Toby Lewis de Darktrace sur l’amélioration de la cybersécurité avec l’IA
Avec l’essor du cloud et du travail à distance, l’ancien modèle d’un réseau d’entreprise fortifié que vous pouviez protéger des attaques extérieures s’est effondré. Le périmètre s’est tellement étendu qu’il est presque impossible à défendre. Au lieu d’essayer de tout savoir sur les attaquants, explique Toby Lewis, responsable mondial de l’analyse des menaces chez Darktrace, une meilleure stratégie consiste à se renseigner sur les utilisateurs du réseau.
« Cela nous donne une très bonne base de normalité, car fondamentalement, un attaquant dans un environnement va opérer en dehors de ces limites normales », déclare Lewis. « Et c’est probablement la façon la plus simple d’aborder cette utilisation de l’IA [to] identifier un comportement inhabituel. »
L’IA peut être utilisée de plusieurs façons, dit-il, à commencer par l’analyse du comportement et la détection des menaces. La prochaine étape logique consiste à automatiser la réponse, selon Lewis. « Comment allons-nous contenir cette menace d’une manière qui n’affecte pas l’utilisateur final, n’affecte pas les réseaux du client d’origine, lui permet de continuer à fonctionner, mais utilise également les avantages d’un fonctionnement à la vitesse de la machine ? » il demande. « Il n’est pas nécessaire qu’un humain aille enquêter dessus et clique sur des boutons pour que cela se produise. »
L’intelligence artificielle peut apporter une correction des menaces plus rapide et plus flexible que les outils de cybersécurité traditionnels. Mais pour maximiser les avantages, dit Lewis, vous devez instaurer la confiance avec vos clients, par exemple en démontrant l’IA, puis en la mettant en mode de confirmation humaine. « Donc, il est maintenant capable d’agir, mais l’humain garde toujours le contrôle », dit-il.
La prochaine étape serait l’autonomie complète. Mais, souligne Lewis, « cette étape du mode de confirmation humaine au mode entièrement autonome n’a pas besoin d’être un binaire activé ou désactivé. Vous pouvez le configurer pour ne le faire qu’à certaines heures de la journée, en dehors des heures d’ouverture ou le week-end. » Il dit également que l’IA peut être configurée pour répondre à certains types de comportements, comme toujours arrêter les activités liées aux ransomwares, quelle que soit l’heure ou le jour, tout en laissant les activités moins urgentes à analyser par les intervenants humains. Cela permet à l’IA de compléter le personnel de la cybersécurité humaine tout en le gardant responsable.
Pour vraiment faire confiance à l’IA sans laisse, ces humains doivent comprendre pourquoi un outil automatisé prend les mesures qu’il prend. En aidant les gens à comprendre ses décisions, dit Lewis, l’IA renforce encore la confiance. « Si vous commencez à introduire l’IA dans vos environnements, oui, vous obtenez de grandes économies d’efficacité en termes de capacité à répondre à une attaque », dit-il. « Mais … [people] encore faut-il comprendre ce qui se passe. Et c’est toujours vraiment, vraiment critique, que vous utilisiez l’IA ou non. »