Cybersécurité et IA, une arme à double tranchant ?

Joan Taulé, Vice President Sales, Southern Europe CrowdStrike

Aujourd’hui, il ne suffit plus d’analyser un récent incident de sécurité pour prévoir et a fortiori prévenir une attaque à venir

La menace persistante incarnée par l’apparition jour après jour de nouvelles attaques démontre clairement que les entreprises ne peuvent plus s’appuyer sur des solutions obsolètes qui se contentent de surveiller les menaces connues avec un temps de retard. En d’autres termes, l’analyse d’un incident de sécurité survenu hier ne permet plus de prévoir — et encore moins de prévenir — une attaque qui aura lieu demain.

Les cadres législatifs, tels que le Règlement général sur la protection des données (RGPD), poussent les entreprises à réagir. Pour rester conformes à ces directives, elles doivent adopter de nouveaux modes de défense contre des menaces continues et en évolution permanente.

L’intelligence artificielle (IA) et l’apprentissage automatique (Machine Learning – ML) sont deux expressions à la mode qui sont souvent évoquées comme le remède à tous les maux. Ces expressions sont souvent utilisées à tort et à travers, et nombre d’utilisateurs sont loin de savoir comment appliquer les technologies qu’elles désignent dans un environnement d’entreprise avec une efficacité optimale. Il convient pourtant de rappeler que des équipes de sécurité du monde entier font déjà confiance à des solutions de sécurité de nouvelle génération qui s’appuient sur l’IA pour suivre le rythme haletant imposé par les cybercriminels.

Contextualiser l’IA en permanence

À la mode ou non, l’IA s’est imposée comme un outil essentiel pour aider les entreprises à détecter les attaques de manière à la fois plus rapide et plus précise. Car contrairement aux solutions traditionnelles, l’intelligence artificielle permet de dépasser le cadre de la simple identification des menaces connues. Les modèles d’IA sont en effet capables de déterminer le degré de malveillance d’un fichier totalement inconnu en analysant ses propriétés. En s’appuyant sur des données de bonne qualité, les techniques d’IA surpassent facilement les approches de prévention traditionnellement basées sur les signatures ou les indicateurs de compromission (IoC), lesquelles recherchent a posteriori les traces laissées par un attaquant lors d’une violation.

En outre, les solutions de nouvelle génération qui associent les techniques analytiques et l’analytique appliquée peuvent contribuer à accélérer les investigations et fournir des moyens de remédiation guidés pour aider les équipes en charge de la sécurité à repousser les menaces en temps réel.

Choisir son dispositif d’Intelligence Artificielle

Selon une récente étude réalisée par le cabinet IDC dans le monde entier, les dépenses consacrées aux systèmes cognitifs et à l’intelligence artificielle devraient tripler au cours des quatre prochaines années. Si cette tendance n’a rien d’original, la manière dont les entreprises vont s’appuyer sur ces technologies pour réduire leurs coûts, améliorer la productivité de leurs équipes et accroître leur rentabilité va inévitablement évoluer.

L’intelligence artificielle peut être extrêmement utile aux entreprises, même s’il convient de souligner que toutes les solutions d’IA ne sont pas égales. Les responsables de la sécurité et des systèmes d’information (RSSI) qui décident d’intégrer l’intelligence artificielle à leur stratégie doivent tenir compte de trois facteurs clés en vue d’en déterminer l’efficacité potentielle.

Premier d’entre-eux, l’efficacité des algorithmes d’intelligence artificielle dépend de la qualité et du volume des données qui les « entrainent » ainsi que de la sélection des bons éléments différenciateurs à partir de ces données. Il est par conséquent primordial que les RSSI connaissent le volume des données et des algorithmes par rapport auxquels la solution a été testée. C’est potentiellement à ce niveau que se fait la différence entre une détection efficace et un nombre élevé de faux positifs.

Deuxième facteur, au-delà de la taille du volume de données, l’endroit où elles sont collectées peut influencer l’efficacité de la solution de sécurité. Chaque pays et chaque secteur d’activité sont confrontés à des types d’événements de sécurité particuliers, de sorte qu’une vue en coupe des secteurs d’activité permettra de créer une vision holistique des cybermenaces, notamment au sein des entreprises internationales.

Troisième et dernier facteur déterminant pour l’efficacité de la solution, l’intelligence en temps réel. Êtes-vous capable de former une nouvelle fois les algorithmes et les classificateurs ? C’est un élément essentiel qui peut apporter aux entreprises un avantage décisif. Les solutions multitenants accessibles sur le cloud permettent aux équipes de sécurité d’exploiter des données à la fois plus importantes en volume et plus pertinentes que lorsqu’elles sont générées sur site ou dans un environnement de cloud privé à instance unique. Ces solutions autorisent des mises à jour instantanées, ce qui permet aux entreprises de traiter et d’analyser en temps réel des milliers de milliards d’événements liés aux endpoints par semaine, et ainsi d’appréhender de façon proactive à l’évolution du paysage des menaces. Cette approche leur évite non seulement d’avoir un temps de retard, mais surtout de se positionner aux avant-postes.

L’outil du futur

Les approches traditionnelles de la sécurité ne peuvent suivre le rythme soutenu imposé par les cyberattaquants, exposant de nombreuses entreprises à des risques élevés. Des logiciels malveillants comme WannaCry ou NotPetya ont contribué à exposer ce challenge au grand jour, obligeant les chefs d’entreprise à réfléchir sérieusement au rôle de l’intelligence artificielle dans leur stratégie de sécurité.

Bien que l’IA en soit encore à ses balbutiements, les solutions de nouvelle génération aident les entreprises du monde entier à accroître le niveau de sécurité de leur réseau en étant capables de calculer plus rapidement un plus grand nombre de données dans le cloud et de fournir des indications sur ce qui semble une menace, même si celle-ci n’a encore jamais été observée. C’est une façon plus intelligente et plus rapide d’opérer, et la seule de faire face aux dangers actuels et futurs.