Pourquoi l'IA est indispensable pour gagner la guerre de la cybersécurité ?
N'importe quel expert en cybersécurité vous le dira : l'erreur humaine est le maillon faible d'une plate-forme de cybersécurité. Les gens communiquent leurs mots de passe, ou en choisissent d'aisément devinables – le mot de passe le plus couramment utilisé dans le monde est toujours « 123456 ». Une nature humaine contre laquelle il faut encore lutter lors de l'élaboration et de la mise en œuvre de solutions de cybersécurité. À maintes reprises, de simples erreurs et omissions se sont révélées à l'origine d'incidents majeurs. La formation des développeurs, au même titre que celle des utilisateurs, est vitale et ne saurait être négligée par les entreprises, résume Sanjay Beri, CEO de Netskope, qui nous livre son analyse.
Fort heureusement, il n'en est rien. Une sécurité automatisée, plus évoluée, s'immisce actuellement dans leurs processus afin de leur ménager un filet de sécurité à l'encontre des utilisateurs les moins fiables. Dans les grandes entreprises, cette démarche se nomme DevSecOps (pour Développement-Sécurité-Opérations) : le concept consiste à inscrire une sécurité performante au cœur de toute activité métier.
Dans le monde « cloud-first » actuel, sans périmètre, il ne s'agit néanmoins pas uniquement de surveiller des points d'accès vulnérables. Les entreprises doivent cerner les méthodes de travail de leurs collaborateurs, repérer leurs pratiques dangereuses et isoler les angles morts qui échappent souvent aux équipes informatiques et aux solutions en place.
Et c'est là où intervient l'IA. Par le jeu de l'IA et de l'apprentissage automatique, l'analyse des mégadonnées peut s'opérer en temps réel, et non seulement éradiquer les angles morts, mais aussi faire barrage aux attaques. C'est précisément ce qu'accomplit aujourd'hui la plate-forme Netskope de sécurité cloud.Elle recourt à des algorithmes d'apprentissage automatique et à un moteur évolué de gestion des règles pour analyser en permanence le comportement des utilisateurs et détecter les anomalies qui laissent supposer des activités malveillantes.
La puissance conjuguée des technologies de pointe et de l'intelligence humaine est considérable. En automatisant nombre des tâches fastidieuses encore bien trop souvent dévolues aux individus, il est possible d'éviter quantité d'erreurs. Surtout, ces ressources humaines spécialisées peuvent exploiter au mieux leurs connaissances, leur intelligence et leur expertise. Pour autant, les cybercriminels sont malins ; ils savent que les « white hats » sont sur leurs traces et réagissent en conséquence, en changeant de comportement et de techniques pour ne pas être détectés. L'IA peut permettre d'anticiper leurs manœuvres, et de se départir de certaines actions élémentaires susceptibles d'entraîner des erreurs humaines.
Perçu au départ comme une innovation digne d'intérêt, cet instrument s'affirme comme une composante essentielle dans la lutte contre la cybercriminalité. De la même manière que « les gentils » innovent en faveur de la protection, « les méchants » innovent à des fins criminelles. Partant de là, les pirates experts utilisent nombre de technologies identiques contre nous – dont ils n'hésitent pas à se servir des moindres artifices pour prendre l'avantage.
Prenons le cloud, par exemple : il a transformé les méthodes de collaboration des entreprises et de leurs collaborateurs. Mais les malwares, ces logiciels malveillants qui constituent l'une des formes d'attaques les plus courantes, ont tiré parti de deux de ses caractéristiques les plus utiles et les plus spécifiques – la synchronisation et le partage – pour se propager de manière exponentielle sur les postes des utilisateurs et, de là, contaminer leurs contacts et leurs points de connexion. Il ne suffit plus de s'en remettre à des solutions de sécurité standard ; les entreprises, aux quatre coins du monde, doivent rehausser leur jeu dans le domaine de la sécurité, en s'entourant d'un CASB (Cloud Access Security Broker) performant pour tirer avantage des dernières technologies IA en date afin de protéger correctement leurs données liées au cloud.
