
Intelligence artificielle : amie ou ennemie de la sécurité informatique ?
⏱ 5 minPar sa capacité à traiter de grands volumes de données, l’intelligence artificielle peut être vue comme un allié au service des défenseurs du cyberespace, en particulier pour détecter des menaces émergentes. Mais elle peut aussi être mise à profit par les assaillants.
La simple description de la situation actuelle des menaces dans le cyberespace suffit à comprendre l’intérêt que l’industrie de la cybersécurité porte à l’intelligence artificielle (IA). Et les espoirs que placent les entreprises dans ces solutions pour se protéger des cybercriminels et des assaillants voulant s’emparer de leurs données. Grosso modo, les organisations tentent d’échapper aux menaces, sans cesse plus nombreuses, en appliquant au plus vite des « rustines » logicielles. Tandis que, de leur côté, les cybercriminels sont à l’affût de la révélation des failles affectant les multiples logiciels déployés en entreprise, pour s’introduire dans leurs systèmes informatiques. Sur le papier, l’IA, avec sa capacité à apprendre un contexte donné, donc à y détecter des anomalies, a tout pour être la nouvelle arme fatale des cyberdéfenseurs, en isolant les comportements anormaux révélateurs d’attaques.
« Plus le système d’information s’ouvre et se disperse, plus il est indispensable, d’une part, de surveiller ce que font les utilisateurs avec les outils qu’on leur confie et, d’autre part, de monitorer les multiples portes d’entrée sur les systèmes de l’entreprise, détaille Alain Bouillé, le président du Cesin, une association professionnelle regroupant des responsables de la sécurité des systèmes d’information. Les volumes d’information à traiter sont alors gigantesques, même si 99 % des événements à analyser seront probablement sans gravité. L’intelligence artificielle est porteuse de beaucoup d’espoir grâce à sa capacité à détecter les vraies attaques dont l’entreprise peut être la cible, ainsi que les comportements à risque pour l’intégrité et la confidentialité des informations. » Avec de telles promesses – détecter les vraies menaces dans le brouhaha ambiant – et un tel besoin du côté des entreprises, pas étonnant de voir la quasi-totalité de l’industrie de la cybersécurité s’engouffrer dans la brèche. Pour Loïc Guézo, directeur de la stratégie cyber de l’éditeur de solutions de défense Trend Micro pour l’Europe du Sud, l’IA a « un énorme potentiel » dans l’automatisation des détections, mais aussi, à court terme, dans l’optimisation des activités des centres opérationnels de cybersécurité, là où les entreprises agrègent toutes les alertes (on parle de SOC, pour Security Operations Center).
Un simple vernis marketing ?
Mais attention aux écrans de fumée marketing et aux espoirs déraisonnables. « Pour l’instant, on constate que beaucoup d’éditeurs proposent soudainement de l’IA dans leurs offres ! Il va falloir faire le tri entre les vraies offres d’IA et les couches marketing rajoutées sur de veilles solutions », constate Alain Bouillé. Hervé Schauer, un pionnier de la cybersécurité en France, aujourd’hui à la tête d’une société de formation sur le sujet (HS2), pointe les attentes disproportionnées placées dans ces technologies, attentes qui aboutissent inévitablement à des déceptions. Pour lui, « l’IA reste un nuage de fumée qui dessert la manière dont les directions générales perçoivent la cybersécurité ».
La société française Gatewatcher en souligne également les limites, alors même qu’elle est sur le point d’intégrer des algorithmes d’intelligence artificielle dans sa solution. « L’IA et le Machine Learning ne remplaceront pas les technologies actuelles de détection de menaces, du moins, à court ou moyen terme, soulignent Jacques de la Rivière et Philippe Gillet, les deux cofondateurs. En revanche, elles sont totalement complémentaires de ces dernières et représentent une réelle plus-value dans l’analyse comportementale des menaces. » Début 2019, Gatewatcher envisage de déployer une nouvelle solution embarquant des algorithmes d’IA, en complément d’autres moteurs de détection. « L’utilisation de l’IA doit venir en renfort des équipes de sécurité, sur les taches où les règles manuelles atteignent leurs limites : catégoriser de nouveaux scénarios d’attaques, détecter des malwares, trier de faux-positifs [soit de fausses alertes, NDLR], réduire le nombre des alertes », abonde Emmanuel Gras, le PDG d’Alsid, une start-up française spécialisée dans le domaine de la cybersécurité.
