L’inquiétude grandissante quant à l’usage potentiel d’IA Open-source comme ChatGPT par des cybercriminels pour lancer des attaques sophistiquées à grande échelle nous oblige à reconsidérer la manière dont l’IA est utilisée en cyberdéfense.

Il y a 10 ans, la cybersécurité était bien différente. Les outils de détection reposaient sur les signatures et la recherche de correspondance avec des menaces déjà rencontrées. Cette approche consistant à regarder en arrière a longtemps fonctionné, lorsque les attaques étaient moins abondantes et généralement plus prévisibles.

Au cours de la dernière décennie, les attaques ont évolué de manière constante et sont devenues de plus en plus sophistiquées, du côté de la défense il a fallu composer avec une supplychain complexe, le travail hybride, les environnements multi-cloud et la prolifération de l’IoT.

La prolifération de l'IA

Le secteur a depuis pris conscience des limites de cette approche et plus particulièrement de leur incapacité à suivre l’évolution rapide des menaces. En outre, la nécessité d’être partout, tout le temps, a encouragé l’adoption de l’IA pour gérer l’étendue et la complexité de la tâche que représente la sécurisation d’une entreprise moderne. Le marché de la cybersécurité a vu proliférer les fournisseurs promettant de trouver des correspondances floues ou partielles avec des menaces déjà rencontrées et utiliser le machine learning pour stopper des attaques similaires. Cela a sans aucun doute amélioré la qualité de la détection dans la mesure où des ressources ont été déployées pour rendre cette approche aussi efficace que possible. Cependant, cette application de l’IA demeure réactive et inopérante contre les techniques et infrastructures d’attaque inconnues.

Quelle que soit l’appellation, ce système est toujours alimenté avec les mêmes données historiques et il doit y avoir un « patient zéro », ou une première victime, pour que cela fonctionne.

Apprentissage automatique supervisé : est-ce suffisant ?

La « formation préalable » d’une IA sur les données observées est aussi appelée apprentissage automatique supervisé et il existe effectivement des applications intelligentes de cette méthode en cybersécurité.

Dans la threat investigation, par exemple, l’apprentissage automatique supervisé a été utilisé pour apprendre et imiter la façon dont un analyste humain mène ses enquêtes : formuler des hypothèses, poser des questions, trouver des réponses, puis réviser ces hypothèses jusqu’à arriver à une conclusion.

En observant les schémas des enquêtes sur une période de 2 ans, l’IA est maintenant en mesure de mener ces enquêtes à une vitesse et à une échelle inenvisageable auparavant. Mais qu’en est-il de trouver le fil d’Ariane d’une attaque ? Qu’en est-il de trouver cette aiguille dans la botte de foin : la première anomalie ?

Le problème avec les outils de sécurité reposant sur le machinelearning supervisé est que leur efficacité dépend entièrement de la qualité de l’ensemble de données historique avec lequel les outils ont été formés, mais ils seront toujours inefficaces face à des choses qu’ils n'ont jamais vus auparavant. L’ensemble ne peut être alimenté qu’avec des attaques existantes, il doit donc être mis à jour de manière continue et cette mise à jour doit être transmise à chaque client. Cette approche exige également que les données du client soient envoyées à un data lake centralisé dans le cloud pour être traitées et analysées. Malheureusement, lorsqu’une organisation est informée d’une menace, il est souvent déjà trop tard.

Face à ces menaces, la sécurité des organisations est inadaptée : elle conduit à un grand nombre de faux positifs et ne parvient pas à détecter des menaces. Pour y remédier il faut désormais prendre en compte le contexte singulier de l’organisation à protéger.  

Une IA qui étudie l'organisation, pas l'attaque

Mais tout espoir n’est pas perdu pour les défenseurs dans la guerre des algorithmes. Des milliers d’organisations utilisent aujourd’hui une autre application de l’IA adoptant une approche fondamentalement différente pour se défendre contre l’ensemble du spectre des attaques. Cela inclut les attaques à l’aveugle par des menaces connues, mais aussi les attaques ciblées et encore jamais observées.

Plutôt que de former une machine sur ce à quoi ressemble une attaque, l’apprentissage automatique non supervisé l'IA étudie l'organisation. Dans ce cas de figure, l’intelligence artificielle prend connaissance de son environnement jusqu’au moindre détail en comprenant ce qui constitue la norme pour l’environnement numérique singulier dans lequel elle est déployée afin d’identifier des anomalies.

Il s’agit d’une intelligence artificielle qui comprend une organisation afin de connaître son ennemi. Autrefois considérée comme radicale, cette application de l’IA défend aujourd’hui plus de 8000 organisations dans le monde en détectant, en répondant et même en prévenant les cyberattaques les plus sophistiquées.

Cette technologie avait fait ses preuves l’année dernière avec l’attaque HAFNIUM exploitant Microsoft Exchange Servers. Il s’agissait d’une série de nouvelles campagnes non attribuées qui ont été identifiées et stoppées par une IA non supervisée en temps réel dans un certain nombre d’environnements clients sans disposer d’information au préalable sur les menaces associées à ces attaques. En revanche, d’autres organisations non préparées et vulnérables ont été exposées à la menace jusqu’à ce que Microsoft mette en lumière l’attaque quelques mois plus tard.  

Les équipes de sécurité auront besoin d’IA pour combattre l’IA

L’IA non supervisée excelle lorsqu’il s’agit de détecter, enquêter et réagir de façon autonome aux menaces avancées et inconnues en se fondant sur une compréhension fine de l’organisation ciblée. Ces inconnues qui sont difficiles ou impossibles à définir dans un environnement de menace imprévisible sont devenues la norme en cybersécurité.

Cette technologie a été testée contre des prototypes d’IA offensifs. Tout comme ChatGPT, ces prototypes peuvent créer des emails de phishing hyperréalistes et contextualisés et même sélectionner un expéditeur approprié dont ils peuvent usurper l’identité pour envoyer les emails.

Les conclusions sont claires : les hackers détournent l’IA pour en faire une arme et il ne fait aucun doute que les équipes de sécurité auront besoin d’IA pour combattre l’IA.

L’apprentissage automatique non supervisé sera essentiel car il peut apprendre à la volée en développant une compréhension complexe et évolutive de chaque utilisateur et appareil de l’entreprise qu’il protège.

Apprentissage automatique non supervisé : toujours à jour

Grâce à cette vue d’ensemble de l’entreprise numérique, une IA non supervisée qui comprend l’organisation détectera l’IA offensive dès qu’elle commencera à manipuler des données et prendra des microdécisions intelligentes pour bloquer cette activité. L’IA offensive est utilisée pour sa vitesse mais l’IA défensive est toute aussi performante dans ce domaine.

Finalement, dans cette guerre des algorithmes la différence entre une sécurité robuste et une catastrophe tient à peu de chose et l’approche adoptée en matière de machine learning peut faire de grandes différences.

Par Hippolyte Fouque, Directeur Commercial chez Darktrace