Cybersécurité, ou comment lutter efficacement grâce à l’intelligence artificielle

Devant la multiplication des attaques menées par des hackers visant leurs systèmes d’information à partir d’internet, les entreprises tentent de faire face tant bien que mal en se dotant de nouveaux moyens technologiques pour se protéger contre ce fléau.  Les applications d’IA et d’apprentissage automatique peuvent offrir une réponse en détectant les agents malveillants qui infiltrent les systèmes informatiques des organisations.

La recrudescence et la sophistication des nouvelles menaces, au premier rang desquelles figurent le ransomware ou cryptojacking (l’extraction de crypto-devise) poussent les entreprises à s’engager plus loin dans la sécurité digitale.

Les cybermenaces prennent chaque année plus d’importance. La cybercriminalité représentait 69% des intrusions dans les systèmes de sécurité en 2019, 79% en 2020, et 82% en 2021[1]. Les technologies disponibles mais aussi la nécessité de traiter l’information en temps réel amènent les organisations à s’appuyer sur des applications Web présentes sur un grand nombre d’appareils. Les cybercriminels s’adaptent aisément et rapidement aux conditions nouvelles pour contrer les attaques. Ils déploient des méthodes toujours plus innovantes pour échapper à la détection des équipes de sécurité et dérober de l’argent ou encore des données sensibles.

La question n’est plus de savoir si l’entreprise va être attaquée, mais quand l’occurrence va surgir. Nous prenons conscience de l’immense défi que représente cette lutte contre les cyberattaques. C’est là que l’intelligence artificielle (IA) entre en jeu et avec elle, de nouvelles formes de protection numérique. L’intelligence artificielle a un immense potentiel en matière de lutte contre le risque cyber car elle peut analyser un grand nombre de fichiers à intervalles réguliers pour révéler les risques éventuels. L’intelligence artificielle dans la cybersécurité apprend et améliore constamment les processus de sécurité. A partir des données récoltées lors des cyberattaques précédentes, elle identifie de nouvelles menaces.

En matière de sécurité, l’IA peut identifier et hiérarchiser les risques, détecter rapidement les logiciels malveillants sur un réseau, proposer une solution de manière adéquate aux incidents et détecter les intrusions avant qu’elles ne se produisent.

Le recours à l’IA dans le domaine de la cybersécurité répond à la nécessité de renforcer la qualité du diagnostic mais aussi la rapidité d’intervention à la suite d’une attaque des systèmes d’information d’une organisation. Parmi toutes les applications possibles, on trouve un intérêt de l’apport de l’IA dans les domaines suivants :

 

Détection automatisée des menaces

 

L’IA peut détecter les attaques de réseau, les intrusions de logiciels malveillants et autres cybermenaces pour stopper la progression de l’attaque le plus rapidement possible et éviter ainsi sa propagation dans les systèmes d’information d’une organisation avant que de réels dommages ne soient causés y compris chez ses partenaires qu’ils soient clients ou fournisseurs. L’IA n’a besoin que de quelques secondes ou minutes pour analyser les relations entre les menaces telles que les fichiers malveillants, les adresses IP suspectes ou les menaces internes. L’IA génère immédiatement et de manière autonome (c’est-à-dire sans engagement humain) un correctif de défense dès qu’une attaque a été identifiée. Les algorithmes d’apprentissage automatique (Machine Learning) détectent les situations sortant d’un contexte normalisé ou encore les anomalies de performance des systèmes qui peuvent indiquer une violation de la sécurité.

Cyber data analyse et machine learning : L’IA est également utilisée pour analyser les données afin de construire des modèles et ainsi permettre d’identifier en amont les failles dans la gestion du risque cyber d’une organisation. L’IA évalue le système rapidement, multipliant ainsi la capacité de résolution des problèmes. Elle identifie les points faibles du réseau de sécurité.

Détection d’anomalie dans la circulation des données

Sécuriser les données tout en travaillant des milliers de pages est une mission impossible pour un humain. Les systèmes d’IA peuvent détecter des anomalies dans les flux de données dans les systèmes d’information permettant d’analyser des modèles afin de trouver des similitudes ou des différences sur les actions en cours. Cette approche peut faciliter la détection d’un comportement anormal avant qu’il ne devienne une activité malveillante (par exemple une personne qui tente d’accéder à des informations confidentielles alors qu’elle ne possède pas les autorisations nécessaires)

Développement de logiciels sécurisés : La nécessité de disposer d’outils et de technologies plus sophistiqués devient un enjeu déterminant en raison du nombre croissant de cyberattaques. L’IA permet de disposer de logiciels plus sûrs en fournissant aux développeurs un retour en temps réel sur le fait que leur code est fermé ou non.

Sécurisation de l’authentification : selon certaines applications, il est nécessaire de disposer

d’une connexion utilisateur. L’IA rend le processus d’authentification plus sécurisé en utilisant la technique de la reconnaissance physique. Elle s’appuie sur certains éléments pour reconnaître un individu comme la reconnaissance faciale, la numérisation des empreintes digitales, entre autres techniques de reconnaissance. Ensuite, l’IA utilise les principaux éléments d’information récoltés en temps réel et détecte si la connexion est authentique ou non.

 

Sécurité globale : Les menaces auxquelles sont confrontés les réseaux d’entreprise évoluant en permanence, les cybercriminels modifient leurs approches et autres tactiques pour s’infiltrer dans le réseau de sécurité d’une organisation. L’IA déployée sur le réseau va permettre de contrer ses attaques le mieux possible surtout s’il y a différentes attaques en même temps, comme des attaques de phishing, des rançongiciels ou encore des attaques par déni de service.

