Selon une récente étude publiée par le cabinet de conseil Accenture, les entreprises françaises subiraient deux ou trois cyberattaques effectives par mois, rapporte le quotidien économique La Tribune. Face à une quantité toujours plus importante de données, identifier une activité illicite parmi un flot d’actions légitimes ne devient-il pas de plus en plus complexe ?
Le balayage manuel d’une énorme quantité de données, comme les logs (connexions au système d’information) par exemple, n’est plus possible depuis longtemps. A ce titre, il existe aujourd’hui deux catégories de systèmes de détection des intrusions mais qui ont chacune leurs limites : l’humain et la machine. L’humain peut être confronté à des attaques de ses systèmes d’analyses qui lui sont inconnues. La plupart de ces systèmes sont basés sur de la détection de signature d’attaque avec un résultat quasiment binaire : soit l’événement analysé correspond à un schéma connu et il est considéré comme dangereux, soit il est qualifié d’insignifiant. Quant aux machines, elles ont pour principal problème de distinguer les faux positifs. Lesquels obligent à bloquer le système d’information et à contraindre les humains à intervenir pour faire la différence avec une réelle attaque. Une politique trop laxiste entraînerait des faux négatifs, c’est-à-dire qu’elle passerait à côté de certains incidents. A l’inverse, trop de protectionnisme génère un grand nombre de faux positifs (fausses alertes) qu’il faudra humainement requalifier ultérieurement. Un système de pré-filtrage devrait automatiquement remonter une attaque ou une violation de sécurité.
Les solutions de cybersécurité existantes ne sont-elles pas en train de trouver leurs limites ?
Outre la volumétrie des données en constante augmentation, la typologie des attaques se diversifie toujours davantage. De plus en plus de signatures différentes sont nécessaires ce qui a pour conséquence de ralentir les systèmes de détection. Qui n’a jamais maudit son antivirus tant il ralentissait l’appareil lors des scans hebdomadaires ? De même, les systèmes de détection ou de protection en temps réel basés sur des signatures (comme les IDS/IPS ou les firewalls applicatifs) sont de plus en plus impactés par la lourdeur de leurs bases de données qui ne fait que croître. Ce modèle sera donc de moins en moins performant et finira même par devenir irréaliste et donc inutilisable.
L’intelligence artificielle pourrait-elle s’imposer comme un recours ?
L’intelligence artificielle adopte une approche similaire à celle de l’humain. En effet, un administrateur ne recherche pas une attaque (comme le fait un système de détection par signature), il cherche un fait anormal c’est-à-dire inhabituel. La différenciation entre une action légitime et une attaque repose donc sur l’expérience de ce qu’il a déjà vu par le passé. C’est exactement sur ce principe que repose une détection d’anomalie opérée par intelligence artificielle : avec le temps, elle va apprendre (via le Machine Learning ou apprentissage machine) quel est le comportement habituel et le qualifier de normal. Tout autre comportement sera alors signalé comme suspect. Bien entendu, un humain va encore plus loin puisqu’il parvient à comprendre le fonctionnement d’une application et à interpréter l’intention d’un utilisateur. Mais l’intelligence artificielle offre aussi une nouvelle façon de classifier les événements qui ne dépendent pas de signatures. Elle se révèle à la fois plus pertinente et plus performante que l’humain. Le champ des possibles est assez vaste et certaines applications exploitent déjà le Machine Learning à des fins de cybersécurité. Parmi elles, on peut bien sûr citer les systèmes de détection des événements sécurité (SIEM) dont certains utilisent l’intelligence artificielle pour détecter les écarts de comportement utilisateur par rapport au comportement habituel d’utilisateurs qu’ont connu les systèmes. Cette capacité est souvent appelée User and Entity Behavior Analytics (UEBA).
Quelles sont les autres alternatives ?
Il existe aussi maintenant une nouvelle génération d’antivirus dont le fonctionnement repose à la fois sur la détection d’anomalies et sur un vaste réseau d’échange et d’apprentissage. Puisque la détection de ces systèmes ne repose pas sur une base de données des binaires connus, ce type d’antivirus permet de bloquer dès leur sortie les derniers malwares. Ainsi, lorsqu’un ransongiciel dissimulé dans une macro-fonction de Word (Microsoft) est stoppé, il l’est simplement parce qu’il ne semble pas normal pour l’application de vouloir chiffrer d’autres fichiers. Cela ne fait simplement pas partie des comportements habituels identifiés…
L’intelligence artificielle est-elle appelée à révolutionner le monde de la cybersécurité ?
On le sait, l’intelligence artificielle va révolutionner bon nombre de métiers et même en faire disparaître certains. L’informatique en général et la sécurité en particulier ne font pas exception à la règle et c’est un « bon nouveau profil », compte tenu de la pénurie de profils en cybersécurité. L’intelligence artificielle devrait non seulement soulager les administrateurs sécurité des tâches les moins complexes mais aussi fonctionner en symbiose avec eux dans un environnement où l’un apprendra de l’autre.
Propos recueillis par Ségolène Kahn
Commentez