L’intelligence artificielle, un atout majeur de la cybersécurité

Co-écrit par Florence Guillot et Sofiane Asfiri.

Face à la complexité et l’augmentation des cybermenaces (malware, ingénierie sociale), les acteurs de la sécurité informatique cherchent à renforcer la protection des entreprises. L’Intelligence Artificielle (IA), et plus particulièrement son approche statistique, le Machine Learning, répond à ce besoin.

En France, le Machine Learning en est encore à ses premiers balbutiements : les pouvoirs publics (Rapport Villani) et les acteurs français de la sécurité informatique commencent à prendre conscience des apports de cette technologie. L’omniprésence de cette discipline aux récents évènements du monde de la sécurité informatique (Forum International de la Cybersécurité à Lille en janvier 2018 et Cercle européen de la sécurité des systèmes d’information en avril 2018) confirme l’engouement pour cette technologie déjà très utilisée Outre-Atlantique.

Le Machine Learning

Le Machine Learning ou « apprentissage automatique » est une discipline de l’IA qui consiste à obtenir des analyses prédictives en développant des algorithmes par l’interprétation de données statistiques. Autrement dit, le Machine Learning donne à un ordinateur la capacité d’apprendre des données qu’il a analysées, contrairement aux algorithmes des outils classiques, basés sur des règles prédéfinies par l’humain.

 Exemple concret du fonctionnement du Machine Learning par rapport au fonctionnement d’un moteur de règles (outil classique) – objectif : faire reconnaître un chat à un ordinateur.

  • Avec un moteur de règles : l’humain construit des règles telles que « c’est un animal à quatre pattes, de petite taille, avec des poils, une queue et qui retombe toujours sur ses pattes ». La corrélation de ces règles permettra à l’ordinateur de reconnaitre un chat.
  • Avec du Machine Learning: l’ordinateur assimile de nombreuses images de chats et identifie les caractéristiques similaires entre les photos. Ces règles qu’il a déterminées lui permettront de reconnaître à l’avenir un chat. La précision de son analyse sera liée à la quantité de données : plus l’ordinateur assimilera des images de chats, plus il sera en capacité de reconnaitre un chat.

Le Machine Learning apporte donc une nouvelle dimension, celle de l’apprentissage automatique. En matière de cybersécurité, cet outil renforce la protection des entreprises notamment dans la détection des incidents de sécurité et dans l’authentification.

… au service de la cybersécurité    

Une aide dans la détection et le traitement des incidents de sécurité

Actuellement, pour identifier les évènements suspects (malwares, comportements anormaux, etc.), les grandes entreprises ont recours à la technologie SIEM (Security Information and Event Management). Bien que cet outil soit indispensable, il comporte cependant des limites.

En effet, la technologie SIEM est basée sur des règles prédéfinies et des signatures connues. Par conséquent, lorsqu’un évènement de sécurité inhabituel survient, aucune règle n’a été paramétrée et l’incident n’est pas remonté aux analystes de l’équipe SOC (Security Operation Center) créant ainsi un « faux négatif » (absence d’alerte). Contrairement à la technologie SIEM, l’algorithme de Machine Learning identifie, grâce à son modèle qu’il a construit avec les données existantes, la probabilité du caractère malveillant de chaque nouvel évènement. Ainsi, le risque de manquer une nouvelle menace est diminué.

L’autre apport du Machine Learning concerne la limitation des faux positifs.  Avec l’augmentation du volume de données dans le SI des entreprises (bases de données, réseaux de flux, applications, etc.), les analystes sont de plus en plus confrontés à ces fausses alertes remontées par le SIEM. Alors qu’une grande quantité de données est une faiblesse pour les outils traditionnels, les algorithmes de Machine Learning tirent avantage de ce volume important de données pour obtenir une analyse précise de tout évènement dans le système d’information.

Diminution des faux négatifs et des faux positifs, précision dans la détection des incidents et solution face au manque actuel de profils dans le secteur informatique… tous ces avantages font du Machine Learning un véritable soutien aux services de sécurité des SI. Ses apports sont notamment recherchés par les services de lutte contre la fraude (fraude au président, phishing, compromission de comptes, élévation des privilèges, etc) qui peuvent désormais obtenir une analyse précise du comportement des utilisateurs (User Behavior Analytics).

Les poids lourds de la cybersécurité comme RSA Security et IBM ont saisi l’importance de cette technologie et l’incorporent désormais dans leur nouvelle génération de SIEM.

Cependant, l’intégration d’une solution SIEM au sein d’une organisation reste l’apanage des grandes sociétés, qui sont à ce jour les seules à pouvoir en assumer le coût. C’est pourquoi, les principaux éditeurs majeurs de logiciels de sécurité offrent une alternative moins coûteuse sur le plan humain, technologique et financier, en proposant une solution Cloud basée sur du Machine Learning.

Mécanismes d’authentification

Le Machine Learning offre également des perspectives d’évolution pour les systèmes d’authentification. Jusqu’à présent, ces systèmes étaient uniquement basés sur un modèle de règles permettant ou refusant un accès. Avec le Machine Learning, l’idée serait de passer à une authentification conditionnée par l’empreinte numérique de chaque individu : un algorithme analyserait en continue l’activité d’un utilisateur, la comparerait à son empreinte habituelle et en déduirait un indice de fidélité. En fonction de cet indice, soit l’utilisateur serait réauthentifié, soit il verrait son accès refusé. Cet apport fluidifierait les conditions de travail pour les utilisateurs ayant des comptes administrateurs, et qui ont recours à des authentifications répétitives dans l’exercice de leurs fonctions. C’est dans ce sens que Systancia, un éditeur français de solutions de virtualisation, de cyber sécurité et de gestion des identités, a lancé le projet ADACS début 2018 afin de développer ce mécanisme d’authentification dynamique.

  L’avenir de l’intelligence artificielle en cybersécurité

 Le Machine Learning offre aux entreprises un duo équilibré (humain/IA) pour lutter efficacement contre les menaces cyber de plus en plus nombreuses et complexes. Même si certains redoutent l’arrivée d’une telle technologie pour leurs emplois, le remplacement des humains par l’Intelligence Artificielle n’est pour l’heure pas envisagé. En outre, cette technologie permettra à la cybersécurité d’étendre son périmètre : l’IA aura besoin d’être sécurisée et sera vecteur d’emplois dans le domaine de la sécurité informatique.