IA et cybersécurité : argumentaire marketing ou réelles avancées ?
Culture tech.
Les apports mesurés de l'intelligence artificielle
Pour l’heure, les apports de l’intelligence artificielle dans les solutions de cybersécurité se limitent à la détection des menaces avancées. L’IA ne permet pas encore d’automatiser les réponses sur incident. Sa généralisation bute, par ailleurs, sur la fiabilité des modèles algorithmiques.
L’utilisation croissante de l’IA
« AI inside ». Il n’y a guère aujourd’hui de fournisseur (éditeur, équipementier, intégrateur) qui ne prétend pas intégrer dans ses logiciels ou ses services numériques des technologies d’intelligence artificielle.
Le monde de la cybersécurité n’échappe pas à la règle. Un nombre croissant de spécialistes communiquent sur les atouts du recours au machine learning ou au deep learning. De nombreux éditeurs, anglo-saxons notamment, en ont fait leur principal élément différenciant.
Les arguments avancés par les partisans du tout IA sont convaincants :
- Au regard de l’augmentation exponentielle des masses des données à analyser – logs, adresses IP…. – leur traitement ne peut plus être effectué manuellement.
- Les solutions dopées à l’IA prendraient le relais des systèmes de protection traditionnels dépassés par le volume, la variabilité, la vélocité et la complexité des cyberattaques.
L’état actuel de la menace exigerait une forte dose d’automatisation afin d’assurer une détection en temps quasi réel des événements suspects
L’approche statistique de l’IA : pallier la pénurie de compétences
L’approche statistique de l’IA donne un coup de vieux à la vision classique de la cybersécurité traditionnelle qui consiste, une fois un virus, un malware ou un ransomware connu, de créer sa signature afin de le bloquer.
Grâce à l’IA, plus besoin de connaître la menace pour la contrer ni de multiplier les patchs et les mises à jour, elle va analyser un fichier sous toutes les coutures et lui attribuer un score de confiance. En deçà de ce score, il est placé en quarantaine. Cette approche statistique permettrait de mieux prévenir les nouvelles formes de menaces, les différentes évolutions d’un code malveillant, voire de bloquer les « zero day« .
Par ailleurs, le recours à l’IA pallierait le déficit structurel en compétences cyber en déchargeant les experts des tâches répétitives, chronophages et sans valeur ajoutée pour qu’ils puissent se concentrer sur les éléments méritant véritablement leur attention.
Selon un rapport de Fortinet, il manquerait quelque 2,72 millions d’experts en cybersécurité dans le monde.
L’IA pour se mettre au niveau des cybercriminels
Actuellement, les entreprises doivent également se doter des mêmes armes que les cybercriminels qui, on le sait, ont toujours un train d’avance. Les hackers recourent déjà massivement aux technologies d’IA pour identifier les failles d’un système, casser un mot de passe, remplir des Captcha, personnaliser des campagnes de phishing ou créer des deep fakes.
Le très à la mode agent conversationnel ChatGPT serait même déjà détourné pour écrire du code malveillant.
Il faut toutefois se méfier des buzzwords et le décalage est souvent grand entre le discours marketing et la réalité des faits.
L’IA reste un outil d’aide à la décision
A date, l’IA montre surtout sa pertinence dans la détection de comportements suspects et de signaux faibles dans l’océan de données à analyser.
Auto-apprenant, le système protège contre les cybermenaces en se basant sur un historique de modèles comportementaux. Toute modification de ces schémas habituels est analysée et isolée.
Par exemple, un collaborateur s’est connecté depuis l’étranger, à une heure inhabituelle avec un terminal non enregistré. Le système remonte l’alerte à un expert qui décide de la lever ou d’aller plus loin dans les investigations jusqu’à mener ou non des actions correctives.
Si l’IA peut encore aider l’analyste en contextualisant l’événement suspect par recoupement de différentes sources d’information, son rôle s’arrête là à ce jour.
On est encore loin d’une IA omnisciente en mesure d’apporter une réponse sur incident et de conduire, en toute autonomie, les actions de remédiation ad hoc.
Faux positifs et effet « boîte noire »
Si la montée en puissance de l’IA dans les dispositifs de protection va dans le sens de l’Histoire, elle sera progressive. Pour l’heure, sa généralisation bute sur la confiance placée en elle.
Qui dit système auto-apprenant dit faux positifs. Or, selon l’expert Dane Sherret, architecte solutions chez HackerOne, « les rapports de vulnérabilités générés par l’IA révèlent de nombreux faux positifs, ce qui ajoute des frictions supplémentaires et représente une surcharge pour les équipes de sécurité. »
Soit le contraire de l’objectif poursuivi. Un constat qui invalide, une fois encore, la possibilité d’une IA autonome. Une organisation ne pourrait se permettre de voir son activité paralysée pour un faux positif.
L’IA pose ensuite la question de la transparence des algorithmes dits « boite noire » de type deep learning. Par quels mécanismes, un modèle obtient, à partir de ces données en entrée, ce résultat en sortie. Le modèle doit non seulement être explicable, mais aussi robuste. Des hackers peuvent sinon sciemment le pervertir en injectant des données toxiques (data poisoning) faisant du système auto-apprenant une véritable passoire.
Un tandem IA + humain
Pour Dane Sherret, « l’évolution du paysage technologique nécessitera toujours un élément humain », et « l’IA ne pourra égaler ou dépasser l’expertise d’une communauté mondiale de hackers ».
Il rappelle, par ailleurs, que pour son bon fonctionnement, l’IA a besoin d’une supervision humaine et d’une configuration manuelle. Il faut ensuite l’entraîner sur les données les plus récentes au regard de l’évolution permanente des menaces et de l’exploitation de nouveaux vecteurs d’attaque.
« Des données datées d’un an seulement peuvent rendre les solutions autonomes beaucoup moins efficaces, et une dépendance excessive aux outils d’analyse rend déjà de nombreuses entreprises vulnérables », estime Dane Sherret.
Si l’IA ne va donc pas remplacer les experts de la cybersécurité, elle peut renforcer leurs capacités. « Aujourd’hui, nous voyons des hackers éthiques utiliser l’IA pour les aider à rédiger des rapports de vulnérabilité, à générer des échantillons de code, ainsi qu’à identifier des tendances dans de grands ensembles de données. » Bref, une IA au service de l’humain.