Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Avec l'IA, la cybersécurité gagne un nouvel allié

, , ,

Publié le

Enquête Contrairement aux antivirus ou aux firewalls, la cybersécurité fondée sur les algorithmes d’apprentissage pourrait neutraliser les cyberattaques inconnues.

Avec l'IA, la cybersécurité gagne un nouvel allié
À l’image de ceux d’Orange, de plus en plus de centres opérationnels de sécurité intègrent des solutions à base d’IA pour la surveillance des réseaux.

L'exfiltration de données sensibles réalisée par le lanceur d’alertes Edward Snowden au détriment de la CIA en 2013, les vols de cartes bancaires des clients du distributeur américain Target ou encore le piratage de films et de la messagerie de Sony Pictures en 2014… Autant de failles de sécurité informatique qui ont défrayé la chronique ces dernières années. Celles-ci auraient pu être évitées si les installations piratées avaient eu recours à une cybersécurité dopée à l’intelligence artificielle (IA) !

En se combinant avec les technologies d’IA, la cybersécurité pourrait faire un bond en avant prodigieux. De quoi exaucer les rêves les

plus fous des responsables de la sécurité des systèmes d’information : stopper des cyberattaques élaborées et celles qui exploitent des vulnérabilités découvertes par des pirates, mais encore inconnues de la communauté informatique. Les solutions actuelles, fondées sur les antivirus et les pare-feu, n’arrêtent que les menaces qu’elles connaissent : les virus à partir d’une signature déjà répertoriée ou un logiciel malveillant à partir d’un extrait de lignes de code qui lui sont caractéristiques. Au-delà, les cyberpirates qui conçoivent des attaques sophistiquées et sur mesure en fonction du profil de leurs cibles – les fameuses APT (advanced persistent threat) dans le jargon cyber –, agissent dans les réseaux de manière quasiment indétectable. Pour le moment du moins.

L’une des branches les plus prometteuses de la cybersécurité à base d’IA est l’UBA (user behavior analytics). Il s’agit de connaître finement le fonctionnement d’un réseau ou le comportement d’un utilisateur, pour réagir au plus vite en cas d’anomalie. Typiquement, si un important volume de données sort du réseau en dehors des horaires habituels, l’IA pourra émettre une alerte. Ou encore si le mot de passe d’un utilisateur est frappé moins vite qu’en temps normal (du fait d’hésitations par exemple) ou depuis un nouvel ordinateur, cela pourra révéler le vol des identifiants de sécurité du véritable titulaire. L’éditeur britannique Darktrace, fondé par des chercheurs de l’université de Cambridge, a été l’un des pionniers à faire appel à l’IA avec des produits disponibles sur le marché dès 2013.

Très précieux jeux de données

"Notre logiciel analyse en temps réel le comportement d’un réseau en se basant sur environ 350 paramètres. Cet outil s’autoconfigure pour chaque client", explique Hippolyte Fouque, son porte-parole en France. Appliquant un principe similaire, certaines solutions du marché ont mis en échec le virus Wannacry qui avait touché des centaines milliers d’entreprises en 2017. "Chez nos clients, le virus a pu être mis en quarantaine avant de faire des dégâts. Des signaux faibles ont permis de détecter une activité anormale : le volume inhabituel d’e-mails reçus, des process informatiques qui se lancent sans raison…" précise Jean-Nicolas Piotrowski, le fondateur d’iTrust, une société de cybersécurité implantée à Toulouse (Haute-Garonne).