Malheureusement, même si l'IA a vocation à nous aider à progresser à un rythme fulgurant, il est très improbable qu'une solution miracle vienne à bout de la lutte contre la fraude. L'adoption de l'authentification à deux facteurs poursuivra son extension, le NSCS (National Cyber Security Centre) ayant récemment souligné son importance au travers de nouvelles instructions. La biométrie deviendra également monnaie courante… Pour autant, nous sommes encore loin de l'émergence d'une solution à toute épreuve.
Alors que la fraude posera toujours plus de difficultés, les techniques employées par les cybercriminels deviendront toujours plus innovantes, et il nous faudra une IA toujours plus évoluée pour prendre la cybersécurité pour cible, en nous servant de tous les outils dans notre arsenal pour tenter de faire mouche sur cette cible mobile, jour après jour.
Source : ITRnews
L'exfiltration de données sensibles réalisée par le lanceur d’alertes Edward Snowden au détriment de la CIA en 2013, les vols de cartes bancaires des clients du distributeur américain Target ou encore le piratage de films et de la messagerie de Sony Pictures en 2014… Autant de failles de sécurité informatique qui ont défrayé la chronique ces dernières années. Celles-ci auraient pu être évitées si les installations piratées avaient eu recours à une cybersécurité dopée à l’intelligence artificielle (IA) !
En se combinant avec les technologies d’IA, la cybersécurité pourrait faire un bond en avant prodigieux. De quoi exaucer les rêves les plus fous des responsables de la sécurité des systèmes d’information : stopper des cyberattaques élaborées et celles qui exploitent des vulnérabilités découvertes par des pirates, mais encore inconnues de la communauté informatique. Les solutions actuelles, fondées sur les antivirus et les pare-feu, n’arrêtent que les menaces qu’elles connaissent : les virus à partir d’une signature déjà répertoriée ou un logiciel malveillant à partir d’un extrait de lignes de code qui lui sont caractéristiques. Au-delà, les cyberpirates qui conçoivent des attaques sophistiquées et sur mesure en fonction du profil de leurs cibles – les fameuses APT (advanced persistent threat) dans le jargon cyber –, agissent dans les réseaux de manière quasiment indétectable. Pour le moment du moins.
L’une des branches les plus prometteuses de la cybersécurité à base d’IA est l’UBA (user behavior analytics). Il s’agit de connaître finement le fonctionnement d’un réseau ou le comportement d’un utilisateur, pour réagir au plus vite en cas d’anomalie. Typiquement, si un important volume de données sort du réseau en dehors des horaires habituels, l’IA pourra émettre une alerte. Ou encore si le mot de passe d’un utilisateur est frappé moins vite qu’en temps normal (du fait d’hésitations par exemple) ou depuis un nouvel ordinateur, cela pourra révéler le vol des identifiants de sécurité du véritable titulaire. L’éditeur britannique Darktrace, fondé par des chercheurs de l’université de Cambridge, a été l’un des pionniers à faire appel à l’IA avec des produits disponibles sur le marché dès 2013.
Très précieux jeux de données
"Notre logiciel analyse en temps réel le comportement d’un réseau en se basant sur environ 350 paramètres. Cet outil s’autoconfigure pour chaque client", explique Hippolyte Fouque, son porte-parole en France. Appliquant un principe similaire, certaines solutions du marché ont mis en échec le virus Wannacry qui avait touché des centaines milliers d’entreprises en 2017. "Chez nos clients, le virus a pu être mis en quarantaine avant de faire des dégâts. Des signaux faibles ont permis de détecter une activité anormale : le volume inhabituel d’e-mails reçus, des process informatiques qui se lancent sans raison…" précise Jean-Nicolas Piotrowski, le fondateur d’iTrust, une société de cybersécurité implantée à Toulouse (Haute-Garonne).
De nombreux éditeurs de produits de cybersécurité revendiquent avoir enrichi leurs solutions avec de l’intelligence artificielle. Ils peuvent remercier les grands acteurs de la high-tech américaine, les Gafa (Google, Amazon, Facebook, Apple), et également IBM, qui ont investi des sommes considérables dans l’IA. Ils ont mis à disposition gratuitement leurs principales librairies de moteur d’intelligence artificielle : Tensorflow pour Google, Torch pour Facebook, SystemL pour IBM… De quoi permettre aux acteurs de la cybersécurité de concevoir leurs propres algorithmes d’apprentissage automatique de détection de cyberattaques. Depuis, l’offre s’est enrichie. Le cabinet CN Insights avait déjà identifié, en juin 2017, pas moins de 80 sociétés exploitant l’intelligence artificielle, dont deux valorisées à plus d’un milliard de dollars. Ces dernières investissent tous les segments de la sécurité informatique : de la détection de fraude en ligne en passant par la sécurisation des objets connectés, l’usurpation d’identité numérique et les recherches de vulnérabilité via les applications pour terminaux mobiles.
"Gare à l’IA washing", prévient toutefois Alain Binstock, le directeur de l’innovation chez Wallix. L’éditeur français s’est spécialisé dans la détection des cyberattaques à partir de l’usurpation des comptes d’utilisateurs à privilèges. L’effort n’est pas anodin. La société mobilise une poignée d’experts depuis un an pour sortir une version de son offre enrichie d’IA. L’intelligence artificielle reposant sur la capacité d’apprendre de la machine, nécessite de l’alimenter en données à la fois pertinentes et en grand nombre. Or, s’il est facile d’apprendre à une machine à reconnaître un chat en la gavant d’images qui représentent ou non des chats, il est plus difficile de lui apprendre à reconnaître une cyberattaque. "C’est plus complexe d’avoir la trace d’une cyberattaque que l’image d’un chat", commente l’expert de Wallix.
Des initiatives existent pour mettre la main sur ces précieux jeux de données codant une cyberattaque. Les éditeurs envisagent de faire appel aux plates-formes de bug bounty : elles mettent au défi des hackers éthiques de trouver des failles dans un système informatique. Elles récupèrent de précieux jeux de cyberattaques. D’autres acteurs sont aux premières loges pour les récupérer. Comme l’opérateur Orange qui assure la surveillance des réseaux de 80 entreprises en France et dans le monde. Ses centres de cybersécurité collectent ainsi 27 milliards d’événements informatiques quotidiennement, correspondant à 2 000 attaques potentielles par mois.
IA contre IA
Autre parade : se spécialiser sur des créneaux précis pour réduire le nombre de données nécessaires d’apprentissage. Grâce à une collaboration avec le FBI, le japonais Trend Micro a développé une offre de détection d’e-mails malveillants ciblant les directions financières. "À base d’une solution de machine learning, nous avons établi une sorte d’ADN de ce type de messages fondé sur la récurrence de certains motifs au sein même du message, mais également des serveurs informatiques relais qui les émettent", détaille Loïc Guezo, stratégiste en cybersécurité pour Trend Micro. Si prometteuse soit-elle, l’IA soulève de nombreuses questions. "Ces systèmes intelligents peuvent être la cible de nouvelles classes d’attaque qui visent à les tromper ou influencer leur comportement", avertissent les chercheurs qui organisent la conférence de cybersécurité C&esar qui réunit chaque année les principaux acteurs français gouvernementaux, industriels et académiques. Son côté boîte noire, qui produit des résultats sans que l’on sache réellement comment ils sont obtenus, interpelle. "Le manque fréquent d’explicabilité des prises de décision et la difficulté à analyser leur comportement peuvent présenter un risque", renchérissent-ils.
Les experts ont déjà démontré qu’une IA pouvait être trompée… Notamment dans le domaine de la reconnaissance d’objet dans une image. Il suffit de modifier quelques pixels bien précis d’une image représentant un panda pour faire croire à une intelligence artificielle qu’elle voit un gibbon ! Le principe est le même pour une cyberattaque. L’attaquant peut passer sous les radars d’une IA s’il laisse derrière lui les "bonnes" traces informatiques. Enfin, l’IA peut se retourner contre la cybersécurité. "Avec un tel outil, un pirate peut faire une cartographie rapide des vulnérabilités d’un réseau et diffuser un virus virulent de manière très efficace", soulève Thierry Berthier, chercheur en cyberdéfense et cybersécurité à l’université de Limoges et copilote du groupe de travail sécurité-intelligence artificielle au sein du Hub France IA. C’est alors IA contre IA. La Darpa, l’agence de recherche des militaires américains, finance de larges travaux dans ce domaine. À l’heure des algorithmes d’intelligence automatique, la course technologique entre les cybervoleurs et les gendarmes numériques n’est pas près de s’arrêter.
"Nous traitons 27 milliards d’événements informatiques par jour" - Rodrigue Le Bayon, responsable des services de cybersurveillance d’Orange Cyberdéfense
Comment Orange assure-t-il la cybersécurité de ses clients ?
Nous comptons 220 analystes et opérateurs qui assurent une activité de surveillance et de détection des cybermenaces. Ils sont répartis sur quatre centres [des SOC dans le jargon cyber, ndlr] à Rennes, Paris, New-Delhi et Varsovie. Ils assurent la protection des réseaux de nos 80 clients. Ces centres intègrent depuis un an des solutions à base d’intelligence artificielle dans nos plates-formes et nos dispositifs.
Que vous apporte l’intelligence artificielle ?
D’une part, l’intelligence artificielle va nous permettre de traiter plus efficacement des volumes d’incidents de cybersécurité de plus en plus nombreux. Nos centres traitent 27 milliards d’événements informatiques par jour. D’autre part, nous allons pouvoir détecter des menaces qui n’ont pas été préalablement définies à travers une capacité d’apprentissage de nos plates-formes des comportements anormaux des réseaux informatiques.
Quels résultats avez-vous obtenu ?
Après un travail d’étroite collaboration avec nos clients pour comprendre le comportement de leur réseau, nous avons pu calibrer au mieux nos outils de détection. Les premiers résultats sont à la hauteur de nos attentes. Après un an, nous arrivons à stabiliser le taux de fausses alarmes autour de 20 %, contre le double en général. Cela nous assure que nos équipes travaillent sur 80 % d’alertes qui font vraiment l’objet d’un incident de cybersécurité.
Les hommes ont-ils toujours leur place en matière de cybersécurité ?
Dans le cadre des centres de cybersécurité, il ne faut pas opposer la machine et l’humain. Si les algorithmes de machine learning peuvent détecter un comportement anormal, seul un analyste peut remettre en contexte ces événements anormaux et les associer ou non à une action malveillante. À mon sens, il n’existe pas encore véritablement de solution de sécurité autonome qui évolue automatiquement et qui soit capable de muter pour détecter les cybermenaces inconnues.
La France se mobilise
Au même titre que le secteur de l’énergie ou la ville intelligente, la cybersécurité figure parmi les secteurs prioritaires définis par le Hub France IA, association de loi 1901, née l’an passé, qui vise à créer une véritable filière industrielle de l’IA dans l’Hexagone. À travers le groupe de travail sécurité-IA, tous les acteurs de l’écosystème de la sécurité numérique coordonnent leurs efforts : de la start-up au grand industriel, en passant par le milieu de la recherche académique et l’Anssi, l’agence française de cybersécurité. Les entreprises amenées à déployer ces futures technologies en font également partie. Parmi elles : Air liquide, la SNCF, la Société générale… Des acteurs essentiels pour remonter les besoins du terrain et tester les solutions avant leur mise sur le marché. La France ne part pas de zéro avec des acteurs capables de concevoir des sondes de détection de cyberattaques à base d’IA (Thales, Watchkeeper) et des outils de collecte et de corrélation, à l’image de l’éditeur toulousain iTrust. Outre une veille technologique et le financement de thèses, les premiers travaux techniques portent sur la création d’une base de données recensant les codes malveillants.
Source : Usine Nouvelle
Deux articles très intéressants qui doivent alimenter notre réflexion...Jean christophe Perney