L’Intelligence Artificielle : vraie rupture en cybersécurité ?

Security officer watching cloud blocks forming face in sky

L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au cœur des entreprises, mais pas uniquement. Ce changement de paradigme engage en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.

Longtemps, les technologies de détection et de suppression de virus informatiques se sont appuyées sur des « signatures » afin d’identifier le code malveillant présent sur une machine. Malgré le fait que les outils en sécurité informatique ont cherché à améliorer leur efficacité en tirant parti de diverses innovations, ces logiciels n’ont jamais réussi à s’éloigner de l’approche classique. « Je parle ici du principe d’une base de données globale qui regroupe les différents types de malwares identifiés jusqu’au présent. À la recherche de motifs spécifiques, les outils traditionnels scannent le code des systèmes de fichiers et la mémoire de l’ordinateur, permettant ainsi la détection des signatures préexistantes dans la base de données. En d’autres termes, votre antivirus est capable de détecter seulement les cyber-menaces connues. » explique Joseph Steinberg, expert cybersécurité qui a participé à la rédaction du livre blanc « L’Intelligence Artificielle : vraie rupture en cybersécurité » publié par ITrust à l’été.

Les systèmes de détection ou de protection en temps réel basés sur des signatures (comme les IDS/IPS ou les firewalls applicatifs) sont donc de plus en plus impactés par la lourdeur de leurs bases de données qui ne fait que croître. De plus en plus de signatures différentes sont nécessaires ce qui a pour conséquence de ralentir les systèmes de détection. Enfin, outre la volumétrie des données en constante augmentation, la typologie des attaques se diversifie toujours davantage.

Dès lors, les entreprises spécialisées dans la cybersécurité de pointe ont compris que la recherche d’une activité inhabituelle, plutôt que la recherche d’une activité malveillante typique, est le meilleur moyen de faire face à l’insuffisance des signatures. Cette nouvelle approche est ce que l’on appelle la détection d’anomalies. En suivant ce principe, les experts en sécurité créent des règles afin d’apprendre à leur machine la « normalité ». Une normalité qui est bien entendu amenée à évoluer. Ce qui est « normal » aujourd’hui peut devenir une exception demain.

C’est pourquoi la détection d’anomalies peut parfois générer un grand nombre de faux positifs. En raison d’un nombre limité de ressources, cette abondance peut accabler le personnel en charge de la DSI. Ces derniers ne sont pas capables d’examiner toutes les remontées en temps réel et, par conséquent, laissent passer des alertes. Et si parmi ces signaux faibles il y avait des vraies intentions hostiles ?

« C’est pourquoi nous avons besoin de l’intelligence artificielle. » souligne Jean-Nicolas Piotrowski, PDG Itrust. « Les capacités d’une IA peuvent offrir des avantages considérables d’un point de vue sécurité et efficacité », en faisant la différence entre une simple irrégularité, et un véritable signal hostile. L’intégration des informations contextuelles à partir des flux « Threat Intelligence » peut également affiner la précision de l’analyse des activités inhabituelles susceptibles de porter, plus tard, sur une cyberattaque. Bien évidemment, le feedback sert toujours à améliorer la capacité de détection d’une menace inconnue.

« Gardez à l’esprit que la détection d’anomalies et la compréhension d’un comportement malveillant, ainsi que la détection de menaces, sont des activités ayant pour but des objectifs très différents. Pour assurer l’avenir de la cybersécurité, nous aurons besoin des deux. » souligne à son tour Joseph Steinberg.

La sécurité cognitive, proactive par nature

Sur la base de ses connaissances et expériences, le système d’Intelligence Artificielle doit donc produire une analyse proche de celle d’un humain, être capable de faire les liens entre différents événements pour déduire s’il a affaire – ou non – à une attaque potentielle. Il est donc nécessaire d’enseigner au système d’IA ce qu’est un incident de sécurité. C’est-à-dire lui transmettre des exemples d’incidents, des modèles ou modes opératoires utilisés pour perpétrer une attaque. À force d’apprendre, l’IA sera en capacité de conseiller les analystes sur les incidents potentiels, de trouver la cause d’une attaque et de mettre en place un plan de remédiation. Ainsi, alors que la génération actuelle de systèmes est réactive, avec la capacité à détecter et à réagir à des anomalies ou à des attaques, la sécurité cognitive est par nature proactive.

