Depuis leur avènement dans le paysage IT, les concepts d'intelligence artificielle (IA) et plus spécifiquement de Machine Learning (ML), n’ont de cesse d’animer l’industrie de la cybersécurité. Après avoir vanté le potentiel de ces technologies à changer la donne, les experts s’interrogent : est-ce vraiment la panacée à laquelle on s’attendait ou n’est-ce finalement qu’un outil de plus dans un arsenal déjà vaste ?

L’IA est sur toutes les lèvres. Présentée par le Gartner comme l'une des 10 top tendances technologiques en matière de données pour 2019, elle n’est rien de moins que le "futur de la cybersécurité" pour Forbes.

De telles convictions gagnent rapidement du terrain parmi les professionnels de la cybersécurité. Une récente étude menée par le Capgemini Research Institute auprès de cadres supérieurs dans le domaine de la cybersécurité révèle notamment que :

  • Face aux nouvelles cybermenaces, deux tiers des entreprises (69%) estiment qu’elles ne seront pas en mesure de répondre aux cyberattaques sans l’aide de l’intelligence artificielle ;
  • 69% déclarent que l’IA améliore la précision de la détection des failles de sécurité, et 60% d’entre eux estiment qu’elle renforce l’efficacité du travail des analystes cybersécurité, en réduisant le temps qu’ils consacrent à l’analyse des faux positifs et en améliorant la productivité ;
  • Deux entreprises sur trois prévoient de déployer des systèmes IA dès 2020 afin de renforcer leur défense.
De toute évidence, l’IA représente un outil efficace dans la mise en place d’une stratégie de cybersécurité. Mais sommes-nous en train de surestimer son potentiel ?

Que devons-nous attendre de l'Intelligence Artificielle et du Machine Learning ?

L'IA et ses domaines associés, à savoir le Machine Learning, le traitement en langage naturel et l'automatisation des processus robotiques, sont peut-être des termes « tendances » aujourd’hui, mais le phénomène n’a rien de nouveau dans le monde de la cybersécurité.

Le filtre anti-spam par exemple, est l’une des premières occurrences du Machine Learning, remontant au début des années 2000. Au fil des années, le niveau d'analyse de cet outil est passé du filtrage de certains mots à l'analyse précise d'URL, de domaines, de pièces jointes, etc.

Mais ce sont les derniers développements en matière d'IA qui attirent l'attention du secteur. Et pour cause. L'IA a fait de grands progrès, contribuant à la défense de toute une série de vecteurs de menace tels que la détection de la fraude, des logiciels malveillants, des intrusions, le calcul des risques et l'analyse du comportement des utilisateurs et des machines, étant les cinq principaux cas d'utilisation. Ces utilisations sont d’ailleurs de plus en plus courantes : les recherches de Capgemini ont montré que plus de la moitié des entreprises ont déjà mis en œuvre au moins cinq cas d'utilisation à fort impact.

Pour autant, cet outil est-il aussi fiable que l’on pourrait le croire ? Il ne s’agit pas de remettre en cause la valeur de l'IA ou du ML en tant qu'outil de cyberdéfense mais plutôt de se questionner sur les inconvénients possibles de cette solution « miracle ». Si les discussions dans les hautes sphères tournent autour du déploiement de l'IA pour une protection renforcée, il reste un risque de complaisance concernant la protection contre les nouveaux vecteurs de menace.

Malgré tous ses mérites, l'IA n’est pas l’unique sésame à employer face aux cybermenaces. Ses capacités à réaliser des analyses approfondies et dans des délais beaucoup plus courts que l’homme ne se substituent pas pour autant à l’importance d’une intervention humaine. Il est crucial que nous considérions l'IA comme un outil pour aider les équipes de cybersécurité dans leur travail et non comme une méthode de remplacement - car c'est lorsque les techniques humaines et mécaniques s’unissent ensemble que les cyberdéfenses sont les plus robustes.

Une étude récente du Massachusetts Institute of Technology (MIT) a montré qu'une combinaison d'expertise humaine et de systèmes de Machine Learning - appelée "Machine Learning supervisé" - est beaucoup plus efficace que les humains ou le ML seuls. Le modèle supervisé est même jusqu’à dix fois plus performant que son équivalent en ML seul.

L'homme et la machine : un travail de collaboration aux côtés de l'Intelligence Artificielle

L'étude du MIT s’intéresse à l’intelligence artificielle comme un moyen stratégique de cyberdéfense, le définissant comme un outil suffisamment puissant pour repérer et arrêter toute une série de cyberattaques. Pour autant, lorsqu’il s’agit d’attaques d’ingénierie sociale, il ne se suffit pas à lui seul.

Plus de 99% des cyberattaques requièrent une action humaine pour se propager et l'une des attaques les plus courantes est la compromission d’emails professionnels, autrement nommée Business Email Compromise (BEC).

L'IA a un grand potentiel lorsqu'il s'agit d'identifier les menaces communes, par exemple, un système de ML peut être capable d'identifier et d'annuler une menace contenue dans un lien ou une pièce jointe malveillante. En revanche, lorsqu’il s’agit d’une attaque de type BEC, elle ne peut se défendre efficacement contre les cybermenaces actuelles qu'avec l'aide d'une assistance humaine.

Malgré tous ses progrès, le ML n’a toujours pas les capacités d'analyser les nuances et les particularités du comportement humain et passe encore aujourd’hui à côté de cyberattaques cruciales.

C’est sans compter sur les nouvelles techniques des hackers pour réorienter leurs angles d’attaque en se concentrant sur les personnes et non plus les infrastructures : involontairement, les employés restent le point de vulnérabilité de l'entreprise et une approche de la sécurité centrée sur les personnes est essentielle.

Et tout comme l'IA et le ML ne doivent pas être considérés comme un substitut à l'expertise humaine, nous ne devons pas non plus nous attendre à ce qu’elles se substituent aux technologies actuelles de cybersécurité. En dehors du ML, des techniques telles que l'analyse statique, l'analyse dynamique du comportement et l'analyse des protocoles continueront à avoir leur place.

Une bonne cyberdéfense doit être aussi large et diversifiée que le paysage actuel de la menace. Il est essentiel pour chaque entreprise de créer une culture de la sécurité par la formation et l’éducation des employés et doter les équipes de techniques de défense robustes tout en leur offrant la meilleure protection possible. L’IA reste un outil puissant pour renforcer les politiques de cyberdéfenses mais ne peut être considéré comme l’unique remède de toutes les menaces existantes.

Par Martin Mackay, Vice-Président Europe chez Proofpoint