5min. read

Intelligence artificielle (IA) et machine learning (ML) sont des thématiques omniprésentes dans le monde de la sécurité informatique, faisant même l’objet d’une véritable course à l’armement entre d’une part les attaquants, et d’autre part les entreprises qui cherchent à s’en défendre. Les acteurs malveillants y voient en effet le moyen de briser les systèmes de défense les plus perfectionnés et d’identifier plus rapidement les vulnérabilités. Mais qu’en est-il des entreprises ? L’IA et le ML sont-ils vraiment la panacée qu’on leur promet ?

On pourrait être tentés de croire que oui. Qu’une entreprise qui emploie ces techniques est automatiquement protégée. La réalité est beaucoup plus complexe. En matière d’IA et de ML, tous les usages ne se valent pas. Et autant le dire tout de suite, les algorithmes les plus récents ne sont en rien une garantie de sécurité.

Pour garder le rythme face à l’évolution constante du champ des menaces, l’IA et le ML restent deux composantes indispensables de votre stratégie de sécurité globale, à condition de s’inscrire dans un double objectif : contrer le plus grand nombre d’attaques possible et réagir immédiatement en cas de compromission.

L’IA n’est pas une fin en soi

À elle seule, l’intelligence artificielle ne suffira pas à faire la différence. On observe actuellement un grand nombre de modèles et de frameworks IA. Généralement issus de la recherche universitaire et de la communauté open-source, ils sont ouverts à tous et disponibles dans le domaine public. Le framework en lui-même n’a donc pas d’importance. Ce qui importe, c’est la manière dont l’IA est utilisée et la nature des données qui serviront de base à son apprentissage.

Comment l’IA peut-elle renforcer la cybersécurité ?

Quelle que soit sa finalité, la performance du tandem IA/ML se résume à des données de qualité, en très grande quantité. C’est l’abondance de données fiables qui permettra à l’IA d’identifier et de reconnaître différents scénarios. Plus elle acquiert de données réelles, plus elle gagne en intelligence et en expérience.

Appliquons maintenant ces principes à la cybersécurité. Un seul déploiement ou un seul vecteur de menace ne constitue pas une base suffisante à l’apprentissage de votre IA. Ce dont vous avez besoin, c’est d’une solution capable d’apprendre de tous les types d’environnements et d’exploiter des données issues de l’ensemble des utilisateurs, pas seulement à l’échelle d’une entreprise individuelle. Plus le pool d’environnements et d’utilisateurs sera varié, plus l’IA sera efficace. Vous devez donc pouvoir compter sur un système capable de traiter à la fois un grand volume et une grande diversité de données.

L’IA ne se résume pas à quelques calculs savants sur un ordinateur. Bien sûr, les données restent une composante essentielle de sa performance, mais pour libérer tout leur potentiel, l’IA et le ML doivent être intégrés à des processus opérationnels. Bref, ces technologies ne doivent pas être considérées comme des outils autonomes mais plutôt comme des « enablers », c’est-à-dire des leviers destinés à sous-tendre et améliorer vos processus et vos opérations de sécurité.

Les techniques IA les plus efficaces sont celles qui allient la reconnaissance de formes à grande échelle (issue du ML) à d’autres éléments comme les connaissances liées au domaine, le but étant de former un système hybride plus performant. Les techniques statistiques dérivées purement du ML sont généralement incapables de s’adapter aux menaces inconnues qui, par leur nature, n’offrent qu’une maigre base de référence sur laquelle s’appuyer. L’expertise d’un domaine peut également être employée pour créer une logique (la plupart du temps dérivée d’une analyse de données à grande échelle), élaborée dans le but de prévenir et de détecter efficacement des techniques et tactiques d’attaques spécifiques.

Le problème, c’est que l’agrégation de ces données par des systèmes experts donne des taux d’erreurs incohérents et faussés d’un déploiement à un autre. Ce qu’il faut, c’est un système d’IA employant d’une part des données statistiques issues du ML, et d’autre part des informations liées au domaine provenant d’autres composantes de l’ensemble, et ce afin de reconnaître les nouveaux schémas d’attaque tout en maintenant un taux d’erreurs bas et cohérent sur l’ensemble des déploiements.

IA et ML, deux piliers de la cybersécurité

Dès lors qu’ils sont déployés dans les règles de l’art, l’IA et le ML sont des outils de sécurité très efficaces qui aideront les équipes de votre centre opérationnel de sécurité (SOC) à accomplir plus de tâches avec moins d’effectifs. En ce sens, ils démultiplient les forces d’une organisation tout en affectant les compétences et l’expérience des analystes à des missions prioritaires.

Dans le domaine de la sécurité, l’IA et le ML sont généralement utilisés pour établir une base