Sécurité cognitive : nouvelle ère de la cybersécurité

Sécurité cognitive : nouvelle ère de la cybersécurité

Les systèmes traditionnels sont dépassés. Et la sécurité aussi !

Depuis des décennies, nous équipons les ordinateurs pour identifier des virus et des logiciels malveillants. Bien que ces logiciels soient adaptés en permanence pour gagner en précision, cela ne suffit plus pour affronter des attaques en perpétuelles évolutions.

Les contrôles périmétriques et la sécurité intelligente, deux briques de construction de la cybersécurité, laissent désormais entrevoir une troisième ère, celle de la sécurité cognitive. Le verrouillage et la restriction des accès aux informations sensibles grâce à des mots-de-passe et à des stratégies de contrôle d’accès se sont enrichies avec des systèmes de surveillance de plus en plus sophistiqués, destinés à collecter et passer au peigne fin des volumes massifs de données pour repérer les vulnérabilités et hiérarchiser les attaques potentielles. Aujourd'hui, ce n'est plus suffisant. Il ne s'agit pas, pour autant, de rompre avec les outils actuels mais de les compléter en améliorant leurs capacités pour tirer profit de toutes ces données existantes. L'objectif étant de gagner la bataille contre ces cybercriminels qui innovent et se renouvellent chaque jour. Il s'agit aussi de relever un autre défi de taille : pallier au manque de compétences et de ressources humaines dans le monde de l'analyse cyber.

« Les nombreuses sources d’information sur les menaces, et plus particulièrement sur les menaces avancées, nous permettent aujourd’hui de comprendre les modes opératoires des attaquants, les nouvelles tendances et les nouvelles cibles. Il n'en reste pas moins que l'étendue des informations à analyser et le manque de ressources compétentes pour les exploiter nous mettent en difficulté pour faire face aux attaques », confirme Agnieszka Bruyère, directrice des services de sécurité chez IBM France et membre du Comité éditorial des Assises de la sécurité qui se tiendront à Monaco du 5 au 8 octobre.

 

Plus de 2,5 milliards de trilliards d’octets (1030) sont générés chaque jour au niveau mondial... Seulement 20 % de ces données disponibles sont visibles par les systèmes existants. Cela signifie que 80 % des données mondiales disponibles, non structurées, ne sont pas exploitées !

Alors, comment tirer tout le bénéfice de ce système en l’absence de compétences suffisantes ? « Disposer d’une machine intelligente et puissante, qui aura préalablement absorbé toutes les informations sur la cybercriminalité afin d’apporter un maximum de support aux analystes travaillant sur les incidents de sécurité », répond Agnieszka Bruyère.

 

La sécurité cognitive : produire une analyse proche de celle d'un humain

Fondée sur une sécurité intelligente dotée d’outils d’analyse du Big Data, la sécurité cognitive se caractérise par une technologie capable de comprendre, de raisonner, d'analyser et d’apprendre en continu. « Les systèmes cognitifs accèdent aujourd’hui à un éventail de données de sécurité considérablement plus large, et peuvent traiter et interpréter ces 80 % de données disponibles, non structurées, afin de les intégrer avec les données structurées issues d’innombrables sources et emplacements », soulignent les équipes IBM. Par ailleurs, la technologie cognitive permettra d’orienter les informations et la détection des menaces et produira des informations exploitables, à une vitesse et à une échelle sans précédent.

« Ce système d’Intelligence Artificielle Watson for Cybersecurity sera alimenté par des informations provenant de la littérature spécialisée, de rapports sur la cybercriminalité, de blogs et de différentes sources disponibles sur le marché afin de répondre aux questions des analystes sécurité en utilisant le langage humain (attention néanmoins à ne pas confondre Système d'Intelligence Artificielle et super moteur de recherche, car le but n'est pas d'apporter une réponse plus ou moins précise à une question posée en ligne en puisant dans les nombreuses sources d'information du Web).

Sur la base de ses connaissances et expériences, le système d’Intelligence Artificielle doit produire une analyse proche de celle d'un humain, être capable de faire les liens entre différents événements pour déduire s'il a affaire – ou non – à une attaque potentielle. Il est donc nécessaire d’enseigner au système d'IA ce qu’est un incident de sécurité. C’est-à-dire lui transmettre des exemples d'incidents, des modèles ou modes opératoires utilisés pour perpétrer une attaque. À force d’apprendre, l'IA sera en capacité de conseiller les analystes sur les incidents potentiels, de trouver la cause d'une attaque et de mettre en place un plan de remédiation. » ajoute la directrice des services sécurité IBM France. Ainsi, alors que la génération actuelle des systèmes est réactive, avec la capacité à détecter et à réagir à des anomalies ou à des attaques, la sécurité cognitive est par nature proactive.

