L'IA, un allié pour détecter les intrusions en cybersécurité

Pour détecter les cybermenaces qui pèsent sur les entreprises, les spécialistes en cybersécurité doivent analyser des volumes de données considérables. Plusieurs dizaines de gigaoctets par jour, estime Thomas Anglade, data scientist chez ITrust, éditeur de logiciels, lors d’une rencontre professionnelle organisée le 2 juillet dans ses locaux d’Issy-les-Moulineaux. Afin d'identifier les informations pertinentes, les data scientists s’appuient de plus en plus sur l’intelligence artificielle.

En analysant les logs, c’est-à-dire l’ensemble des informations recueillies à un point précis du réseau de l’entreprise, des algorithmes statistiques « identifient des enchaînements d’événements et les qualifient de normaux ou d’anormaux », explique Thomas Anglade. Ils alertent ensuite le centre de sécurité de l’entreprise (SOC) quand des comportements jugés anormaux dans le passé se reproduisent ou quand de nouveaux comportements jamais analysés apparaissent. Ce processus d’analyse continu des actions effectuées au sein du réseau est désigné sous l’acronyme UEBA (user and entity behavior analytics).

Théorie des graphes et signature réseau

Pour illustrer les modes d’action de l’IA, Thomas Anglade a détaillé deux types d’algorithmes UEBA, utilisés dans le moteur d’analyse comportementale Reveelium d'ITrust. Cette brique logicielle permet de détecter les signaux faibles et les anomalies au sein des systèmes d’information.

Le premier s’appuie sur la théorie mathématique des graphes pour synthétiser l’ensemble des communications utilisateurs et machines intervenant sur le réseau d’une entreprise. Le résultat est une représentation abstraite, sous la forme d’un objet mathématique, qui fait office de « photographie » du réseau sur une période de trois à cinq minutes. L’outil repose sur un apprentissage de type machine learning et s’enrichit au fur et à mesure. Une fois ce travail de catégorisation effectué, les data scientists sont capables de prévenir le SOC de l'entreprise si, « à tel moment, un graphe est trop différent de ce qui a été observé auparavant ou de ce que l'on est censé observer à cette période-là », explique Thomas Anglade.

Le deuxième type d'algorithme, lui, se focalise sur chaque utilisateur, quel que soit son rôle dans l'entreprise. « Au fur et à mesure de la journée, une personne communique via plein de protocoles différents : HTTP, HTTPS, SSH, DNS… », rappelle le data scientist. En compilant ces informations, le programme et les équipes de data scientists déterminent une « signature réseau » unique pour chaque utilisateur d'une entreprise. « Un administrateur système n'a pas le même profil de communication qu'une personne qui fait du marketing, par exemple » pointe Thomas Anglade. Une représentation visuelle de l’évolution du volume de communication, sur neuf protocoles, est ainsi transmise toutes les cinq minutes à un algorithme pour qu'il apprenne la signature de chaque personne. « Une fois qu'il est capable, avec une très bonne probabilité, d'identifier une personne au vu de ses communications, on lui donne tous les jours une photo des communications de chacun. En cas de doute sur l’identité d’une personne, on alerte d’une anomalie. »

Si peu d’entreprises ont à ce jour fait l’acquisition de tels algorithmes, Thomas Anglade reste confiant quant à leur généralisation, notamment avec l'arrivée des objets connectés dans l’industrie. « Comme ils ont des standards de fonctionnement bien définis, ils vont bien se prêter à l'apprentissage machine car on va très facilement pouvoir apprendre leur comportement et dire quand il est déviant. »

Sélectionné pour vous

L'IRT SystemX fête ses 10 ans : « Nous voulons nous inscrire dans des programmes scientifiques à fort impact », déclare son DG, Paul Labrogère

La start-up Chimere met le darknet au service de la cybersécurité des entreprises

Sécuriser les puces : la solution de Secure-IC primée aux Assises de l'embarqué