Close

L’intelligence artificielle pour améliorer nos capacités de détection et d’anticipation

Les développements récents de l’intelligence artificielle (IA) rendent possible l’appréhension de volumes d’informations autrement inexploitables. En ce sens, les capacités de l’IA peuvent alors jouer un rôle dans l’amélioration de la détection et de l’anticipation des cybermenaces.
Aujourd’hui, l’IA suppose la combinaison des capacités suivantes :

  • Une capacité de perception de l’environnement au moyen d’un apprentissage supervisé ou non ;
  • Une capacité d’analyse et de résolution de problème ;
  • Une capacité de proposition d’action, voire de décision autonome.

Concrètement, l’IA repose sur des algorithmes entrainés pour être capables de traiter rapidement des volumes d’informations massifs et d’en reconnaitre des éléments pertinents (un objet, une tendance, des corrélations, etc.).

Dans un contexte de numérisation croissante des Armées, les solutions basées sur l’IA peuvent offrir une véritable valeur ajoutée opérationnelle dans des domaines comme la logistique, la planification et la conduite des opérations ou encore le renseignement. En matière de cyberdéfense, se pose notamment la question de savoir si l’IA peut améliorer les capacités de détection et d’anticipation des Armées pour faire face à des cybermenaces toujours plus complexes.

  1. Quelles utilisations de l’IA en matière de détection et d’anticipation ?

Des solutions d’IA permettent désormais de traiter de grands volumes de données et d’automatiser la détection en temps réel notamment :

  • De vulnérabilités : tests d’intrusion automatisés, simulation d’attaques, détection de failles dans un logiciel ;
  • De menaces internes ou externes : détection d’anomalies à partir d’une analyse comportementale, pour la lutte anti-APT, l’analyse de logs ou la lutte anti-fraude.

De nombreuses solutions reposant sur l’IA ont déjà fait leurs preuves dans le domaine de la détection, comme par exemple la solution basée sur l’analyse morphologique de Cyber-Detect(1). Ce type de solution permet aujourd’hui de détecter des comportements anormaux dans des systèmes d’information plutôt confinés comme les systèmes industriels. Pour les systèmes d’information classiques de type bureautique qui sont hyperconnectés, l’analyse comportementale des menaces reste en revanche encore difficile.

 

CYBER-DETECT : Analyse morphologique

Afin d’améliorer la détection des attaques informatiques encore inconnues, ciblées ou persistantes, CYBER-DETECT propose une solution d’analyse morphologique de codes binaires basée sur l’IA. Cette solution a la particularité d’identifier et de coréller les fonctionnalités d’un programme pour en prédire le comportement. Elle s’appuie pour ce faire sur des représentations multidimensionnelles du code analysé, et sur une base de comportements des malwares, là ou la plupart des autres solutions de ce type reposent elles sur des bases de signatures. La solution proposée par Cyber-Detect permet aussi de dépasser les mesures et outils déployés par les attaquants pour se protéger contre l’analyse de malwares, et permet donc de révéler le comportement de l’attaque.

 

En matière d’anticipation, les solutions basées sur l’IA offrent la possibilité d’identifier, très en amont, les signaux potentiellement annonciateurs d’une cybermenace. Elles sont donc notamment mises à profit dans le cadre d’activités de type Cyber Threat Intelligence pour la prévention des fuites de données, l’analyse et caractérisation des attaques passées, la surveillance des attaquants potentiels ou les tentatives d’attribution des attaques, c’est à dire d’identification des auteurs d’une attaque. Cependant, les solutions d’anticipation basées sur l’IA sont aujourd’hui moins matures que celles qui sont utilisées à des fins de détection. En effet, l’utilisation de l’IA en matière d’anticipation est plus complexe à mettre en œuvre puisqu’il s’agit d’agréger des informations très hétérogènes. Néanmoins, il peut être intéressant d’utiliser l’IA pour améliorer la connaissance des vulnérabilités des systèmes d’information, et donc de repérer les failles de sécurité qui pourraient être exploitées par les attaquants.

De manière générale, renforcer les capacités de détection et d’anticipation contribue aussi à faciliter et rendre plus facile la prise de décision. Et ce d’autant que l’IA permet aussi le développement de la « cybersécurité cognitive », c’est à dire l’agrégation et le traitement de données non structurées (écrits des experts, réseaux sociaux, etc.) et structurées (logs par exemple) dans le but d’assister les équipes de sécurité dans la prise de décisions en temps réel.

2. L’IA, porteuse d’un changement de paradigme en matière de cybersécurité.

L’utilisation de l’IA à des fins de détection et d’anticipation constitue un véritable changement de paradigme, avec le passage d’une « sécurité réactive » à une « sécurité proactive » qui s’adapte à l’évolution des menaces et aux malwares inconnus(2).

Ainsi, les solutions basées sur l’IA permettent de faire face aux limites des systèmes classiques de détection ou de protection en temps réel basés sur les signatures des malwares : nombre élevé de faux positifs, incapacité de s’adapter à l’évolution des menaces (APT notamment) ou encore lourdeur des bases de signatures affectant la performance des systèmes de détection.

Par ailleurs, l’IA apparait comme un moyen de pallier le risque de pénurie de compétence en cybersécurité. En effet, elle permet de décharger les équipes de sécurité de l’analyse manuelle fastidieuse des données telles que les logs. Ces dernières pourront alors se concentrer sur les évènements essentiels de sécurité.

