Par David Clarys, NewTech Manager South-EMEA chez Exclusive Networks France
Tribune. En entreprise, les environnements informatiques sont de plus en plus difficiles à sécuriser. Les nouvelles facilités d’usage et de connexion ont fait éclater les périmètres classiques de sécurité. D’autant qu’un utilisateur peut en 2019 se connecter depuis n’importe où, sur n’importe quel device et depuis n’importe quelle application. Or, ces connexions plus réticulaires exposent les entreprises à davantage de risques informatiques. Les surfaces d’attaque sont en constante augmentation. Elles donnent aux hackers une pléthore de billes nouvelles pour compromettre le réseau. Et face à un secteur en manque chronique de ressources (on estime la pénurie à 80 000 postes en 2020 selon une étude du CIGREF), l’équation au problème trouve en partie sa solution dans l’intelligence artificielle.
L’IA se démocratise
Les cyberattaques ont fait une belle percée. L’étude intitulée « State of Cyber Resilience » menée par le cabinet Accenture dévoilait à ce propos que les cyberattaques ont connu en 2019 une augmentation de près de 25 %. Elles sont également bien plus spécifiques et évolutives que par le passé. Un malware peut cibler une cible précise, se cacher et se métamorphoser. La situation conduit les entreprises à adopter l’IA comme réponse à cette équation. En effet, l’usage de l’IA s’est considérablement démocratisé en entreprise. Selon une étude de Data Consultancy, 52 % des entreprises françaises avaient un projet lié à l’intelligence artificielle en 2018. Et d’après une étude de Markets and Markets, les trois-quarts des applications d’entreprise utiliseront l’intelligence artificielle d’ici 2021. Son utilisation concerne deux applications principales : l’identification des activités anormales et la réponse aux incidents.
Identifier les activités anormales
En premier lieu, l’intelligence artificielle intervient en amont des cyberattaques. Elle agit sur la partie prédiction et détection des attaques. Grâce au machine learning et à ses algorithmes, l’intelligence artificielle est capable d’ingérer des milliers d’informations à la seconde. Contrairement à l’analyse humaine, elle peut gérer des flux de données quasi-illimités, pourvu qu’on lui donne assez de capacité de traitement. Ces données sont ensuite réemployées pour servir à la modélisation d’attaques spécifiques. Ces archétypes comportementaux lui servent de référence pour pouvoir détecter des anomalies sur le réseau. Là où les ressources humaines se trouvent démunies, l’IA va surtout mâcher le travail des équipes et leur permettre de se concentrer sur des vraies alertes en cours tout en réduisant le rapport signal-bruit.
La réponse aux incidents
L’intelligence artificielle prédit, détecte mais agit également en aval de l’attaque. En effet, la seconde application de l’IA repose sur sa capacité à répondre aux incidents de sécurité. En effet, l’intelligence artificielle est capable face à un type d’attaque défini, d’adopter un comportement de réaction qu’elle a également modélisé, essentiellement grâce aux outils de type Soar (Security Orchestration, Automation and Response). Ces derniers vont dérouler des scenarii de réaction par rapport à des attaques potentielles. Par rapport à une intervention humaine, son bénéfice est de gagner en réactivité d’intervention et en gain de temps. Cependant, cet usage rencontre encore une forte résistance culturelle. Il s’agit plus ou moins de laisser petit à petit les clés du camion à une IA automatisée.
L’IA offensive
Il faut savoir que l’IA fait aussi le jeu des hackers. Les cybercriminels commencent à détourner l’IA pour en faire une arme d’attaque. En un mot, l’IA automatise le travail du hacker, en le rendant autonome, notamment sur les phases de mouvement latéral, de reconnaissance interne, voire en supprimant les communications sortantes (C&C) vers le hacker.
Tout l’enjeu pour un malware dopé à l’IA consiste à se fondre dans la masse. C’est ce qu’on nomme l’« IA offensive ». Face à cet IA adversaire, les entreprises développent de plus en plus les bases d’une « IA défensive », une IA éthique capable de reconnaître les traces infimes laissées par les hackers et d’en minimiser l’impact.
Au-delà de toutes ces applications, les usages de l’IA sont encore en voie de développement. Ce qui est certain, c’est qu’elle n’est ni l’avatar d’une super-intelligence, ni le succédané d’un concept marketing jeté à tout va. Le constat principal à tirer reste qu’on use aujourd’hui de l’IA en entreprise surtout comme d’une assistance à la prise de décision finale afin de faire face à la montée en puissance du nombre et de la complexité des attaques, combiné au manque de ressources humaines qualifiées.