L’IA est-elle une aubaine ou un fléau pour la cybersécurité ?
L’intelligence artificielle, ainsi que l’apprentissage automatique et d’autres stratégies d’analyse approfondie, connaissent une résurgence parmi les praticiens de la technologie d’entreprise. Les entreprises utilisent l’IA pour tout, de l’amélioration de l’expérience client à l’optimisation des chaînes d’approvisionnement, mais l’un des cas d’utilisation les plus répandus de l’IA est l’amélioration de la position d’une organisation en matière de cybersécurité.
Cela dit, les DSI et autres praticiens de la technologie d’entreprise doivent clairement comprendre où l’IA et le ML peuvent et ne peuvent pas aider les initiatives de cybersécurité. Pour clarifier cela, il est logique d’examiner une gamme de cas d’utilisation ou de scénarios dans lesquels l’IA et le ML peuvent être bien adaptés. Pour obtenir une liste complète des scénarios de cybersécurité potentiels, les DSI doivent faire évaluer leurs équipes par rapport à un cadre standard ; l’un des meilleurs est le framework Mitre ATT&CK. Un bon moyen de commencer à évaluer les vulnérabilités en matière de cybersécurité consiste à utiliser le cadre Mitre ATT&CK pour fournir des conseils sur les types d’attaques auxquels une entreprise peut être vulnérable.
Cas d’utilisation de l’IA de la cybersécurité
Il existe certains scénarios dans lesquels l’IA et le ML se distinguent comme des techniques de cybersécurité très efficaces :
Analyse du journal. L’IA est idéale pour les problèmes qui nécessitent une corrélation et une évaluation automatisées de gros volumes de données. Le défi pour les professionnels de la cybersécurité est souvent de traduire les informations (la sortie des journaux des appareils, du réseau et du système) en connaissances (alertes de sécurité). Les analystes de la sécurité humaine n’ont pas la bande passante mentale ou physique pour traiter ces flux de données volumineux et déterminer quelles combinaisons de points de données correspondent à des alertes ou à des événements de sécurité.
Les outils d’IA peuvent trouver des points communs entre des flux de données disparates et convertir des points de données en événements exploitables pour les analystes, réduisant ainsi le temps nécessaire pour découvrir et répondre aux attaques. Les outils d’analyse de journaux qui reposent sur l’IA et le ML incluent des produits de Splunk, SolarWinds et LogRhythm.
Automatisation du SOC. La combinaison de l’IA et de l’automatisation des processus robotiques (RPA) peut réduire le temps nécessaire pour réagir aux événements critiques. Essentiellement, IA plus RPA signifie que les analystes de sécurité peuvent préconfigurer des réponses automatisées pour s’assurer que si l’IA découvre un certain scénario (scénario X), l’action appropriée (action Y) sera entreprise.
L’action peut être entièrement automatisée, c’est-à-dire sans intervention humaine, ou elle peut nécessiter qu’un humain examine et approuve l’action avant qu’elle ne soit entreprise. De nombreux fournisseurs d’orchestration de sécurité, d’automatisation et de réponse (SOAR) tirent parti de l’IA dans leurs produits pour fournir ce type de fonctionnalité.
L’un des avantages de l’utilisation de l’IA dans ce contexte est qu’elle permet à ces outils d’apprendre au fil du temps. Initialement, une réponse peut nécessiter une intervention humaine, mais au fil du temps, les fonctionnalités SOAR peuvent capturer et codifier les processus de réponse aux incidents dans des playbooks dynamiques. Les fournisseurs proposant des outils SOAR incluent IBM, Jask, Demisto (Palo Alto Networks), Siemplify et ThreatConnect.
Analyse des menaces comportementales. De nombreuses organisations demandent : « Est-ce qu’un système ou un utilisateur de mon environnement se comporte d’une manière qu’il ne devrait pas ou qu’eux ne devraient pas le faire ? » Cette question est plus difficile à répondre qu’il n’y paraît car la définition de « façons qu’ils ne devraient pas » peut être ambiguë. Par exemple, si un comptable accède normalement à une base de données spécifique depuis un bureau sur site pendant les heures de travail normales, puis se connecte à 3 heures du matin depuis un bureau à domicile, cela peut ou non constituer un comportement inapproprié. Elle pourrait soit télécharger des informations confidentielles en vue d’un changement d’emploi, soit simplement travailler tard pour se préparer à la clôture du trimestre.