En outre, l’IA sera également en capacité d’apporter une aide à la décision aux experts dans l’identification d’une attaque et dans la mise en œuvre d’un plan de remédiation.
Notons enfin que l’utilisation de l’IA pour la détection et l’anticipation des cybermenaces présente un enjeu organisationnel pour les futurs Centres Opérationnels de Sécurité (SOC). A l’avenir, les SOC devraient être de plus en plus automatisés, voire même interconnectés. Le SOC pourrait ainsi voir ses compétences de « détection et de réponse » muter vers des compétences de « prédiction et d’adaptation »(3).
Aux États-Unis, l’IA rencontre déjà un véritable succès en matière de cyberdéfense. La DARPA américaine finance d’ailleurs plusieurs initiatives dans les domaines de la détection et de l’anticipation comme par exemple le programme CHESS(4), lancé début avril 2018, qui vise à combiner les valeurs ajoutées respectives de l’humain et de l’IA. En revanche, les solutions d’IA en cybersécurité ne sont encore qu’émergentes en Europe pour des raisons liées notamment à un manque de confiance dans les systèmes d’IA(5).

3. L’IA, entre promesse et méfiance ?

Si l’utilisation de l’IA en matière de cyberdéfense semble prometteuse, elle porte aussi certaines limites qui doivent être relevées:

  • Techniquement, l’IA présente un effet « boite noire », c’est-à-dire qu’elle ne permet pas aux utilisateurs de suivre et de comprendre les étapes de son raisonnement, ce qui peut avoir pour conséquence d’entamer la confiance qu’ils lui accordent. Le risque de faux positifs et les conséquences sur les décisions prises sur des bases biaisées qu’ils peuvent entraîner participent de cette défiance ;
  • L’IA ne saurait totalement remplacer l’intelligence humaine, qui reste nécessaire tant dans l’analyse des menaces que dans la prise de décisions, notamment lorsque ces dernières peuvent être lourdes de conséquences comme par exemple l’attribution d’une attaque.
  • La sécurité de l’IA risque d’être de plus en plus mise à l’épreuve à mesure que son utilisation se généralise, avec à la fois des attaques au niveau de l’apprentissage de l’IA que des possibilités de leurrer les systèmes basées sur l’IA.

4. Conseils et précautions de mise en oeuvre

Afin de répondre aux limites précédemment évoquées et de mettre en place des solutions efficaces et fiables en matière de détection et d’anticipation des cybermenaces, plusieurs recommandations peuvent être formulées:

  • Utiliser des algorithmes fiables, traçables et auditables(6) pour permettre à l’utilisateur de suivre et comprendre les étapes de raisonnement et les décisions prises par ou grâce à des solutions basées sur l’IA. Cette compréhension permettrait notamment de mieux appréhender les faux positifs, et donc d’améliorer le fonctionnement de ces outils;
  • S’assurer de la bonne qualité des données d’apprentissage qui doivent être représentatives des systèmes d’information à protéger ;
  • S’assurer que le système d’IA procure une amélioration notable en matière de détection et d’anticipation en mesurant son gain de productivité, notamment le gain de temps (détection ou prise de décision plus rapide par exemple) ;
  • Combiner l’IA et l’intelligence humaine au service d’une intelligence humaine augmentée : il s’agit de faire collaborer les spécialistes de l’IA et les spécialistes de la cybersécurité afin de mieux mesurer les résultats de l’IA. Cette approche « d’intelligence augmentée » existe déjà dans certaines solutions non spécialisées dans la cybersécurité comme MondoBrain par exemple(7).

 

MONDOBRAIN : L’intelligence Augmentée

Partant du constat que les techniques analytiques actuelles basées sur l’IA ont encore des difficultés à appréhender l’augmentation continue de données et qu’elles génèrent de nombreux faux positifs, MondoBrain a développé une solution qui fait converger :

  • La visualisation des données;
  • Les statistiques avancées ;
  • L’intelligence artificielle ;
  • L’intelligence collective (intéractions entre les membres d’une éuipe en cybersécurité par exemple).

L’association humain-machine permet de prendre en compte l’historique des décisions prises par une organisation et d’appliquer des recommandations pour éviter les erreurs du passé et mieux anticiper les problèmes futurs. Cette solution analyse ainsi les données en fonction de la connaissance métier et peut donc s’adapter aux besoins de la cybersécurité pour améliorer la détection et l’anticipation des cybermenaces.

 

Retrouvez la présentation d’Algodone aux Rencontres Cyberdéfense et Entreprises du 7 décembre 2018: Presentation Mondobrain

 

[1] http://www.cyber-detect.com/index-fr.html

[2]https://www.silicon.fr/dossiers/lintelligence-artificielle-au-secours-de-la-cybersecurite?inf_by=5b631d4e671db859418b4efa

[3]https://www.lesechos.fr/idees-debats/cercle/cercle-166576-le-soc-du-futur-sera-booste-par-lintelligence-artificielle-2066924.php

[4] https://www.darpa.mil/program/computers-and-humans-exploring-software-security

[5]https://www.lesechos.fr/24/01/2018/lesechos.fr/0301198805967_la-cybersecurite-veut-surfer-sur-l-intelligence-artificielle.htm

[6]https://www.alliancy.fr/le-numerique-en-pratique/symantec/lia-en-cybersecurite-trois-reflexes-simples-a-adopter-pour-choisir-plus-sereinement