« Les solutions cognitives produisent non seulement des réponses, mais formulent aussi des hypothèses, des raisonnements et des recommandations fondés sur des preuves. » Dans une économie mondiale où l’information est un gisement de valeur de plus en plus capital, les données constituent une matière première parmi les plus abondantes, riches et complexes au monde. « Nous disposons donc maintenant des moyens pour accéder à des données structurées et non structurées et extraire en permanence des caractéristiques et des modèles permettant de disposer en temps réel des informations contextuelles nécessaires pour améliorer le processus décisionnel. » ajoutent les experts chez IBM.

 

Accélérer la montée en compétences dans un contexte de pénurie

Le volume des données de sécurité présenté aux analystes est stupéfiant. Une entreprise standard a plus de 200 000 données liées à des événements de sécurité par jour1 et les entreprises dépensent 1,3 million de dollars par an pour traiter uniquement les faux positifs, gaspillant ainsi près de 21 000 heures2. Si l’on couple cela avec plus de 75 000 vulnérabilités logicielles connues rapportées dans la base de données nationale de la vulnérabilité3, 10 000 documents de recherche liés à la sécurité publiés chaque année et plus de 60 000 billets de blogs de sécurité publiés chaque mois4, les analystes en sécurité sont sérieusement défiés pour suivre ce flot d’informations ! Ainsi, pour absorber cette charge de travail considérable et pallier au problème du manque de ressources humaines dans ce domaine, la sécurité cognitive devient un allié de poids. « Le nombre de postes non pourvus concernant la sécurité de l’information est estimé de nos jours à 208 000 et devrait atteindre 1 500 000 d’ici 2020. Véritables assistants, les systèmes cognitifs peuvent constituer des extensions extraordinaires pour des départements de sécurité fréquemment en sous-effectif. La démarche cognitive facilite le travail des analystes de sécurité à travers les échanges dans le langage humain dans les analyses interactives des incidents de sécurité, une meilleure compréhension des modes opératoires des attaquants, des évaluations de risques, ainsi que des recommandations en matière de plans de remédiations possibles. » soulignent les équipes IBM.

« Même si l'industrie était en mesure de combler les 1,5 million d'emplois vacants en matière de cybersécurité que l’on estime d'ici 2020, nous subirions encore une crise des compétences en matière de sécurité », déclare Marc van Zadelhoff, General Manager, IBM Security. « Le volume et la vélocité du flux des données en matière de sécurité est l'un de nos plus grands défis dans le traitement de la cybercriminalité. En tirant parti de la capacité de Watson à apporter un environnement pour traiter des quantités gigantesques de données non structurées, qu’il est impossible de traiter seul en tant qu’humain, nous apporterons de nouvelles idées, des recommandations et des connaissances aux professionnels de la sécurité. Résultat, une plus grande précision et vitesse d’analyse au profit des analystes en cybersécurité les plus avancés, et une formation en continue aux analystes inexpérimentés. »

 

Des universités participent à l'entraînement IBM Watson for Cybersecurity

Dès cet automne, IBM collaborera avec huit universités qui bénéficient des meilleurs programmes de cybersécurité au monde pour renforcer la formation de Watson et initier leurs élèves à l'informatique cognitive. Les élèves des universités de California State Polytechnic University, Pomona ; Pennsylvania State University ; Massachusetts Institute of Technology ; New York University ; UMBC ; the University of New Brunswick ; the University of Ottawa et the University of Waterloo vont ainsi aider Watson à se former au langage de la cybersécurité, travaillant d'abord pour aider à construire le corpus de Watson avec des connaissances en annotant et nourrissant les rapports et les données de sécurité du système. Les étudiants travailleront étroitement avec des experts IBM en sécurité pour apprendre les nuances de ces rapports de renseignements de sécurité. IBM prévoit actuellement de traiter jusqu'à 15 000 documents de sécurité par mois au cours de la prochaine phase en collaborant avec les partenaires universitaires, des clients et des experts IBM.

Ces documents comprennent des rapports de renseignements sur les menaces, des stratégies des cybercriminels et des bases de données des menaces. La formation de Watson aidera également à renforcer la taxonomie dans la cybersécurité, y compris la compréhension des identités numériques, les méthodes d'infection, les indicateurs de compromission, et aidera à identifier les menaces persistantes avancées.

