De l’intelligence artificielle pour épauler les experts en cybersécurité

Arrêtons de taper tout le temps sur la tête des utilisateurs et de citer la faiblesse de l'humain comme la principale faille en matière de cybersécurité. Certes il faut continuer à sensibiliser et à former mais il s'agit aussi de mettre un peu plus d'intelligence -artificielle notamment- dans les systèmes de défense. "L’apprentissage automatique nous permet de prédire si un événement est une attaque informatique en fonction de centaines de milliers de propriétés assimilées lors de précédentes attaques", explique Stuart McClure, PDG de Cylance, une startup prometteuse en matière de cybersécurité, dans un entretien accordé à la société de conseil Tag Cyber. Le dirigeant estime que les techniques actuelles d’analyse de signatures, d’analyse heuristique et d’analyse comportementale sont simplistes et peuvent être facilement déjouées. "Par dessous tout, les algorithmes peuvent déterminer si un fichier est sain ou corrompu en quelques millisecondes. Ils n’ont pas besoin de pause café et n’ont pas de mauvaise journée comme les humains peuvent parfois en avoir, ajoute-t-il.

Passer de 8 mois à 30 minutes pour se rendre compte d’une attaque

Est-ce à dire que l’apprentissage automatique, donc l’intelligence artificielle, donc les ordinateurs, remplaceront demain les humains experts en cybersécurité? A court terme, sûrement pas. En revanche l’intelligence artificielle leur viendra en appui. En effet, la lutte contre le cyber piratage fait notamment face à deux obstacles. D’une part il y a pénurie d’experts en cybersécurité. D’autre part le volume de données à traiter pour détecter et stopper une attaque, voire pour l’anticiper, est trop important pour pouvoir être pris en charge par ces seuls spécialistes.

Conséquence: près de trois quarts des professionnels de la sécurité du système d'information reconnaissent ignorer la majeure partie des alertes qu’ils reçoivent. Pas étonnant dès lors que la société d’études Ponemon Institute, souligne qu’il faut en moyenne 256 jours pour identifier une cyber attaque. Grâce à l’apprentissage automatique des ordinateurs, l’éditeur de solutions de sécurité F-Secure promet de ramener ce délai à moins de 30 minutes !

Détecter les comportements anormaux sur le réseau

Contrairement aux solutions de sécurité traditionnelles, reposant sur l’utilisation de règles que les hackers s’ingénient à contourner, l’intelligence artificielle détecte les activités anormales du système d’information. Ainsi, le laboratoire de recherche sur l’intelligence artificielle du Massachusetts Institute of Technology (MIT) et la startup PatternEx ont développé AI2, une plateforme d’intelligence artificielle capable d’anticiper 85% des cyber attaques et générant cinq fois moins de fausses alertes que les outils traditionnels. En pratique, AI2 analyse chaque jour plusieurs milliards de données issues du système d’information et présente un rapport des événements suspects à un analyste humain. Ce dernier fait alors le tri entre les activités effectivement malveillantes et celles qui ne le sont pas. Les résultats de l’expert sont ensuite réinjectés dans AI2 qui utilise ces nouvelles informations pour affiner ses analyses suivantes. Grâce à ce processus itératif, le nombre d’événements suspects passe de plusieurs centaines à quelques dizaines après quelques jours d’apprentissage seulement.

Faire des recommandations pour contrer les attaques

De son côté, IBM a annoncé en mai 2016 une version cybersécurité de Watson, son ordinateur doté d’intelligence artificielle, capable d’interpréter le langage naturel humain. Cette déclinaison de Watson a pour objectif d’analyser les données non structurées utiles aux spécialistes de la sécurité informatique, présentes sur Internet: blogs, articles, rapports, alertes, réseaux sociaux, etc., sous forme de texte, de son ou d’image.

Ce type de données représente près de 80% du contenu publié sur la Toile et son volume est tel que les experts ne peuvent en consulter qu’une infime partie. En étudiant cette manne d’information, en complément des données structurées, Watson pourra analyser les menaces actuelles et émergentes ainsi que leurs évolutions. Surtout il sera en mesure de faire des recommandations pour les contrer.