conséquence.
Des éditeurs de logiciels de protection des systèmes d’information comme le russe Kaspersky proposent déjà des solutions basées sur le ML pour que leurs algorithmes arrivent à zéro faux positifs. Ils utilisent également du deep learning pour faciliter la reconnaissance des malwares.
L’IA veille sur les assets informationnels des organisations par une connaissance situationnelle
Cette méthode d’automatisation cognitive va également pouvoir agir pour déceler des menaces encore inconnues dans l’environnement d’une entreprise. A cette étape, l’alliance des analystes avec l’IA est fondamentale pour la réussite de cette veille permanente. Il est donc nécessaire de revoir les processus de traitement des incidents de sécurité au sein des entreprises pour inclure l’IA comme une réelle “partie prenante”.
En complément de l’équipe SOC et de l’outil SIEM, les « next-generation antivirus » (NGAV) représentent également des opportunités pour renforcer la cyber-sécurité au niveau des “End-Point”. Proposant des analyses complexes pour identifier des comportements illégitimes (e.g. Attaques APT), ces NGAV conseillent également des actions aux utilisateurs pour mieux se protéger.
Renforcement des défenses mais aussi des attaques
L’IA peut aussi complexifier les attaques ! En effet, les attaquants lorgnent aussi sur les potentialités du machine learning en implémentant des stratégies de création automatique de logiciels malveillants et de botnets intelligents. On voit donc apparaître des assaillants qui cherchent à asphyxier les bases de données des IA pour réussir à passer à travers les mailles du filet.
Comme pour les antivirus classiques, une des menaces majeures est l’empoisonnement des données pour fausser l’apprentissage des IA. Déjà identifié en 2016 comme un des risques majeurs pour le développement de ces technologies, le chatbot sur base d’IA que Microsoft avait placé sur Twitter, en avait fait les frais en devenant raciste et sexiste en moins de 24 heures.
Un autre terrain sur lequel l’IA apporte de la valeur-ajoutée est celui de la reprise en main de son patrimoine informationnel. Dans le contexte de la mise en conformité au RGPD, les organisations profitent de ce tournant pour cartographier leurs informations souvent éparpillées au sein de leurs infrastructures.
Conformément à la compréhension qu’elle a des schémas d’information que l’on peut lui soumettre, l’IA accompagnée du machine learning aide à l’identification des données au sein du SI en proposant l’application de « tags » de niveau de sensibilité ou de confidentialité.
L’IA, le ML et le RPA apportent des niveaux d’analyse que l’esprit humain n’est pas capable d’assimiler. Il est donc essentiel de commencer à réfléchir à l’intégration de ces solutions pour préparer la défense de ces nouvelles vagues d’attaques complexes dont nos entreprises pourraient être victimes.