 

IBM va plus loin afin de révéler de nouvelles avancées scientifiques en matière de sécurité cognitive. Une nouvelle collaboration verra prochainement le jour entre IBM Research et UMBC pour créer un laboratoire de la cybersécurité cognitive accélérée (ACCL) dans le College of Engineering and Information Technology. « La faculté et les étudiants travaillant dans le ACCL appliqueront l'informatique cognitive pour faire face aux défis complexes de la cybersécurité, collaborant avec les scientifiques d'IBM et tirant parti des systèmes informatiques de pointe de la compagnie pour aller plus vite et plus loin avec de nouvelles solutions de cybersécurité », soulignent les équipes IBM.

 

Mettre à terre le business de la cybercriminalité

Enfin, pour mettre un terme à cette fatalité qui nous fait croire que l’attaquant a toujours une longueur d’avance sur les moyens que nous développons pour le contrer, IBM utilisera l’IA « pour aller jouer sur son terrain en imaginant de nouvelles formes d'attaques. Les expériences récentes sur l'IA montrent qu'elle sera capable de faire des associations que les analystes n'auraient pas imaginées », ajoute Agnieszka Bruyère. Watson a, en effet, montré des résultats stupéfiants dans le domaine de la gastronomie ou de la santé...

Alors que la communauté des adeptes de la sécurité cognitive s’étend et que la viabilité des nouvelles attaques diminue, le cybercrime va donc être confronté à une nouvelle réalité économique. En effet, les efforts nécessaires pour développer des logiciels malveillants capables de déjouer les détections vont devenir de plus en plus complexes et coûteux. Selon l’étude Cost of Data Breach Study 2015 du Ponemon Institute, le délai moyen nécessaire à une entreprise ou à une organisation pour détecter des menaces persistantes avancées est de 256 jours, et le coût moyen d’une attaque contre des données aux États-Unis est de 6,5 millions de dollars.

« La sécurité cognitive va apporter aux analystes de sécurité les capacités nécessaires pour identifier les signes avant-coureurs d’attaques potentielles et en accélérer significativement la détection. Ce qui amènera les cybercriminels à constater que les profits seront de plus en plus difficiles à réaliser. »

La démarche cognitive n’en est qu’à ses débuts, mais IBM investit depuis plusieurs décennies dans les technologies cognitives et a réalisé des progrès considérables au cours des cinq dernières années – notamment la capacité à traiter le langage naturel, les contenus vocaux et les images, mais aussi à transformer des données non structurées à l’aide d’outils comme les bases “knowledge graph”, qui facilitent l’application de requêtes. IBM entend poursuivre son engagement dans les technologies cognitives pour enrichir de manière durable les applications de sécurité et produire des informations pour les analystes... Déjà en phase de beta testing auprès d'une dizaine de clients aux États-Unis et en Europe, Watson for Cybersecurity sera commercialisé dès le début de l'année 2017.

Les clients intéressés par ce système sont nombreux, dans différents domaines, dont celui de la lutte contre la fraude. Le domaine bancaire tout particulièrement. 75 institutions financières à travers le monde mettent au profit de 16 millions de clients l'application IBM Trusteer Rapport qui protège l'identité et le compte de ses derniers contre la fraude et les cybercriminels grâce à la sécurisation du navigateur Internet et la garantie d'un lien de communication sécurisé entre la banque et le détenteur du compte. « L'intégration est essentielle en matière de cybersécurité. Trusteer collabore avec notre SIEM Qradar, le système de gestion des événements et des informations de sécurité IBM, qui seront tous deux intégrés dans l'écosystème de Watson. Les solutions doivent impérativement interagir entre elles pour être plus pertinentes et efficaces », conclut Agnieszka Bruyère.

La sécurité cognitive en est peut-être à ses débuts, mais le futur proche semble plus que prometteur. Un enrichissement permanent nourrira ce système ambitieux qui devra prochainement relever, lui aussi, le challenge des objets connectés...

Un outil dont on ne mesure pas toutes les qualités tant elles sont nombreuses, mais dont on peut imaginer les atouts dans un domaine qui agite particulièrement le monde et en particulier la France. En effet, analyser, comprendre, décrypter et anticiper... sont autant de points essentiels à la lutte contre le terrorisme qui pourrait trouver un allié de taille dans l'intelligence artificielle qui se metterait au service des équipes de renseignement et en faveur de la lutte contre toute forme de crimes organisés de la cyber sécurité... À suivre...

 

1. IBM 2015 Cybersecurity Intelligence Index

2. The Cost of Malware Containment, par Ponemon Institute, publié en janvier 2015

3. The National Vulnerability Database

4. IBM X-Force Analysis


PrécédentAccueilSuivantPartager