L’intelligence artificielle au service de la cybersécurité

Selon une récente étude publiée par le cabinet de conseil Accenture, les entreprises françaises subiraient deux ou trois cyberattaques effectives par mois (selon La Tribune.) Face à une quantité toujours plus importante de données, identifier une activité illicite parmi un flot d’actions légitimes devient de plus en plus complexe. Le balayage manuel d’une telle quantité de données (ex : logs) n’est plus possible depuis longtemps.

Il existe aujourd’hui deux catégories de systèmes de détection des intrusions mais qui ont chacunes leurs limites : l’humain et la machine.

L’humain peut être confronté à des attaques inconnues de ses systèmes d’analyses. La plupart de ces systèmes sont basés sur de la détection de signature d’attaque avec un résultat quasiment binaire : soit l’évènement analysé correspond à un schéma connu et il est considéré comme dangereux, soit il est qualifié d’insignifiant.

Les machines ont, quant à elles, pour principal problème la détection des faux positifs. Les faux positifs ont pour conséquence de bloquer le système et contraindre les humains à intervenir, pour s’assurer qu’il s’agit d’un faux ou bien d’une réelle attaque.

Une politique trop laxiste entrainerait des faux négatifs, c’est-à-dire qu’elle passerait à côté de certains incidents. A l’inverse, trop de protectionnisme génère un grand nombre de faux positifs (fausses alertes) qu’il faudra humainement requalifier ultérieurement. Un système de pré-filtrage devrait automatiquement remonter une attaque ou une violation de sécurité.

bb.png

Vers la limite des solutions de cybersécurité existantes

Outre la volumétrie des données en constante augmentation, la typologie des attaques se diversifie toujours davantage. De plus en plus de signatures différentes sont nécessaires ce qui a pour conséquence de ralentir les systèmes de détection.
Qui n’a jamais maudit son antivirus tant il ralentissait l’appareil lors des scans hebdomadaires ?
De même, les systèmes de détection ou de protection en temps réel basés sur des signatures (comme les IDS/IPS ou les firewalls applicatifs) sont de plus en plus impactés par la lourdeur de leurs bases de données qui ne fait que croître.
Ce modèle sera donc de moins en moins performant et finira même par devenir irréaliste et donc inutilisable.

L’intelligence artificielle, une révolution dans la cybersécurité ?

L’intelligence artificielle adopte une approche similaire à celle de l’humain. En effet, un administrateur ne recherche pas une attaque (comme le fait un système de détection par signature), il cherche un fait anormal c’est-à-dire inhabituel. La différenciation entre une action légitime et une attaque repose donc sur l’expérience de ce qu’il a déjà vu par le passé.
C’est exactement sur ce principe que repose une détection d’anomalie opérée par intelligence artificielle : avec le temps, elle va apprendre (via le machine learning) quel est le comportement habituel et le qualifier de normal. Tout autre comportement sera alors considéré et donc remonté comme suspect.
Bien entendu, un humain va encore plus loin puisqu’il arrive à comprendre le fonctionnement d’une application et à interpréter l’intention d’un utilisateur. Mais l’intelligence artificielle offre une nouvelle façon de classifier les évènements qui ne dépendent pas de signatures. Elle se révèle à la fois plus pertinente et plus performante.

Le champ des possibles est assez vaste et certaines applications exploitent déjà le machine learning à des fins de cybersécurité.
Parmi elles, on peut bien sûr citer les systèmes de détection des évènements sécurité (SIEM) dont certains utilisent l’intelligence artificielle pour détecter les écarts de comportement utilisateur par rapport au comportement habituel d’utilisateur qu’ont connu les systèmes. Cette capacité est souvent appelée UEBA ou User and Entity Behavior Analytics.

Il existe aussi maintenant une nouvelle génération d’anti-virus dont le fonctionnement repose à la fois sur la détection d’anomalies et sur un vaste réseau d’échange et d’apprentissage. Puisque la détection de ces systèmes ne repose pas sur une base de données des binaires connus, ce type d’anti-virus permet de bloquer dès leur sortie les derniers malwares. Ainsi, quand un ransomware dissimulé dans une macro word est stoppé, il l’est simplement parce qu’il ne semble pas normal pour l’application winword de vouloir chiffrer d’autres fichiers. Cela ne fait simplement pas partie des comportements habituels identifiés…

On le sait, l’intelligence artificielle va révolutionner bon nombre de métiers et même en faire disparaître certains. L’informatique en général et la sécurité en particulier ne font pas exception à la règle et c’est un « bon nouveau profil », compte tenu de la pénurie de profils en cybersécurité.
L’intelligence artificielle devrait non seulement soulager les administrateurs sécurité des tâches les moins complexes, mais aussi fonctionner en symbiose avec eux dans un environnement où l’un apprendra de l’autre.

Par Yannick Delmont, Head of Security chez Claranet

Source : Global Security Mag & Informatique News

Contactez-nous

Contactez-nous

Nous construisons des solutions sur mesure pour nos clients.
Les informations recueillies à partir de ce formulaire font l’objet d’un traitement informatique destiné à la société Claranet afin de nous permettre de traiter la demande pour laquelle vous nous sollicitez. Les destinataires des données sont les services marketing et commerciaux du groupe Claranet. Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée, vous disposez d’un droit d’accès et de rectification aux informations qui vous concernent. Veuillez-vous rapportez à la section des mentions légales de notre site internet pour de plus amples informations sur les modalités d’exercice de ces droits. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.
2 + 5 =
Trouvez la solution de ce problème mathématique simple et saisissez le résultat. Par exemple, pour 1 + 3, saisissez 4.

Pour contacter un commercial

N'hésitez pas à nous appeler au 0826 007 656

Besoin de contacter le support technique ?
Nos équipes sont disponibles en 24x7x365.

Support Virtual Data Centre au 0826 007 653 (Numéro indigo)
Support Infogérance applicative au 0810 278 385 (Numéro indigo)
Support Colocation au 0826 007 653 (Numéro indigo)
Support Cloud Public en envoyant un mail à support