La vaste catégorie de l’analyse des menaces comportementales (BTA) est un domaine dans lequel l’IA fournit une assistance indispensable. Les produits qui fournissent le BTA incluent ceux classés comme analyse du comportement des utilisateurs (UBA) ou analyse du comportement des utilisateurs et des entités (UEBA), tels que les outils de Securonix, Exabeam, Gurucul et Splunk. Ils incluent également ceux classés comme détection et réponse étendues (XDR), tels que eSentire, CrowdStrike, LogRhythm et Palo Alto Cortex.
La criminalistique numérique et l’audit. Un autre domaine dans lequel l’IA peut aider les initiatives de cybersécurité est celui de la criminalistique numérique et de l’audit. Ces efforts nécessitent de trier de gros volumes de données pour déterminer des modèles qui peuvent découvrir l’anatomie des attaques et aider à identifier les auteurs. Les fournisseurs de criminalistique numérique basés sur l’IA incluent Exterro Smart Investigator, IBM, FireEye, LogRhythm et Paraben.
Chasse aux menaces et surveillance. La recherche et la surveillance des menaces sont une autre excellente application de l’IA dans le cadre de la cybersécurité. Comme leur nom l’indique, les solutions de recherche et de surveillance des menaces examinent une gamme de sources de données, telles que les journaux, les informations sur un environnement d’entreprise et la surveillance externe des menaces ou les flux de renseignements sur les menaces, pour déterminer rapidement si une entreprise est exposée à un risque d’attaque.
Beaucoup de ces outils utilisent l’analyse prédictive et le profilage automatisé pour avertir à l’avance les praticiens de la cybersécurité des entreprises. Les fournisseurs et les solutions dans ce domaine incluent Cybereason, Cylance, Anomali, White Ops, Darktrace et Sovereign Intelligence.
Avantages de l’IA en cybersécurité
Dans tous ces cas d’utilisation, l’utilisation de l’IA pour la cybersécurité présente des avantages communs. Le premier est la vitesse : l’IA peut trier de grandes quantités de données beaucoup plus rapidement que les analystes humains. Associée à des techniques d’automatisation et à la RPA, cette analyse plus rapide peut générer des actions plus rapides, réduisant ainsi le temps total moyen pour contenir une violation, une mesure clé de la cybersécurité.
Le deuxième avantage est la robustesse. Bien que l’IA n’ait pas toujours raison, les algorithmes d’IA sont généralement très cohérents. Cela minimise la probabilité d’erreurs dues à des incohérences, qui sont des erreurs courantes dans toute activité humaine.
Une autre raison clé pour déployer l’IA dans les environnements de cybersécurité est que les méchants le font déjà. Si vos adversaires utilisent une technologie de pointe, il est risqué de ne pas utiliser la même technologie vous-même. Les pirates, en particulier les attaquants d’États-nations, déploient déjà une IA avancée pour découvrir les vulnérabilités et lancer des attaques. Toute entreprise qui ne déploie pas l’IA en réponse est en danger.
L’apprenti sorcier et les inconvénients de l’IA
Cela dit, l’IA a ses inconvénients, comme toutes les technologies. Le plus gros problème est souvent appelé « l’apprenti sorcier ». Il s’agit du risque de déclencher des actions et des conséquences qui ne sont plus contrôlables par l’homme.
Il existe de nombreux exemples de cette cybersécurité extérieure. Pour commencer, les algorithmes d’IA peuvent fomenter la violence parmi les utilisateurs de médias sociaux en suscitant des émotions intenses – en particulier la peur et la colère – dans le but de générer plus d’engagement sur les réseaux sociaux. De plus, les algorithmes d’IA peuvent également perpétuer le racisme en incarnant des éléments racistes involontairement. Par exemple, les premières machines à laver les mains automatiques basées sur l’IA dans les aéroports ne reconnaissaient pas la peau foncée et ne fonctionnaient pas pour les personnes ayant un teint plus foncé.
Il existe deux approches principales pour atténuer ces risques. La première consiste à intégrer des points de contrôle humains qui limitent les actions autonomes des algorithmes d’IA. C’est-à-dire qu’avant qu’une réponse « automatique » à un algorithme d’IA ne se déclenche, un humain doit approuver la réponse. La seconde est la formation. La plupart des algorithmes d’IA nécessitent une formation, et l’un des meilleurs moyens d’éviter des réponses imprévues consiste à former des algorithmes dans l’ensemble de scénarios le plus large possible.
Par exemple, tester les algorithmes de lavage des mains avec des personnes ayant une gamme de couleurs de peau aurait permis de découvrir le biais de la couleur de la peau et aurait permis d’ajuster ces algorithmes.
L’essentiel est que l’IA est devenue un outil indispensable dans la boîte à outils de la cybersécurité. Les technologues d’entreprise devraient se déplacer pour sélectionner et déployer les outils d’IA les plus appropriés pour leurs cas d’utilisation et leurs environnements.