Face à la multiplication et la complexification des menaces, de nouvelles solutions à base d’intelligence artificielle permettent d’assurer une protection des systèmes informatiques proactive et en temps réel. Mais ces avancées servent aussi les intérêts des cybercriminels…
Ransomwares, cryptomining, attaques concertées (Advanced Persistent Threats)… Les cyberpirates rivalisent d’imagination. La crise de la Covid-19 l’a montré une fois de plus avec une explosion du nombre de cas, notamment de phishing. Or, face à ces menaces toujours plus complexes et protéiformes, les systèmes de défense traditionnels de type antivirus, anti-malware et autre pare-feu montrent leurs limites.
« La détection d’un schéma d’attaque ou la capacité à réagir rapidement peuvent faire la différence. »
Ces solutions consistent généralement à courir derrière les hackers en créant une signature et un vaccin pour chaque nouvelle menace. Les bases de signatures connues ne protègent donc pas des « zero day », ces vulnérabilités n’ayant fait l’objet d’aucune publication ou d’aucun correctif.
Comme dans bien d’autres domaines, l’intelligence artificielle change aujourd’hui la donne. Par une approche statistique, les technologies d’autoapprentissage (machine learning, deep learning) permettent de regarder un fichier sous toutes les coutures et de lui attribuer un score de confiance.
L’IA rend aussi possible la détection de signaux faibles par analyse comportementale. La connexion au système d’information de l’entreprise d’un collaborateur à 3 heures du matin et depuis l’étranger peut sembler suspecte. Ce que les règles d’un firewall classique n’auront peut-être pas su interpréter.
Rétro-ingénierie
Pour Loredana Mancini, Business Development Director Area Cybersecurity chez Axians, la marque experte de VINCI Energies dans l’ICT, « la détection d’un schéma d’attaque possible ou la capacité à réagir rapidement peuvent faire la différence en matière de cybersécurité où la prévention prime sur la réaction ».
Au-delà de cette dimension proactive, l’IA permet ce qu’elle appelle la rétro-ingénierie des virus. En faisant l’analogie avec le monde médical, il s’agit de découvrir un ADN commun à des codes malveillants afin de préparer les défenses immunitaires à réagir plus rapidement.
L’IA permet aussi de décharger les équipes cyber des tâches ingrates et répétitives de supervision en remontant automatiquement des alertes sur les présomptions d’incidents. Ainsi, les solutions de SOAR (Security Orchestration, Automation and Response) s’appliquent au premier niveau d’intervention au sein d’un centre opérationnel de sécurité (SOC, Security Operations Center).
Revers
Mais chaque médaille a son revers et l’IA peut servir de mauvaises causes. En matière de privacy, « la capacité d’analyse et de corrélation des données peut révéler des informations personnelles qui n’étaient pas destinées à être rendues publiques ». Ce qui peut causer des problèmes de confidentialité, au regard notamment de la conformité au Règlement général sur la protection des données (RGPD).
« L’IA peut aussi servir aux hackers pour créer des types d’attaques plus sophistiqués tirant parti du passé et automatisant la reconfiguration des modèles », observe Loredana Mancini. Le système de protection peut se retourner contre l’entreprise qu’il est censé défendre et servir de véhicule d’attaque en injectant des données empoisonnées dans le moteur d’IA. Des groupes de normalisation travaillent à sécuriser ce type de solutions.
« Il est toujours important de se rappeler que la sécurité d’un système se fait à partir de tous les maillons d’une chaîne et si l’un est faible ou cassé, la sécurité du système complet est compromise », conclut la Business Development Director Area Cybersecurity d’Axians.
11/02/2021