A la lecture de tous ces éléments, on remarque tout l’intérêt que peut représenter l’utilisation de l’Intelligence Artificielle dans la lutte contre les cyber délinquants. En effet, analyser des volumes importants de données, identifier des malwares polymorphes, repérer les comportements inhabituels ou encore réduire drastiquement les temps de réponse sont autant de situations que l’Intelligence Artificielle peut traiter avec une efficacité redoutable. Certains commentateurs s’étonnent de l’irruption de l’IA dans la protection des systèmes d’information. Pourtant ce n’est pas un élément nouveau dans l’environnement informatique des organisations. Depuis maintenant quelques années les procédures de protection des systèmes d’information des entreprises ont déjà intégré des applications IA dans des logiciels antivirus, des antimalwares, des solutions EDR[2] des firewalls, ou encore des antispam comme Google qui filtre les spams dans Gmail en ayant recours à des technologies de Deep Learning.

Le cloud n’est pas la solution pour lutter contre les cyberattaques

En ayant recours à la sauvegarde de leurs données dans le cloud, la plupart des entreprises pensaient être protégées contre les cyberattaques. Or un rapport de l’ANSSI[3] indique qu’au contraire le cloud rend les entreprises encore plus vulnérables. Plusieurs raisons expliquent cette situation.

D’abord, avec la crise de la Covid 19 (encore elle…), l’adoption du Cloud dans les organisations s’est considérablement accélérée. Mais à mesure que de nouveaux environnements et services cloud sont déployés, des milliers d’autorisations basées sur l’identité sont créées – dont beaucoup sont ignorées. Cette situation entraîne de facto une augmentation du niveau de la menace cyber. Les attaquants sont capables de détecter les autorisations cloud cachées, mal configurées ou inutilisées afin d’améliorer les processus d’identification sur le Cloud. Les cybers délinquants cherchent alors à détourner à leur profit toute la puissance de calcul que peut offrir le cloud (par exemple, le minage de cryptomonnaies).

Par ailleurs, des défauts de sécurisation des données contenues dans le cloud sont encore trop souvent constatés, comme le révèle une étude du Palo Alto Networks[4] relatant la facilité avec laquelle on pouvait accéder à quelques 2 100 instances cloud non sécurisées en 2020-2021.

Enfin, le Cloud peut aussi être source de contraintes et de difficultés dans le cas où les utilisateurs ne maîtrisent pas complètement l’infrastructure et sont donc dépendants du fournisseur de services. D’ailleurs on peut observer qu’il arrive encore trop souvent que les modalités de partage de responsabilité restent encore très opaques, avec de trop nombreuses difficultés d’intervention, d’investigation, de détection et de remédiation des problèmes. On peut également citer la localisation des données à l’étranger qui peuvent avoir des conséquences en matière de protection des données et de souveraineté.

Quelles évolutions peut-on espérer grâce à l’IA

En l’état actuel de son développement, l’IA offre la possibilité d’analyser les Méta Datas des flux réseau au sein d’infrastructures adaptées. Cela permet de fournir aux robots des solutions qui vont intervenir de façon automatisée sans qu’aucun être humain puisse intervenir. Grâce à des technologies de Deep learning et d’apprentissage automatique, une Intelligence Artificielle peut gérer trois à quatre fois plus de données que des disques durs de surveillance classiques, conserver dans le temps un volume de données conséquent et de s’adapter aux situations présentant une source d’information différente qu’elle soit issue de données écrite, audio ou encore de vidéos.

C’est la raison pour laquelle l’IA est devenue indispensable. Pour s’en passer aujourd’hui, il faudrait plusieurs dizaines personnes dédiées à la cybersécurité dans toutes les entreprises avec un niveau de connaissance en sécurité équivalent à un SOC. C’est tout simplement impossible.

Conclusion :

La cybersécurité reste une question complexe, mais l’IA peut être un outil puissant pour aider à se protéger contre les cyberattaques.  Les technologies sont à l’origine de la plupart des innovations majeures réalisées dans la cyberdéfense depuis quelques années et elles permettent d’établir des passerelles intéressantes dans la collaboration homme-machine élargissant de fait nos connaissances, qui font progresser la cybersécurité dans les entreprises. Elles ont aussi permis dans le même temps aux cyberattaquants de développer de nouvelles formes d’attaques intelligentes et automatisées.

Comme toujours dans ce genre de situation, les attaquants ont une longueur d’avance sur les défenseurs. Les techniques utilisées par les hackers sont de plus en plus sophistiquées.  Il devient urgent que les défenseurs prennent des initiatives pour améliorer les environnements, les outils, les processus, les domaines applicatifs pour reprendre l’avantage.

La guerre des IA ne fait sans doute que commencer.

Article rédigé par :

Pascal Montagnon, Directeur de la Chaire de Recherche Digital, Data Science et Intelligence Artificielle (OMNES EDUCATION )

Eric Braune, Professeur associé – INSEEC Bachelor

[1] Global Threat Report 2022

[2] EDR : Endpoint Detection and Response

[3] Rapport ANSSI : Panorama de la menace informatique 2021 – 9 Mars 2022

[4] Palo Alto Networks. Malware Used by “Rocke” Group Evolves to Evade Detection by Cloud Security Products. 17 janvier 2019.

<<< A lire également : Cinq idées reçues sur la cybersécurité >>>