L'IA commence à être de plus en plus intégrée dans différentes briques de la cybersécurité. La compréhension d’une attaque et la réponse (appropriée…) à apporter nécessite notamment une analyse plus poussée des données. Les algorithmes d'IA peuvent être entraînés pour prendre certaines mesures prédéfinies en cas d'attaque. Comme dans d’autres, il s’agit de permettre aux équipes de sécurité de se concentrer sur des missions spécifiques.
La multiplication des attaques informatiques rend très difficile la tâche des équipes de sécurité. Et même si on constate une diversité et une sophistication (des cas récents montrent aussi que les cibles sont "faibles" car elles n'appliquent pas les règles élémentaires de sécurité....) des techniques malveillances, l’ennui est une réalité !
L'identification et l'évaluation des cybermenaces nécessitent l'examen de grandes quantités de données et la recherche de signaux et de comportements suspects. Résultat, de nombreux RSSI, DSI ou experts en cybersécurité sont victimes (ou très proches) d’un burn-out.
Dans une étude, parue en avril dernier - et réalisée par Symantec avec le Goldsmiths College de l’université de Londres auprès de 3045 RSSI en Allemagne, France et Royaume-Uni - on découvre que 84 % des sondés dans l’Hexagone indiquent ressentir les effets du burn-out. Une majorité (66 %) envisage même de quitter leur secteur d’activité.
Dans un tel contexte défavorable aux organisations, l’IA peut représenter une option salutaire. De plus en plus de fournisseurs de solutions de cybersécurité proposent des produits intégrant de l’IA (ou sa déclinaison, le Machine learning) pour faciliter l’identification des cybermenaces et leurs impacts.
Les algorithmes d'IA peuvent être entraînés à prendre certaines mesures prédéfinies en cas d'attaque et, avec le temps, ils peuvent apprendre quelle devrait être la réponse adéquate grâce à l'apport d'experts en cybersécurité.
De plus, les logiciels d'analyse des données de cybersécurité basés sur l’IA peuvent accomplir une tâche avec une précision toujours plus grande que celle faite par des experts. L'analyse d'importants volumes de données et la détection d'anomalies sont quelques-uns des domaines dans lesquels l'intelligence artificielle pourrait aujourd'hui apporter une valeur ajoutée en matière de cybersécurité.
Voici quelques cas d’usage :
L'identification des menaces réseau
En matière de sécurité des réseaux, l’une des tâches les plus complexes est de comprendre et repérer les processus et leurs interactions. Le but étant d'identifier les demandes de connexion légitimes et celles qui sont suspectes.
Les logiciels de sécurité réseau basés sur l’IA peuvent (potentiellement) surveiller tout le trafic entrant et sortant afin d'identifier tout comportement inhabituel. Les données en question sont généralement trop volumineuses pour que les experts en cybersécurité puissent classer avec précision les incidents et les signaux plus ou moins faibles.
La surveillance des emails
La pièce jointe malveillante reste encore aujourd’hui un grand classique pour infiltrer un SI, récupérer des identifiants ou entamer une attaque ciblée.
L’IA commence maintenant à être déployée pour renforcer la surveillance des messageries. Là aussi, il s’agit de repérer des éléments annonciateurs d’une APT ou confirmant une attaque de phishing.
Reposant notamment sur le traitement en langage naturel, un logiciel de détection d'anomalies peut aider à identifier si l'expéditeur, le destinataire, le corps ou les pièces jointes du courriel sont des menaces.
L’IA au secours des antivirus
Trop de signatures virales (et de variantes) à gérer, des attaques sophistiquées, une gestion des mises à jour inadaptée… C’est aujourd’hui une évidence, ces logiciels ne suffisent plus pour assurer la sécurité d’un poste de travail.
Là aussi, l’IA pourrait s’avérer utile pour améliorer l’étude d’un programme. L’analyse comportementale est certes une réalité pour les antivirus « classiques ». Mais le taux de détection des menaces peut atteindre 90 % selon Steve Grobman, Directeur des Technologies chez McAfee. Avec l’IA, il peut atteindre jusqu'à 95 % ou plus.
L'IA pour combattre… l'IA
Les entreprises vont devoir impérativement améliorer la vitesse de détection des cybermenaces, car les pirates utilisent maintenant l'IA pour découvrir les faiblesses dans les réseaux.
L’intégration de l'IA dans la cybersécurité n’en est qu’à ses débuts. Elle n’est pas parfaite et ne doit pas être considérée comme la solution miracle. Trop d’entreprises commencent déjà à voir l’IA comme un moyen de réduire leur effectif en matière de cybersécurité.
C’est une erreur ! L’IA a besoin du savoir-faire et de l’expérience empirique d’experts. Par ailleurs, la « performance » des algorithmes IA dépend des données qui leur sont transmises.