Le champ des possibles est assez vaste et certaines applications exploitent déjà le machine learning à des fins de cybersécurité. « Parmi elles on peut bien sûr citer les systèmes de détection des évènements sécurité (SIEM) dont certains utilisent l’intelligence artificielle pour détecter les écarts de comportement utilisateur par rapport au comportement habituel d’utilisateur qu’ont connu les systèmes. Cette capacité est souvent appelée UEBA ou User and Entity Behavior Analytics. » explique Yannick Delmont est Head of Security chez Claranet.

Il existe aussi une nouvelle génération d’anti-virus dont le fonctionnement repose à la fois sur la détection d’anomalies et sur un vaste réseau d’échange et d’apprentissage.

Gigamon vient quant à lui d’annoncer le lancement de son nouveau modèle de sécurité « Defender Lifecycle » capable de faire face à la vitesse, au volume et à la nature polymorphique des cybermenaces réseau actuelles. Basé sur une couche primaire de visibilité totale des données en mouvement, il s’appuie sur les quatre piliers que sont la prévention, la détection, la prédiction et le confinement des menaces tout au long du cycle de vie d’une attaque. Ce nouveau modèle intègrera le machine learning, l’intelligence artificielle et l’automatisation des flux de sécurité afin de déposséder l’assaillant, et de redonner le contrôle et l’avantage au gestionnaire du réseau. Gigamon s’est associé à plusieurs partenaires de longue date incluant Cisco, Imperva, RSA et Vectra Networks. « Pour chasser et classer efficacement les menaces, les organisations ont besoin d’une visibilité permanente de l’ensemble de la surface d’attaque, tant au niveau des charges de travail dans le cloud et le datacenter que pour les appareils des utilisateurs et de l’Internet des Objets, déclare Mike Banic, Vice President de Vectra. Grâce à la visibilité parfaite du réseau fournie par la plateforme de visibilité Gigamon, l’intelligence artificielle mise au point par Vectra perrmet aux entreprises de bénéficier d’une détection en temps réel et de réagir plus rapidement en cas de cyberattaque. »

Alors, fini les innombrables heures dédiées à la surveillance des signaux faibles ou à la classification des alertes de type faux-positif ? « Nous assistons à un moment historique, un moment où l’Intelligence Artificielle assume enfin son rôle de Deux Ex Machina dans de nombreux cas » souligne Jean-Nicolas Piotrowski, PDG ITrust, PME spécialisée en cybersécurité qui a, dès 2009, lancé des recherches sur des systèmes intelligents capables de détecter les signaux faibles au sein des systèmes d’information pour prévenir attaques et virus inconnus. « La grande expérience de nos ingénieurs lors de missions forensiques, d’audits, ou d’expertises, nous a permis de modéliser un moteur comportemental permettant de lutter notamment contre les APT. Notre équipe s’est spécialisée dans le traitement décisionnel des informations de sécurité de différentes applications, serveurs ou équipements de sécurité. Reveelium a été développé pour fournir un système expert de détection d’anomalies basé sur des algorithmes intelligent qu’ ITrust développe depuis 5 ans avec l’appui de 3 laboratoires internationaux. Au sein d’ITrust nous utilisons donc les technologies Big data et Machine Learning au service des problématiques de Cybersécurité. » ajoute le PDG.

Reveelium analyse automatiquement les comportements des systèmes d’information et recherche les signaux faibles dans la très grande quantité de données générées par les serveurs, applications, bases de données, équipements de réseaux et de sécurité. Il identifie de manière très précise les anomalies de sécurité de la plupart de problèmes de sécurité régulièrement rencontrés. Reveelium tire sa force dans l’utilisation de 3 moteurs complémentaires.

Le moteur de détection de signal faible est issu de recherches poussées en algorithmes mathématiques. Il est complété par un moteur de corrélation métier issu de l’expérience des ingénieurs et consultant sécurité. « Les deux moteurs s’adossent enfin à une base de connaissance globale, la mémoire de Reveelium, qui identifie et collecte les comportements de tous les Reveelium des clients. L’ensemble de ces éléments regroupés permet ainsi de faire bénéficier à l’ensemble de nos clients les expériences des uns et des autres. » souligne l’équipe ITrust.

1 La détection des malwares inconnus

Avec sa capacité à apprendre des modèles comportementaux normaux, l’IA peut identifier en amont les formes inconnues et polymorphes d’un logiciel malveillant sans faire appel à des bases de signatures.

