Face à la progression du volume et de la complexité des cyberattaques, les mécanismes de défense traditionnels sont plus impuissants que jamais ! Pour lutter contre les nouvelles menaces, la quasi-totalité des spécialistes de la cybersécurité exploitent des technologies d’Intelligence artificielle et de Machine learning pour développer ou renforcer leurs solutions de protection.
Que cela soit pour analyser de très gros volumes de données, identifier des malwares polymorphes, sonder les flux réseau, renforcer la protection des environnements cloud, repérer les comportements inhabituels, ou encore réduire drastiquement les temps de réponse, l’Intelligence artificielle est utilisée dans tous les domaines de la cybersécurité. Concept marketing pour les uns, technologie révolutionnaire pour les autres, l’Intelligence artificielle n’a jamais autant fait parler d’elle. Ses applications et les cas d’usage dans la cybersécurité sont très nombreux et couplés le plus souvent avec des algorithmes de Machine learning et de Deep learning. Outre la possibilité de traiter de gigantesques volumes de données et de réaliser des tâches répétitives sans intervention humaine, l’IA est capable d’apprendre, comprendre, s’adapter et raisonner pour effectuer des actions prédéfinies. Depuis plusieurs années, des IA sont intégrées dans des antivirus, des antimalwares, des solutions EDR (Endpoint Detection and Response), des firewalls, ou encore des antispams. Google utilise par exemple des technologies de Deep learning (apprentissage profond) pour filtrer les spams dans Gmail. L’IA permet de combler le manque de personnel, de renforcer les moteurs de détection ainsi que les outils de réponse et de remédiation des éditeurs.
Analyse des accès cloud et des activités réseau
Société de gestion des accès privilégiés, CyberArk a dévoilé un nouveau service alimenté par l’IA pour sécuriser les accès sur le Cloud. L’entreprise exploite l’IA pour analyser le contexte et l’intention afin d’évaluer correctement les risques. « L’adoption du Cloud s’est considérablement accélérée, mais à mesure que de nouveaux environnements et services cloud sont déployés, des milliers d’autorisations basées sur l’identité sont créées – dont beaucoup sont ignorées », a déclaré Chen Bitan, directeur des produits chez CyberArk. Le service est capable de détecter les autorisations cloud cachées, mal configurées ou inutilisées afin d’améliorer les processus d’identification sur le Cloud. Spécialisée dans l’Intelligence artificielle, Vectra exploite des réseaux neuronaux et de l’apprentissage automatique pour détecter et résoudre des incidents. « Comme Apple avec Siri, ou Google avec Assistant, pour la reconnaissance vocale, Vectra utilise des réseaux neuronaux pour développer des outils de détection réseau. Au lieu d’apprendre des mots, l’IA de Vectra est alimentée par un certain nombre de signaux qui vont lui permettre de comprendre qu’il y a par exemple une activité de prise en main à distance sur les flux des réseaux », explique Grégory Cardiet, directeur avant-ventes Emea chez Vectra.
Des évolutions majeures
L’éditeur Bitdefender intègre quant à lui des technologies d’IA dans ses solutions de protection depuis près de dix ans. Stéphane Brovadan, directeur des avant-ventes B2B Europe et Afrique du Nord, explique pourquoi elles sont devenues si indispensables. « Le mot IA peut désigner différents types de solutions techniques, mais c’est principalement un concept marketing. Il est difficile de parler d’intelligence, car l’informatique n’a pas d’intelligence propre. Aujourd’hui, l’informatique apprend dans un contexte donné et défini par l’humain. Typiquement, pour la partie moteur anti-exploits avancé par exemple, on va lui dire tout ce qui permet de détecter les techniques d’attaque utilisées sur les Endpoint au travers des failles de vulnérabilités (failles zéro day ou inconnues). L’IA va ensuite être capable de déterminer si ce processus qui émane d’un logiciel est une technique d’attaque connue ou non afin d’éviter des faux positifs. Bitdefender a déployé ce type d’outils réellement la première fois vers 2010 et 2011 sur ses solutions grand public et professionnelles. Depuis, l’IA a évolué jusqu’à avoir la possibilité d’analyser les métadatas des flux réseau au sein d’infrastructures. Cela permet de s’adapter aux robots qui vont attaquer de façon automatisée sans avoir besoin qu’un être humain intervienne. C’est la raison pour laquelle l’IA est devenue si indispensable. Pour s’en passer aujourd’hui, il faudrait plusieurs personnes dédiées à la cybersécurité dans toutes les entreprises avec un niveau de connaissance en sécurité équivalent à un SOC. C’est impossible…»
L’IA intégrée aux équipements
Après les éditeurs, les équipementiers commencent à s’emparer également de l’IA pour renforcer la protection de leurs produits. Leader mondial des solutions de stockage, Seagate vient de lancer le premier disque dur (SkyHawk AI) compatible avec les solutions de vidéosurveillance basées sur l’IA. Grâce à des technologies de Deep learning et d’apprentissage automatique, le système peut gérer trois fois plus de données que des disques durs de surveillance classiques, s’adapter automatiquement aux montées en charge de travail vidéo, ou encore conserver un volume de données dans le temps beaucoup plus important. « Le disque dur Seagate SkyHawk AI 18 a été conçu pour gérer la demande croissante en données des nœuds de toute taille, permettant de passer facilement des téraoctets aux pétaoctets. Il améliore les processus opérationnels et analytiques, accélérant l’accès aux séquences de vidéosurveillance par rapport aux anciennes versions », explique Jeff Fochtman, vice-président senior, marketing et affaires chez Seagate Technology.
Des technologies au service des hackers
Si ces technologies sont à l’origine de la plupart des innovations majeures réalisées dans la cyberdéfense depuis quelques années, elles ont permis dans le même temps aux cyberattaquants de développer de nouvelles formes d’attaques «intelligentes» et automatisées. Pour Sam Curry, responsable de la sécurité chez Cybereason, les attaquants ont pris l’avantage sur les défenseurs : « Les attaquants utilisent des outils communément appelés des IA, mais il s’agit en réalité de programmes d’informatique et de mathématique avancés développés asymétriquement. De génération en génération, les techniques des hackers deviennent de plus en plus raffinées et elles progressent à une vitesse vertigineuse. Si cela continue comme cela du côté des attaquants, nous risquons à terme de perdre les progrès de l’Internet et des technologies qui contribuent à améliorer la condition humaine. Il faut que les défenseurs prennent des initiatives pour améliorer les environnements, les outils, les processus, les utilisations des “ intelligences assistées ” pour reprendre l’avantage !» Autrement dit, la guerre des IA ne fait sans doute que commencer…