De nombreux éditeurs de produits de cybersécurité revendiquent avoir enrichi leurs solutions avec de l’intelligence artificielle. Ils peuvent remercier les grands acteurs de la high-tech américaine, les Gafa (Google, Amazon, Facebook, Apple), et également IBM, qui ont investi des sommes considérables dans l’IA. Ils ont mis à disposition gratuitement leurs principales librairies de moteur d’intelligence artificielle : Tensorflow pour Google, Torch pour Facebook, SystemL pour IBM… De quoi permettre aux acteurs de la cybersécurité de concevoir leurs propres algorithmes d’apprentissage automatique de détection de cyberattaques. Depuis, l’offre s’est enrichie. Le cabinet CN Insights avait déjà identifié, en juin 2017, pas moins de 80 sociétés exploitant l’intelligence artificielle, dont deux valorisées à plus d’un milliard de dollars. Ces dernières investissent tous les segments de la sécurité informatique : de la détection de fraude en ligne en passant par la sécurisation des objets connectés, l’usurpation d’identité numérique et les recherches de vulnérabilité via les applications pour terminaux mobiles.

"Gare à l’IA washing", prévient toutefois Alain Binstock, le directeur de l’innovation chez Wallix. L’éditeur français s’est spécialisé dans la détection des cyberattaques à partir de l’usurpation des comptes d’utilisateurs à privilèges. L’effort n’est pas anodin. La société mobilise une poignée d’experts depuis un an pour sortir une version de son offre enrichie d’IA. L’intelligence artificielle reposant sur la capacité d’apprendre de la machine, nécessite de l’alimenter en données à la fois pertinentes et en grand nombre. Or, s’il est facile d’apprendre à une machine à reconnaître un chat en la gavant d’images qui représentent ou non des chats, il est plus difficile de lui apprendre à reconnaître une cyberattaque. "C’est plus complexe d’avoir la trace d’une cyberattaque que l’image d’un chat", commente l’expert de Wallix.

Des initiatives existent pour mettre la main sur ces précieux jeux de données codant une cyberattaque. Les éditeurs envisagent de faire appel aux plates-formes de bug bounty : elles mettent au défi des hackers éthiques de trouver des failles dans un système informatique. Elles récupèrent de précieux jeux de cyberattaques. D’autres acteurs sont aux premières loges pour les récupérer. Comme l’opérateur Orange qui assure la surveillance des réseaux de 80 entreprises en France et dans le monde. Ses centres de cybersécurité collectent ainsi 27 milliards d’événements informatiques quotidiennement, correspondant à 2 000 attaques potentielles par mois.

IA contre IA

Autre parade : se spécialiser sur des créneaux précis pour réduire le nombre de données nécessaires d’apprentissage. Grâce à une collaboration avec le FBI, le japonais Trend Micro a développé une offre de détection d’e-mails malveillants ciblant les directions financières. "À base d’une solution de machine learning, nous avons établi une sorte d’ADN de ce type de messages fondé sur la récurrence de certains motifs au sein même du message, mais également des serveurs informatiques relais qui les émettent", détaille Loïc Guezo, stratégiste en cybersécurité pour Trend Micro. Si prometteuse soit-elle, l’IA soulève de nombreuses questions. "Ces systèmes intelligents peuvent être la cible de nouvelles classes d’attaque qui visent à les tromper ou influencer leur comportement", avertissent les chercheurs qui organisent la conférence de cybersécurité C&esar qui réunit chaque année les principaux acteurs français gouvernementaux, industriels et académiques. Son côté boîte noire, qui produit des résultats sans que l’on sache réellement comment ils sont obtenus, interpelle. "Le manque fréquent d’explicabilité des prises de décision et la difficulté à analyser leur comportement peuvent présenter un risque", renchérissent-ils.

Les experts ont déjà démontré qu’une IA pouvait être trompée… Notamment dans le domaine de la reconnaissance d’objet dans une image. Il suffit de modifier quelques pixels bien précis d’une image représentant un panda pour faire croire à une intelligence artificielle qu’elle voit un gibbon ! Le principe est le même pour une cyberattaque. L’attaquant peut passer sous les radars d’une IA s’il laisse derrière lui les "bonnes" traces informatiques. Enfin, l’IA peut se retourner contre la cybersécurité. "Avec un tel outil, un pirate peut faire une cartographie rapide des vulnérabilités d’un réseau et diffuser un virus virulent de manière très efficace", soulève Thierry Berthier, chercheur en cyberdéfense et cybersécurité à l’université de Limoges et copilote du groupe de travail sécurité-intelligence artificielle au sein du Hub France IA. C’est alors IA contre IA. La Darpa, l’agence de recherche des militaires américains, finance de larges travaux dans ce domaine. À l’heure des algorithmes d’intelligence automatique, la course technologique entre les cybervoleurs et les gendarmes numériques n’est pas près de s’arrêter.

