FIC 2022 : le deep learning fait valoir ses atouts pour détecter les cyber attaques inconnues

Le deep learning est à l’honneur au Forum international de la cybersécurité, qui se tient à Lille du 7 au 9 juin. Les systèmes basés sur un algorithme d'auto apprentissage sont mis en avant par les fournisseurs de solutions cyber pour détecter au plus tôt des attaques, même inédites.

« Certains comportements dans un système industriel sont réguliers et cycliques. On peut donc en dégager des patterns. La répartition des ordres et des commandes envoyés aux machines crée une logique de flux. C'est ce que notre algorithme va apprendre », explique Thomas Anglade, responsable Lab IA chez Seckiot.

Et de poursuivre : « Nous ne sommes pas en présence d'une intelligence artificielle qui serait une sorte de boîte noire qui détecte tout. On lui apprend à détecter le nominal, le normal. Si elle est capable de détecter la moindre déviation, elle est alors capable de détecter la présence d'un malware. »

L'anticipation, le maître-mot

« Notre solution se positionne en amont, précise Guillaume Maguet, chargé du développement technique de l'Europe du Sud chez Deep Instinct. Elle bloque les ransomwares avant qu'ils ne s'exécutent. » Une fois installé sur une machine, cet algorithme en auto apprentissage nécessite une mise à jour tous les six à huit mois. « Même s'il est déconnecté d'internet, il va reconnaître une menace même s'il s'agit d'une menace totalement inconnue », poursuit-il.

Il s'agit là d'une première ligne de défense placée dans les couches hautes du système. « Chacune des menaces est bloquée en 20 millisecondes donc l'attaque n'a pas le temps de pénétrer le système. Alors qu'avec un système de protection plus classique de type EDR ou NGAV, les fichiers malveillants vont d'abord s'écrire sur le disque puis être comparés avant d'être détectés », explique Guillaume Manet.

Le véritable enjeu est bien la détection le plus tôt possible et sans incidence sur une production ou le fonctionnement normal d'un système. « Grâce à l'apprentissage du flux classique de données, l'algorithme est capable de prédire ce qu'il va se passer ensuite. S'il y a un décalage ou si c'est trop différent, il va alors révéler une anomalie », indique à son tour Thomas Anglade.

Continuer à entraîner son algorithme

L'algorithme de Deep Instinct a été développé par une vingtaine de mathématiciens. « Il s'agit d'un 2ème moteur d'analyse comportemental. Il se substitue à l'antivirus existant. Son avantage est qu'il consomme peu de ressources mais surtout qu'il analyse toutes les données brutes d'un fichier contrairement à une solution classique qui s'intéresse au fichier signature », met en perspective Guillaume Manet.

Le rôle de cette première ligne de défense est de bloquer toute éventuelle attaque. En revanche, elle ne donne aucune information sur la manière dont l'attaque a tenté de pénétrer le système. « Le plus important, c'est de bloquer ou de savoir pourquoi j'ai été attaqué ? », fait mine de s'interroger Guillaume Manet.

La question des faux positifs est également primordiale. Deep Instinct garantit un taux de faux positif inférieur à 0,1%, soit infinitésimal. « Pour éviter d'avoir trop de faux positifs, il est indispensable de continuer l'apprentissage. Il faut une amélioration au cours du cycle de vie. Notre solution repose sur 8 à 10 technologies. Il y a donc des tâches de fond à réaliser dans le temps pour que l'algorithme reste performant », précise Thomas Anglade.

Sélectionné pour vous

L'IRT SystemX fête ses 10 ans : « Nous voulons nous inscrire dans des programmes scientifiques à fort impact », déclare son DG, Paul Labrogère

La start-up Chimere met le darknet au service de la cybersécurité des entreprises

Sécuriser les puces : la solution de Secure-IC primée aux Assises de l'embarqué