L’IA isole des fraudes inconnues jusqu’alors
C’est sur le terrain de la détection de menaces inconnues que travaille également le LHS de Rennes, un laboratoire de haute sécurité porté par Inria, Supelec, la Direction générale de l’armement (DGA) et la région Bretagne. En début d’année 2018, ce laboratoire a breveté une solution de détection de menaces basée sur l’IA. « Ce sont des technologies qui peuvent donner des réponses lorsque les données sont incomplètes ou légèrement divergentes, explique le responsable de cette activité, Jean-Louis Lanet. Cependant, elles ne fonctionnent bien que si le corpus de documents est conséquent. Plus nous disposons d’échantillons, plus les décisions prises par l’IA sont pertinentes. »Pour le chercheur, le savoir-faire autour des solutions d’IA réside notamment dans la faculté à« nettoyer » les données avant de lancer les algorithmes de Machine Learning. « Les prétraitements sont la clé de la réussite », précise-t-il.
Si les espoirs sont donc multiples, pour l’heure, l’IA a surtout fait ses preuves dans la détection de fraudes, un domaine connexe à la cybersécurité sans en faire toutefois partie stricto sensu. « On assiste ici à de réelles avancées par rapport aux moteurs de règles [consistant à décrire des scénarios de fraudes, NDLR] : nous avons accompagné deux acteurs financiers dans la mise en place d’outils de détection basés sur du Machine Learning. Et ils ont identifié des fraudes qu’ils ne connaissaient pas jusqu’alors ! », explique Gérôme Billois, associé au sein de l’activité cybersécurité du cabinet de conseil Wavestone. Des bons résultats qui s’expliquent par le fait que, dans ces configurations, on travaille sur des données bien normées. « La situation est différente avec la gestion des journaux d’événements sur un réseau informatique, un ensemble de données où l’IA devrait, là aussi, pouvoir détecter des comportements anormaux, révélateurs de cyberattaques. Sauf qu’on se heurte ici à la grande diversité des acteurs présents sur les réseaux, à des formats multiples et à des référentiels qui changent en permanence, par exemple avec la translation des adresses IP », reprend le consultant, pour qui il faudra patienter au minimum quatre ou cinq ans pour parvenir à une gestion des incidents de sécurité assistée par IA.
Des menaces plus furtives grâce à l’IA
D’ici là, l’intelligence artificielle pourrait bien avoir été exploitée avec succès… par les assaillants, afin de perfectionner leurs menaces. « Les attaquants ont généralement une longueur d’avance », observe Hervé Schauer. Pour l’heure, les applications de l’IA dans les cyberattaques restent confinées aux laboratoires ou à des champs très précis. Gérôme Billois évoque ainsi son utilisation pour « casser les captcha, ces tests requis pour accéder à certains services Internet et servant à différencier les utilisateurs humains d’éventuels robots malveillants ». Sans oublier des travaux de recherche sur le phishing (ou hameçonnage par e-mail). « En utilisant l’IA pour augmenter la personnalisation des messages malveillants, un chercheur est parvenu à passer d’un taux d’efficacité de 5 % à une proportion de 40 %. Autrement dit à tromper huit fois plus d’utilisateurs ! », relève le spécialiste de Wavestone.
L’éditeur DarkTrace, qui tente justement de convaincre de la pertinence de l’IA comme solution de défense, se montre beaucoup plus sombre dans ses prévisions. Et dépeint (https://www.darktrace.com/en/resources/wp-ai-driven-cyber-attacks.pdf) l’utilisation des algorithmes de Machine Learning comme le nouveau paradigme de la menace. Cette société britannique prédit l’arrivée de malwares intelligents, capables de s’adapter à leurs environnements, grâce à l’IA, afin de mieux se propager, d’identifier la nature des machines sur lesquelles ils s’installent ou encore d’exfiltrer des données de façon furtive, en se fondant dans le trafic réseau habituel d’une organisation. Un ensemble de scénarios qui dessinent un avenir où des IA offensives et des IA défensives s’affronteraient pour le contrôle du cyberespace.
William Chinaski