IA/ML, nouvelle arme des systèmes de sécurité
Saisir le potentiel réel
Intelligence artificielle (IA) et machine learning (ML) sont des thématiques omniprésentes dans le monde de la sécurité informatique, faisant même l’objet d’une véritable course à l’armement entre d’une part les attaquants, et d’autre part les entreprises qui cherchent à s’en défendre. Les acteurs malveillants y voient en effet le moyen de briser les systèmes de défense les plus perfectionnés et d’identifier plus rapidement les vulnérabilités. Mais qu’en est-il des entreprises ? L’IA et le ML sont-ils vraiment la panacée qu’on leur promet ?
On pourrait être tentés de croire que oui. Qu’une entreprise qui emploie ces techniques est automatiquement protégée. La réalité est beaucoup plus complexe. En matière d’IA et de ML, tous les usages ne se valent pas. Et autant le dire tout de suite, les algorithmes les plus récents ne sont en rien une garantie de sécurité.
Pour garder le rythme face à l’évolution constante du champ des menaces, l’IA et le ML restent deux composantes indispensables de votre stratégie de sécurité globale, à condition de s’inscrire dans un double objectif : contrer le plus grand nombre d’attaques possible et réagir immédiatement en cas de compromission.
L’IA n’est pas une fin en soi
À elle seule, l’intelligence artificielle ne suffira pas à faire la différence. On observe actuellement un grand nombre de modèles et de frameworks IA. Généralement issus de la recherche universitaire et de la communauté open-source, ils sont ouverts à tous et disponibles dans le domaine public. Le framework en lui-même n’a donc pas d’importance. Ce qui importe, c’est la manière dont l’IA est utilisée et la nature des données qui serviront de base à son apprentissage.
Comment l’IA peut-elle renforcer la cybersécurité ?
Quelle que soit sa finalité, la performance du tandem IA/ML se résume à des données de qualité, en très grande quantité. C’est l’abondance de données fiables qui permettra à l’IA d’identifier et de reconnaître différents scénarios. Plus elle acquiert de données réelles, plus elle gagne en intelligence et en expérience.
Appliquons maintenant ces principes à la cybersécurité. Un seul déploiement ou un seul vecteur de menace ne constitue pas une base suffisante à l’apprentissage de votre IA. Ce dont vous avez besoin, c’est d’une solution capable d’apprendre de tous les types d’environnements et d’exploiter des données issues de l’ensemble des utilisateurs, pas seulement à l’échelle d’une entreprise individuelle. Plus le pool d’environnements et d’utilisateurs sera varié, plus l’IA sera efficace. Vous devez donc pouvoir compter sur un système capable de traiter à la fois un grand volume et une grande diversité de données.
L’IA ne se résume pas à quelques calculs savants sur un ordinateur. Bien sûr, les données restent une composante essentielle de sa performance, mais pour libérer tout leur potentiel, l’IA et le ML doivent être intégrés à des processus opérationnels. Bref, ces technologies ne doivent pas être considérées comme des outils autonomes mais plutôt comme des « enablers », c’est-à-dire des leviers destinés à sous-tendre et améliorer vos processus et vos opérations de sécurité.
Les techniques IA les plus efficaces sont celles qui allient la reconnaissance de formes à grande échelle (issue du ML) à d’autres éléments comme les connaissances liées au domaine, le but étant de former un système hybride plus performant. Les techniques statistiques dérivées purement du ML sont généralement incapables de s’adapter aux menaces inconnues qui, par leur nature, n’offrent qu’une maigre base de référence sur laquelle s’appuyer. L’expertise d’un domaine peut également être employée pour créer une logique (la plupart du temps dérivée d’une analyse de données à grande échelle), élaborée dans le but de prévenir et de détecter efficacement des techniques et tactiques d’attaques spécifiques.
Le problème, c’est que l’agrégation de ces données par des systèmes experts donne des taux d’erreurs incohérents et faussés d’un déploiement à un autre. Ce qu’il faut, c’est un système d’IA employant d’une part des données statistiques issues du ML, et d’autre part des informations liées au domaine provenant d’autres composantes de l’ensemble, et ce afin de reconnaître les nouveaux schémas d’attaque tout en maintenant un taux d’erreurs bas et cohérent sur l’ensemble des déploiements.
IA et ML, deux piliers de la cybersécurité
Dès lors qu’ils sont déployés dans les règles de l’art, l’IA et le ML sont des outils de sécurité très efficaces qui aideront les équipes de votre centre opérationnel de sécurité (SOC) à accomplir plus de tâches avec moins d’effectifs. En ce sens, ils démultiplient les forces d’une organisation tout en affectant les compétences et l’expérience des analystes à des missions prioritaires.
Dans le domaine de la sécurité, l’IA et le ML sont généralement utilisés pour établir une base de référence des comportements normaux, puis alerter l’équipe de sécurité en cas d’écart. Ils peuvent également accroître l’efficacité opérationnelle de votre entreprise en vous aidant dans un premier temps à identifier les tâches répétitives que vos collaborateurs effectuent chaque jour, puis en créant dans la foulée des playbooks d’automatisation qui vous feront économiser du temps et des ressources.
L’IA et le ML sont également des outils essentiels à l’automatisation, synonyme d’évolutivité des environnements soumis à des contraintes d’effectifs et de ressources. Les SOC doivent aujourd’hui faire face à des menaces toujours plus sophistiquées malgré des effectifs en baisse constante. L’objectif de l’IA et du ML est de renforcer la sécurité de votre entreprise en optimisant l’utilisation des ressources limitées.
Renforcer la sécurité grâce à l’IA et au ML
Dans le domaine de la sécurité, un problème n’arrive jamais seul. L’IA et le ML vous aident à exploiter tout le potentiel de l’automatisation et à éliminer les processus manuels qui encombrent vos opérations. Vous pouvez ainsi jouer à fond la carte de la prévention, avant que les problèmes ne se transforment en incidents. Réduire les risques, c’est d’abord diminuer systématiquement le nombre d’incidents, et c’est ensuite permettre à vos équipes de gérer plus efficacement les alertes lorsqu’elles se présentent. Faites appel à ces outils pour renforcer la posture de sécurité de votre entreprise, recentrer vos équipes sur des missions prioritaires et faire face à l’évolution du champ des menaces. Les attaquants emploient déjà l’IA et le ML pour poursuivre leurs desseins funestes. À vous de vous en servir pour lutter à armes égales