 

2 La détection des menaces internes (délibérées)

Dans le cadre d’une investigation post-attaque, il est parfois difficile de tracer les signaux faibles déclenchés par un attaquant. L’intelligence artificielle permet, toujours de par sa capacité à apprendre de modèles comportementaux – cette fois-ci anormaux, d’apporter des solutions.

C’est un facteur extrêmement important à prendre en compte pendant une analyse forensic. Cela permet non seulement de valider la source de la menace (interne ou externe), mais de faire également la distinction, si la menace vient de l’intérieur, entre un employé réellement malveillant et un employé ayant simplement cliqué sur le mauvais lien.

 

3 La détection des comportements imitant l’activité humaine

Prenons, par exemple, l’ordinateur d’un directeur financier qui utilise un mécanisme parfaitement légitime afin de soumettre les informations des salariés à son processeur de paie. Pendant l’opération, si l’IA observe une tentative de retransmission de ces informations vers un autre ordinateur inconnu, elle va automatiquement bloquer ce comportement anormal et suspect.

En d’autres mots, l’intelligence artificielle peut également dépister les activités malveillantes qui simulent au départ le comportement humain.

 

4 L’authentification des utilisateurs 

En analysant et en stockant les propriétés biométriques des humains, l’IA pourra apprendre et, finalement, reconnaître les comportements spécifiques de ces individus.

C’est pourquoi l’intelligence artificielle pourra jouer un rôle central dans l’autorisation d’accès à des ressources informatiques sensibles.

 

5 La gestion des alertes de sécurité informatique

Grâce à ses moteurs Big Data, l’IA peut analyser une énorme quantité d’alertes. Toutefois, elle peut apprendre à ignorer les faux positifs, ce qui rend la gestion de la sécurité plus efficace et soulage les équipes d’experts surchargées.

Certains experts pensent que, dans quelques années, l’IA supplantera totalement l’humain dans le domaine de la cybersécurité. « C’est clairement l’objectif des programmes de recherche financés par les gouvernements américain, chinois et russe », prévient Roman Yampolskiy, directeur du laboratoire de cybersécurité à l’université de Louisville (Kentucky), aux Etats-Unis.

« Ces technologies autoapprenantes ouvrent des perspectives intéressantes, mais il faudra mener de nombreuses expérimentations terrain avant de les appliquer à des systèmes complexes industriels ou de transport », relativise Gilles Desoblin, directeur du programme Internet de Confiance, chez SystemX.

D’AUTRES APPLICATIONS DE L’IA POUR LA CYBERSÉCURITÉ

L’assistance à la programmation : Adetunji Adebiyi, Johnnes Arreymbi et Chris Imafidon, de l’université de Londres-Est, ont montré qu’un système autoapprenant pouvait repérer des erreurs dès la conception d’un logiciel.

La détection des failles : Isao Takaesu, du japonais Mitsui Bussan Secure Directions, travaille sur un logiciel auto-apprenant capable de détecter les failles d’applications déjà commercialisées.

La réparation automatique des bugs : Le projet « Prophet » de deux étudiants du MIT, Fan Long et Martin Rinard, vise à mettre au point un système capable de proposer des patchs.

L’attribution des cyberattaques : Actuellement, il faut des jours pour trouver l’origine d’une attaque. Les Etats-Unis ont alloué 17,3 millions de dollars au Georgia Institute of Technology pour créer des algorithmes capables de reproduire automatiquement l’expertise humaine dans le domaine de l’attribution des cyberattaques.

Source : les Echos

Le volume et la vélocité du flux des données en matière de sécurité est l’un de nos plus grands défis dans le traitement de la cybercriminalité.

La sécurité cognitive en est peut-être à ses débuts, mais le futur proche semble plus que prometteur. Un enrichissement permanent nourrira ce système ambitieux qui devra prochainement relever, lui aussi, le challenge des objets connectés…

Un outil dont on ne mesure pas toutes les qualités tant elles sont nombreuses, mais dont on peut imaginer les atouts dans un domaine qui agite particulièrement le monde et en particulier la France. En effet, analyser, comprendre, décrypter et anticiper… sont autant de points essentiels à la lutte contre le terrorisme qui pourrait trouver aussi un allié de taille dans l’intelligence artificielle.