Face à la complexité croissante des attaques, dont le nombre ne cesse d’augmenter chaque année, les entreprises, les organisations, les gouvernements se tournent vers de nouveaux outils utilisant de l’intelligence artificielle (IA). Une stratégie indispensable pour détecter les menaces aux comportements anormaux, aussi subtiles et bien orchestrées soient-elles. Découvrez l’analyse de Xavier Filiu, Cybersecurity Manager de T-Systems France.

Le machine learning, clé de voûte de la cybersécurité

Imaginez, plus de 4 000 ransomwares ou virus apparaissent dans le monde chaque jour, ce nombre est en croissance continue, et environ 80% de ces nouvelles menaces ne sont utilisées qu’une seule fois. Les ransomware as a service sont de plus en plus légions sur le darknet, pour des prix souvent dérisoires. Sans l’analyse de l’IA des comportements et des mouvements latéraux, nous ne pourrions pas faire face à ces volumes d’attaques au quotidien, certes plus ou moins bien ciblées.

A lire aussi : [Tribune] Recrudescence des rançongiciels : votre organisation est-elle prête ?

L’intelligence artificielle ne doit donc pas être réduite à un code, même sophistiqué, mais plutôt à une aptitude donnée à une machine d’analyser, d’apprendre, de décrypter, de se construire une base de connaissances qu’elle va enrichir elle-même, et professionnaliser au fil du temps. On parle de machine learning. L’apprentissage machine c’est l’IA d’aujourd’hui. Dans les outils de détection des menaces et des vulnérabilités, trois niveaux d’analyse sont mis en place et il est possible de les représenter en un filtre pyramidal, en commençant par la base :

Le niveau 1 analyse le volume grandissant de données, les (cyber)bruits, les faux positifs, les activités brutes par dizaine de milliers par jour, voire plus. Ce premier niveau est totalement pris en charge par l’IA qui utilise des bases de connaissance dignes d’un big data en les maillant les unes aux autres pour détecter les vulnérabilités et menaces ou auto-apprend et donc détecte seule les risques et les éléments suspicieux à remonter au niveau 2.

Ce dernier adresse, quant à lui, les problèmes déjà filtrés, en un nombre bien plus réduit : sont étudiées ici les menaces les plus persistantes, dont les impacts peuvent être significatifs pour le ou les systèmes d’information concernés. Cette analyse est humaine, et s’organise dans des équipes de type CERT, Computer Emergency Response Team, et/ou de type SOC, Security Operation Centre. Enfin, le niveau 3 est réalisé au plus près des actifs informationnels, là où les attaques risquent d’être les plus prégnantes. Nous sommes ici à des paliers de cyberdéfense contre des attaques très ciblées, contre des hackers ayant une grande connaissance des systèmes et des organisations d’entreprise, notamment pour avoir poussé au bout leurs propres enquêtes d’investigation d’ingénierie sociale. Le Cybersecurity Management agit ici comme le dernier rempart contre l’adversité.

Ce dispositif ne tient que si la base de la pyramide exploite à ce jour et à bon escient toutes les connaissances du marché sur les systèmes d’exploitation, les bases de données, les applications, les éléments du réseau, les hyperviseurs, les domaines, les référentiels d’accès, la gestion des identités, l’infrastructure globale, avec le support du big data couplé à l’intelligence artificielle.

Anticiper, le challenge de la cybersécurité pour les années à venir

L’IA va y contribuer fortement. En cela, elle ne remplace pas l’humain, mais justement permet de lui apporter des informations pertinentes, d’interpréter les contenus, entre autres non structurés, de détecter les furtivités, les signaux faibles, d’automatiser un grand nombre des actions qu’il réalisait avant (ou pas), de lui donner les éléments et le temps de se consacrer aux vrais risques à contrer, détourner, au plus près des réalités opérationnelles pour préserver son patrimoine informationnel et celui de ses clients.

L’IA devient alors un outil robuste de Threat Intelligence travaillant 24h/24 7j/7, capable d’analyser en temps réel du renseignement pour caractériser des vulnérabilités et menaces émergentes, non seulement du système d’information classique, mais également de tous les autres endpoints d’une société ou d’un organisme. Nous pensons ici aux points de terminaison, de types smartphones, imprimantes, systèmes de vidéo-surveillance, de contrôle d’accès physique, de détection incendie, d’alarmes, mais aussi d’IoT, Internet Of Things, apparaissant par milliers tous les mois dans nos paysages technologiques. A ce rythme, le champ des possibles va devenir infini. Tous ces endpoints sont autant de portes d’entrées de menaces pour la société, tout en étant devenus les interfaces quotidiennes entre les hommes et les machines, ils constituent alors des actifs sensibles à protéger.

La Threat Intelligence, une fois bien installée, nourrie, mature, peut même aider les équipes des CERT et SOC, à profiler les attaquants (cybercriminels, cyber espions, hacktivistes, …), comprendre leurs cibles, leurs motivations, la source des menaces, éventuellement les tenants et aboutissants géopolitiques. À rendre les dispositifs de sécurité plus anticipatifs, plus prédictifs, l’avenir n’est plus seulement dans la protection, mais bien dans la prédiction, la détection, la préparation des contre-mesures.