Historiquement, les solutions de cybersécurité s'appuient principalement sur des techniques de détection basées sur signatures pour repousser les attaques. Ces systèmes comparent les signatures de menaces connues dans leur base de données avec le trafic réseau entrant et émettent une alerte lorsqu'un comportement suspect est détecté sur le réseau. Ces alertes sont souvent enregistrées manuellement et examinées par un analyste de sécurité, qui peut avoir à en traiter jusqu’à plusieurs centaines par jour. Ce processus est non seulement laborieux en raison du grand nombre de faux positifs, mais il signifie également que les cybermenaces innovantes qui ne correspondent pas aux modèles déjà répertoriés peuvent passer entre les mailles du filet sans être détectées.
Les avantages de l'utilisation de l'IA
Aujourd’hui, les organisations se tournent de plus en plus vers l'IA pour détecter les menaces en matière de cybersécurité. Les modèles de sécurité basés sur l'IA peuvent analyser de grands volumes de données en peu de temps, repérer des modèles d’attaques et toute activité qui s'écarte de la norme. En outre, l'IA peut également être utilisée pour analyser l'ensemble du réseau à la recherche de vulnérabilités.Dressons les principaux avantages d'une telle utilisation de l'IA :
Réduction de la charge de travail - L'utilisation d'un logiciel de cybersécurité basé sur l'IA réduit considérablement le nombre d'alertes générées par le système et permet aux experts d’y consacrer beaucoup moins de temps. Ainsi, n'étant pas constamment sollicités par des faux positifs, ils peuvent rester vigilants. Dans le même esprit, la réduction des tâches manuelles permet aux équipes informatiques de se concentrer sur des tâches stratégiques plus complexes.
Réduction des coûts - Le centre d'opérations de sécurité (SoC) étant plus efficace, l'utilisation d'une solution de cybersécurité basée sur l'IA permet aussi d’économiser sur les coûts d'exploitation. De plus, l'IA répondant aux alertes beaucoup plus rapidement, les équipes concernées n'ont plus besoin d'attendre d'avoir accès à différents systèmes. L'organisation y gagne donc en efficacité.
Une meilleure protection - L'approche basée sur les signatures s'est avérée inadéquate contre les menaces « zero-day », car elles ne correspondaient à aucune de celles répertoriées dans la base de données. En revanche, grâce à la reconnaissance des modèles d’attaques, l'IA est plus à même de repérer les nouvelles cyberattaques. De plus, la vitesse de détection et de réponse aux menaces étant quasiment faite en temps réel, les pirates ont moins de temps pour mener des activités malveillantes s'ils parviennent
à accéder au système.
Une plus grande adaptabilité et évolutivité - Les plateformes basées sur l'IA permettent à l'équipe de cybersécurité de répondre rapidement à une augmentation de potentielles menaces ou à réagir face à un nouveau comportement sur un réseau sans avoir besoin de personnel supplémentaire.
Risques liés à l'utilisation de l'IA
L'utilisation de l'IA dans le cadre de la cybersécurité présente clairement d’importants avantages. Cependant, l'ajout d'un système d'IA au portefeuille existant de logiciels de cybersécurité comporte également des risques à ne pas négliger.Manque de données précises - Les modèles d'IA dépendent intrinsèquement du volume et de la qualité des données qu'ils utilisent pour en « apprendre » les schémas d'activité. L'IA n'obtiendra les résultats escomptés que si elle dispose d'un nombre suffisant de données d'entraînement de haute qualité et sans biais. Un modèle formé à partir de données inexactes ou incomplètes peut produire des faux positifs ou un sentiment de sécurité trompeur. Ainsi, des menaces peuvent ne pas être détectées, ce qui entraînerait des pertes importantes. Mais ce problème peut être évité si les organisations vérifient minutieusement les données fournies aux modèles d'IA.
La confidentialité - Les systèmes d'IA traitent des données du monde réel pour former des modèles sur les schémas de trafic normaux et détecter ceux qui seraient anormaux. Ces données doivent être protégées par un cryptage suffisant et celles plus sensibles doivent être masquées afin d'éviter toute utilisation abusive. Il faut avoir conscience que si des acteurs malveillants parviennent à accéder à ces données, ils peuvent effectuer une attaque par inversion de modèle et obtenir des informations sur les solutions de sécurité en observant les résultats du modèle. Les équipes se doivent de documenter, gérer et protéger les données utilisées par les outils basés sur l'IA et de les supprimer lorsqu'elles ne leur sont plus nécessaires.
Forte consommation de ressources - L'IA peut être gourmande en ressources car elle consomme une grande quantité d'énergie et d'eau pour alimenter et refroidir les systèmes qui effectuent le traitement des données. C'est pourquoi l'IA a tendance à avoir une empreinte carbone plus importante. Des mesures peuvent être prises pour réduire la consommation de ressources en ajustant la fréquence d'entraînement des modèles d'IA. De façon générale, les systèmes basés sur l'IA ont une consommation d'énergie plus élevée.
Une dernière considération, mais non des moindres
Au-delà des avantages et des inconvénients de l’IA défensive, il existe un facteur important à prendre en compte dans la décision d’adopter un logiciel de cybersécurité basé sur l’IA. C’est le fait que de nombreux cybercriminels adoptent eux aussi l’IA pour créer des attaques toujours plus sophistiquées qui échappent à toute détection. Cette technologie leur permet de développer des logiciels malveillants, à la recherche de vulnérabilités et aux mouvements latéraux.Il a déjà été démontré que l’IA générative pouvait être utilisée pour développer une attaque en utilisant une vulnérabilité publique. Cela intensifiera les défis à relever en matière de cyber-résilience et augmentera le nombre de menaces auxquelles les organisations sont confrontées. Il est possible de se défendre contre ces attaques en combattant le feu par le feu et en adoptant l’IA pour contrer ces nouvelles techniques et le nombre croissant d’attaques.
En fin de compte, malgré les risques évoqués, les solutions de cybersécurité basées sur l'IA possèdent un énorme potentiel. Grâce à leurs capacités pour découvrir de nouvelles cyberattaques, elles permettent de réduire la charge de travail des équipes informatiques et de renforcer la sécurité du réseau. Pour faire face à l'augmentation du nombre de cyberattaques alimentées par l'IA, les organisations devraient également adopter l'IA pour rendre leurs défenses plus sophistiquées.
Toutefois, cela ne signifie pas que tous les modèles d'IA seront appropriés à des fins de cybersécurité. Lorsque le rythme de développement d'une nouvelle technologie est élevé - comme c'est le cas avec l'IA - la sécurité peut souvent être une considération secondaire. Indéniablement, elle doit bénéficier d’une exigence prioritaire, non seulement dans la phase de développement de l'IA, mais tout au long de son cycle de vie. Les équipes informatiques doivent rester vigilantes et s'assurer que l'IA elle-même n'a pas été compromise et que l'analyse qu'elle effectue reste pertinente.
Par Laurent Bouchoucha, VP développement commercial, réseaux d'entreprises chez Alcatel-Lucent Enterprise