La cybersécurité et la course à l’IA


L'intelligence artificielle (IA) est présentée comme une arme clé dans la lutte contre les cybercriminels, mais en réalité, elle a encore du chemin à parcourir avant de devenir une partie intégrante de l'arsenal de toute entreprise.

Bien que largement inexploitée pour le moment, l’intelligence artificielle dispose d’un énorme potentiel en cybersécurité. Cela n’empêche pas un certain nombre de fournisseurs de cybersécurité d’en faire déjà la promotion dans leurs campagnes marketing, même si, en réalité, ils n’utilisent l’IA que partiellement et se concentrent sur le machine learning.

L’IA est simplement un système capable d’adopter un comportement intelligent qui peut détecter, raisonner et s’adapter. Le machine learning s’appuie sur de vastes ensembles de données pour trouver des tendances communes et des similitudes. Ses algorithmes s’améliorent à mesure qu’ils sont exposés à davantage de données. Cependant, ces deux ensembles sont reliés entre eux, car l’intelligence artificielle utilise l’apprentissage machine pour imiter l’intelligence humaine, en observant son écosystème, par exemple, pour prendre des décisions éclairées.

Utilisation du Big Data

À l’heure actuelle, le secteur de la cybersécurité ne peut pas compter uniquement sur l’IA pour traiter tous les cas de sécurité, car il n’y a pas encore suffisamment de données disponibles pour former complètement les algorithmes. Cela viendra avec le temps. Nous travaillons actuellement à l’élaboration d’une solution d’IA utilisant des données importantes issues d’applications de cybersécurité. Plus nous avons de données, plus le niveau d’entraînement que nous pouvons atteindre est élevé.

Nous investissons massivement dans la recherche, le développement et les start-ups pour améliorer les capacités de détection et d’analyse de l’intelligence artificielle. Notre objectif ? Atteindre un taux de précision de 100% dans la détection des menaces. Par exemple, une IA utilisant l’analyse automatique et les algorithmes appris peut valider les courriels pour vérifier la présence de phishing. Elle peut le faire beaucoup plus rapidement et avec plus de précision que les humains, fournissant ainsi une qualification entièrement automatisée.

En l’état actuel de la technologie, il s’agit d’une intelligence augmentée au service de l’Homme, apportée par les systèmes d’apprentissage machine. Ces algorithmes de machine learning s’entraînent sur de grands ensembles de données pour rechercher les activités suspectes sur les réseaux, par exemple, sur la base d’un cas d’utilisation. Les experts doivent encore contrôler, valider et examiner les données de ces systèmes.

La puissance de l’apprentissage machine

Nous utilisons beaucoup l’apprentissage machine chez Orange Cyberdefense. Ces algorithmes, par exemple, peuvent être formés sur des listes massives de malwares pour détecter les programmes frauduleux. Il s’agit évidemment d’un processus continu, car les données doivent être continuellement mises à jour en fonction des nouvelles menaces.

Les entreprises sont inondées chaque jour par des données réseau et des événements liés à la cybersécurité qui doivent être analysés et, dans certains cas, corrigés. Il est impossible pour les humains d’analyser efficacement toutes ces alertes. L’apprentissage machine peut être construit de telle sorte qu’il puisse détecter les anomalies dans le flux de données, en fournissant aux humains l’intelligence dont ils ont besoin pour prendre des décisions avisées.

L’apprentissage machine est également d’une valeur inestimable pour soutenir l’expertise humaine en remplaçant les tâches routinières, telles que l’adéquation du niveau de sécurité d’urgence requis en cas d’incident. Cela permet aux analystes de consacrer leur temps à des enquêtes de plus haut niveau.

Le cabinet d’analystes Gartner prévoit que 75 % des outils logiciels de sécurité intégreront des analyses prescriptives basées sur des algorithmes heuristiques, de l’IA ou du machine learning d’ici à 2020. Toutefois, il faudra encore quelques années avant de voir l’intelligence artificielle prendre son envol dans le domaine de la sécurité.

Qu’attendre de l'IA ?

L’IA fournira une qualification et une analyse avancées en matière de détection et d’analyse en plus de gérer la remédiation aux incidents. Dans ce dernier cas, elle devra savoir catégoriquement ce qu’elle est autorisée à faire ou non : par exemple, décider dans quel contexte il est nécessaire de le faire. Une remédiation entièrement automatisée doit pouvoir s’assurer que l’impact qu’elle causera ne sera pas pire que l’attaque elle-même.

Chez Orange Cyberdefense, nous travaillons sur deux systèmes différents d’entraînement à la détection et à la remédiation afin de résoudre ce problème. Pourquoi ? Parce que la remédiation doit avoir un taux de précision de 100 % sans quoi elle peut avoir des effets secondaires graves et incontrôlés. Avec de faux-positifs, par exemple, vous pourriez manquer une détection et cela pourrait avoir des conséquences désastreuses.

Il reste encore beaucoup de chemin à parcourir avant d’arriver à une cybersécurité contrôlée par l’intelligence artificielle, composée de machines qui communiquent avec des logiciels de détection et de correction entièrement automatisés. Cela entraînera un changement culturel qui modifiera les modèles contractuels et opérationnels. C’est une évolution à laquelle nous préparons nos clients dès maintenant.

Les entreprises devront accepter que les décisions en matière de cybersécurité soient prises par des machines. Elles devront se poser la question de savoir si elles leur font confiance, ce qui est sans aucun doute l’un des plus grands défis que devra relever l’IA. 

En outre, il faut du temps pour former les systèmes d’intelligence artificielle. Les clients devront donc faire confiance à des partenaires pour accéder à leurs données afin de modéliser des algorithmes et d’apporter la sécurité qu’ils recherchent pour leurs systèmes. L’IA changera ainsi fondamentalement les opérations de cybersécurité. Les emplois et l’expertise requise seront différents. L’automatisation et l’interaction entre les Hommes et les machines devront être pleinement soutenues par les entreprises, une évolution pour laquelle elles devront se préparer le plus tôt possible.

A propos du blogueur

Rodrigue Le Bayon a fait toute sa carrière au sein du groupe Orange. A 35 ans, il occupe aujourd’hui les fonctions de Directeur des CyberSOC d’Orange Cyberdefense.

A la tête du Centre Opérationnel de Sécurité (SOC) en France, il a ces dernières années participé au développement des activités sécurité pour les clients d’Orange Business Services.

De 2008 à 2010, il a contribué à la création et à la mise en place de deux nouveaux SOC implantés en Inde et à l’Ile Maurice.

A compter de 2011, il s’est attaché à développer un nouveau modèle d’organisation SOC pour répondre aux nouveaux enjeux en Cybersécurité dans la transformation digitale des clients entreprises du groupe Orange.

Rodrigue Le Bayon, Directeur SOC et CyberSOC chez Orange Cyberdefense