Les menaces contre les organisations augmentent en volume et en succès, mais l’IA en cybersécurité peut-elle arrêter le pourrissement et transformer l’échec en succès ?
Il existe une liste de menaces croissantes en matière de cybersécurité, allant de l’augmentation des vols d’identité et des prises de contrôle de comptes aux souches vindicatives de ransomware. Les entreprises ressentent la pression, en particulier les entreprises du classement Fortune 500, qui disposent d’énormes réserves de données. De ce fait, elles sont devenues attrayantes pour les mauvais acteurs qui veulent essayer de prendre le contrôle de ce pot de miel. Mais tout n’est pas perdu.
L’IA dans le domaine de la cybersécurité, bien qu’elle ne soit pas une panacée, peut contribuer à améliorer la posture globale d’une organisation en matière de cybersécurité, à condition que les bases de la sécurité soient bien établies dès le départ (pare-feu, cryptage des données, etc.).
Pour toute technologie, il n’existe pas de solution miracle.
L’IA dans la cybersécurité
De nouveaux logiciels malveillants sont constamment générés, il est donc incroyablement difficile de les reconnaître, et encore plus de s’en défendre. L’IA est capable d’examiner toutes ces variétés de logiciels malveillants – certains estiment qu’il y a environ 800 millions de souches différentes – et de déceler certains modèles : ce nouveau logiciel malveillant a un code similaire à X, Y, Z, etc. Cette technologie est utile pour protéger les organisations contre les nouveaux logiciels malveillants », confirme Labhesh Patel, directeur technique et scientifique en chef de Jumio.
L’IA est également excellente pour détecter les anomalies, c’est-à-dire pour identifier les modèles qui ne correspondent pas aux modèles de comportement existants. Elle peut alerter une organisation si une souche malveillante a pénétré rapidement sur le réseau. C’est un atout considérable, car par le passé, les logiciels malveillants pouvaient errer sans être détectés pendant des mois, voire des années (Yahoo), récoltant des données et générant des revenus importants pour les pirates.
Cela résout-il complètement le problème ? Non.
Les bons comme les méchants utilisent l’IA. Mais ce que fait l’IA – avec une cyber-hygiène de base – c’est de s’assurer que les organisations ne deviennent pas la proie des types d’attaques traditionnels. Existe-t-il des solutions aux menaces que l’IA fait peser sur les entreprises ? Les menaces que l’IA fait peser sur les entreprises sont de plus en plus nombreuses. En cette période d’insécurité, comment les entreprises peuvent-elles réagir ? Faut-il combattre le feu par le feu ou la technologie de la tromperie est-elle la solution ?
IA : atténuer également la menace de l’initié?
La menace interne – qu’elle soit intentionnelle ou non – est la principale cause de vulnérabilité des organisations; cliquer sur un courriel de phishing en est un exemple classique. Les employés doivent suivre une formation approfondie et fréquente de sensibilisation à la cybersécurité. L’IA peut également être utile à cet égard : elle peut examiner le schéma d’utilisation des ordinateurs internes à partir de différentes sources de données (individus) au sein d’une entreprise. Par exemple, s’il est 2 heures du matin et qu’un employé est inhabituellement connecté au réseau et télécharge certains fichiers internes, l’IA peut rapidement voir qu’il s’agit d’un comportement anormal et prendre les mesures appropriées.
« Les systèmes d’IA deviennent aussi bons que les experts humains », affirme Patel, sauf qu’ils ne dorment jamais et ne prennent jamais de vacances.
Mettre en œuvre l’IA dans la cybernétique
L’IA ne doit pas être mise en œuvre pour le plaisir. Mais quand doit-elle être appliquée ? Monsieur Patel pense que si un expert humain est capable d’effectuer une certaine tâche, mais qu’il lui faut beaucoup de temps pour y parvenir, l’IA peut l’aider. « Les humains sont très bons pour reconnaître les modèles et les logiciels sont très bons pour suivre les règles », explique Patel. « Vous pouvez apprendre à une machine à se comporter comme un humain, et plus elle dispose de données, plus elle s’améliore dans son travail. »
Les organisations veulent se lancer dans un voyage cognitif et parfois, elles ne se soucient pas de savoir si l’IA s’adapte à un cas d’utilisation particulier. Ce n’est absolument pas la bonne approche. Pour mettre en œuvre l’IA dans la cybersécurité (dans quoi que ce soit), il faut un cas d’utilisation et un ensemble de données solide, surtout pour les algorithmes supervisés.
L’accès aux données est un défi important pour la mise en œuvre de l’IA dans la cybersécurité. De nombreux systèmes, en particulier dans les grandes entreprises du classement Fortune 500, comportent de multiples silos de données. Pour que l’IA fonctionne, elle doit avoir accès à ces silos pour entraîner les algorithmes avec ces données, tout en se conformant aux réglementations et en maintenant une éthique forte lors de la manipulation de données particulièrement sensibles.
« Vous ne pouvez pas simplement prendre les données sensibles et les données personnelles des gens et commencer à entraîner les algorithmes immédiatement, vous devez avoir les bons consentements en place, ce qui est quelque chose que beaucoup d’entreprises négligent », dit Patel.
Pourquoi l’IA dans la cybernétique n’a pas encore décollé ?
Dr Leila Powell, lead security data scientist de Panaseer, convient que « le principal défi pour la plupart des équipes de sécurité à l’heure actuelle est de mettre la main sur les données dont elles ont besoin pour obtenir un niveau de visibilité même basique sur les fondamentaux de la performance de leur programme de sécurité et de leur mesure par rapport aux cadres réglementaires tels que le GDPR. Ce n’est pas une tâche triviale !
« En l’état actuel des choses, une fois tout ce travail de collecte de données effectué, les avantages de l’application de statistiques simples ne peuvent être sous-estimés. La plupart d’entre elles n’auront même pas les ressources nécessaires pour les traiter toutes, sans parler des alertes supplémentaires fournies par les solutions ML. Jusqu’à ce que le niveau général de maturité organisationnelle dans le domaine de la sécurité axée sur les données augmente, les applications de l’apprentissage automatique seront probablement limitées à des cas d’utilisation en silo – nous devons marcher avant de pouvoir courir ! »
La sécurité est importante
La nature fondamentale de la sécurité a changé et la sécurité doit être intégrée dès le premier jour. Les organisations doivent commencer à réfléchir à la manière de placer la sécurité au premier plan du développement du cycle de vie des logiciels. Nous ne vivons plus dans un monde ancien, où les organisations développent des logiciels et où la sécurité n’intervient que plus tard. Au contraire, les entreprises doivent disposer des compétences adéquates au sein de l’organisation afin que chaque développeur, avant de commencer à écrire une seule ligne de code, comprenne la posture de sécurité et considère la sécurité comme un citoyen de première classe.
Microservices
Il existe également des choix d’infrastructure qui rendent la vie très difficile aux pirates informatiques. Il existe un certain paradigme architectural appelé microservices, qui consiste en un ensemble de modules, mais chacun d’entre eux fait quelque chose de très simple. Lorsque vous avez des services très simples qui communiquent constamment entre eux, il est beaucoup plus facile de les sécuriser car les services, en eux-mêmes, ne font pas grand-chose, ils n’ont pas une zone d’attaque très étendue. En fait, la seule chose que les organisations doivent sécuriser est la communication entre les microservices. Grâce au développement et au déploiement continus de ce paradigme architectural, il est très difficile pour les pirates de cibler une fenêtre logicielle en mouvement.