L'intelligence artificielle : notre meilleur espoir de gagner la bataille de la cybersécurité
Commençons par les mauvaises nouvelles : le consensus des experts est que nous perdons la bataille contre les cybercriminels. La croissance de la surface d’attaque dépasse la capacité des organisations de colmater les brèches potentielles, et les criminels n’ont qu’à pénétrer le réseau une seule fois pour infliger de sérieux dégâts.
Maintenant, les bonnes nouvelles : l’aide est peut-être à portée de main. L’apprentissage machine offre une occasion inédite de renverser la vapeur contre les attaquants et – à défaut d’empêcher les intrusions – au moins, limiter les dégâts qu’ils peuvent faire.
Le plus gros problème auquel est confrontée la communauté de sécurité aujourd’hui est le manque de personnel qualifié. La pénurie mondiale de professionnels de la cybersécurité reste un enjeu de taille. Cette crise survient au milieu d’une explosion de données qui voit les volumes d’information dans de nombreuses organisations doubler chaque année. Au fur et à mesure que les volumes de données augmentent, la tâche de surveillance pour détecter les menaces ou le vol augmente également. L’humain étant beaucoup moins évolutif que les machines, l’intelligence artificielle devient notre meilleur moyen de défense.
Les centres d’opérations de sécurité sont déjà submergés par les données, et le volume ne fera que s’accélérer, car l’Internet des objets contribue à cette croissance. Nous avons plusieurs façons de capturer et de stocker les informations, mais jusqu’à récemment, il y avait peu de moyens d’en tirer des connaissances, en particulier lorsque le volume augmente. Les organisations informatiques ont recours à plus d’outils – l’entreprise moyenne dispose désormais de 75 produits de sécurité différents –, mais une mauvaise intégration les empêche d’avoir une vision unifiée de tout ce qui se passe dans leur infrastructure.
La différence : l’apprentissage machine
Les algorithmes d’apprentissage machine excellent dans le traitement de grandes quantités de données. Les percées récentes dans la conception de serveur les ont rendus encore plus puissants. Les supercalculateurs alimentés par des unités de traitement graphique (GPU) de sociétés comme Nvidia permettent de paralléliser des algorithmes et de les appliquer à d’énormes bases de données. Alors que les GPU ne sont pas aussi flexibles que les CPU à usage général, elles sont extrêmement rapides et conçues pour fonctionner en parallèle pour atteindre une évolutivité quasi illimitée. Nvidia conçoit des technologies telles que NVLink Fabric pour rendre l’alimentation de type supercalculateur accessible au plus grand nombre.
« Les systèmes d’apprentissage machine commencent avec la même base de référence, mais s’améliorent en continuant à parcourir les données. Avec un peu d’aide des administrateurs de sécurité, ils apprennent à identifier les modèles qui caractérisent les comportements malveillants et éliminent les anomalies bénignes. Leur analyse s’améliore au fil du temps, entrainant beaucoup moins de fausses alertes et donnant aux administrateurs des cibles plus précises. »
Ces progrès surviennent au moment où la communauté de la sécurité se concentre davantage sur la détection et le confinement plutôt que sur la prévention. L’hypothèse est que la plupart des principaux systèmes ont déjà été victimes d’intrusion, donc le défi consiste à isoler les attaquants avant qu’ils ne puissent faire beaucoup de dégâts.
Cela nécessite une analyse de modèle sophistiquée appliquée à la consignation des données pour repérer les anomalies. Les administrateurs de sécurité établissent une base d’activité « normale » et les systèmes de détection d’intrusion parcourent les journaux de réseau et de bases de données pour identifier les modèles inhabituels qui pourraient indiquer une intrusion.
Le problème avec la détection d’intrusion conventionnelle est que les humains doivent définir ce qui est « normal », ce qui est extrêmement difficile à faire parce que le trafic est intrinsèquement imprévisible. Le résultat est un déluge de fausses alertes sur les administrateurs de sécurité. Par conséquent, de nombreuses alertes sont ignorées, ce qui va à l’encontre du but de la détection d’intrusion.
La détection d’intrusion intelligente n’est qu’une façon dont l’IA modifie l’équation de sécurité. Les systèmes cognitifs peuvent surveiller des sources externes comme des alertes de menaces et des blogues de sécurité pour trouver des informations utiles pour le personnel de sécurité et les alerter de nouvelles menaces. Les filtres intelligents peuvent analyser les messages courriel à la recherche de signes d’hameçonnage, de la même manière que l’apprentissage machine est déjà appliqué à la détection de pourriel.
Le jeu du chat et de la souris
Aussi prometteurs que soient ces développements, nous ne pouvons nous permettre de nous reposer sur nos lauriers. Les mauvais joueurs auront accès à la même technologie et pourront l’utiliser contre nous. Prenez l’exemple des systèmes de réponse vocale. L’an dernier, un groupe de chercheurs chinois a montré des moyens de tromper les assistants vocaux dans l’exécution de commandes malveillantes cachées dans le discours humain ordinaire et même dans la musique. La manipulation de l’image et du son peut être utilisée pour tromper les systèmes d’authentification biométriques. L’IA peut être appliquée aux algorithmes de devinette de mots de passe pour les rendre plus précis. Et la même technologie cognitive qui surveille les sources externes pour les alertes de menace peut également être utilisée pour recueillir des données pour le vol d’identité.
Le risque est que l’intelligence artificielle pourrait créer un jeu du chat et de la souris dans lequel les entreprises et les attaquants se battent dans une impasse en utilisant un nouvel ensemble d’outils.
Notre plus grand atout dans la lutte contre la cybercriminalité avec l’intelligence artificielle est la coopération. Les systèmes d’apprentissage machine peuvent faire des choses extraordinaires par eux-mêmes, mais lorsqu’ils sont fédérés avec d’autres systèmes, ils tirent parti de leurs connaissances collectives à un point que les criminels trouveront difficile à égaler. Le Qradar Advisor with Watson d’IBM n’est qu’un exemple de la manière dont la collaboration est intégrée dans les produits de sécurité. Vous pouvez vous attendre à voir beaucoup plus d’activité dans ce domaine alors que l’immense potentiel de l’apprentissage machine se concrétise.
Vous pourriez aussi aimer
Gouvernance risque et conformité
Longtemps considérée comme un domaine purement technique, on observe, depuis quelques années, un changement de paradigme dans la gestion de la cybersécurité.
Entrevue Cybersécurité de Patrick Naoum au sein du magazine PLAN
Voir les pages 34, 40 et 42 pour l’article mettant en vedette, Patrick Naoum. ing. P.Eng, qui parle de cybersécurité pendant la pandémie avec le magasine PLAN, de l’Ordre des ingénieurs du Québec.