"Nous traitons 27 milliards d’événements informatiques par jour" - Rodrigue Le Bayon, responsable des services de cybersurveillance d’Orange Cyberdéfense

Comment Orange assure-t-il la cybersécurité de ses clients ?
Nous comptons 220 analystes et opérateurs qui assurent une activité de surveillance et de détection des cybermenaces. Ils sont répartis sur quatre centres [des SOC dans le jargon cyber, ndlr] à Rennes, Paris, New-Delhi et Varsovie. Ils assurent la protection des réseaux de nos 80 clients. Ces centres intègrent depuis un an des solutions à base d’intelligence artificielle dans nos plates-formes et nos dispositifs.

Que vous apporte l’intelligence artificielle ?
D’une part, l’intelligence artificielle va nous permettre de traiter plus efficacement des volumes d’incidents de cybersécurité de plus en plus nombreux. Nos centres traitent 27 milliards d’événements informatiques par jour. D’autre part, nous allons pouvoir détecter des menaces qui n’ont pas été préalablement définies à travers une capacité d’apprentissage de nos plates-formes des comportements anormaux des réseaux informatiques.

Quels résultats avez-vous obtenu ?
Après un travail d’étroite collaboration avec nos clients pour comprendre le comportement de leur réseau, nous avons pu calibrer au mieux nos outils de détection. Les premiers résultats sont à la hauteur de nos attentes. Après un an, nous arrivons à stabiliser le taux de fausses alarmes autour de 20 %, contre le double en général. Cela nous assure que nos équipes travaillent sur 80 % d’alertes qui font vraiment l’objet d’un incident de cybersécurité.

Les hommes ont-ils toujours leur place en matière de cybersécurité ?
Dans le cadre des centres de cybersécurité, il ne faut pas opposer la machine et l’humain. Si les algorithmes de machine learning peuvent détecter un comportement anormal, seul un analyste peut remettre en contexte ces événements anormaux et les associer ou non à une action malveillante. À mon sens, il n’existe pas encore véritablement de solution de sécurité autonome qui évolue automatiquement et qui soit capable de muter pour détecter les cybermenaces inconnues.

La France se mobilise

Au même titre que le secteur de l’énergie ou la ville intelligente, la cybersécurité figure parmi les secteurs prioritaires définis par le Hub France IA, association de loi 1901, née l’an passé, qui vise à créer une véritable filière industrielle de l’IA dans l’Hexagone. À travers le groupe de travail sécurité-IA, tous les acteurs de l’écosystème de la sécurité numérique coordonnent leurs efforts : de la start-up au grand industriel, en passant par le milieu de la recherche académique et l’Anssi, l’agence française de cybersécurité. Les entreprises amenées à déployer ces futures technologies en font également partie. Parmi elles : Air liquide, la SNCF, la Société générale… Des acteurs essentiels pour remonter les besoins du terrain et tester les solutions avant leur mise sur le marché. La France ne part pas de zéro avec des acteurs capables de concevoir des sondes de détection de cyberattaques à base d’IA (Thales, Watchkeeper) et des outils de collecte et de corrélation, à l’image de l’éditeur toulousain iTrust. Outre une veille technologique et le financement de thèses, les premiers travaux techniques portent sur la création d’une base de données recensant les codes malveillants.

Le rapport Villani multiplie les propositions pour encourager une stratégie nationale sur l'IA.

 

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle