Positionnés aux postes de cyber-défenseurs dans une guerre où l’issue de chaque bataille est incertaine, les départements informatiques des entreprises se doivent de faire jeu égal avec les pirates sur le terrain de l’intelligence artificielle.
Tribune par par Bertrand De Labrouhe – Area Vice President Southern EMEA & Mediterranean, Imperva – Il y a vingt-cinq ans, l’intelligence artificielle (IA) ne constituait pas vraiment un sujet de discussion dans les milieux de la cybersécurité. A l’époque, les conversations autour de la sécurité informatique partaient quasi invariablement du postulat « lorsque quelqu’un fait ci » ou « lorsque quelqu’un fait ça ».
Le mot important ici étant « quelqu’un ». Il y avait toujours un « quelqu’un » : un pirate, bref, un être humain. Mais aujourd’hui, la majorité du trafic réseau n’est pas d’origine humaine mais provient de machines. Il n’y a donc plus nécessairement « quelqu’un » derrière, du moins pas directement.
Le paysage actuel des menaces persistantes avancées (APT) rend cette situation encore plus préoccupante. Les pirates d’antan – en chair et en os – opéraient typiquement à la manière de cambrioleurs. Ils s’introduisaient dans les lieux, cassaient et volaient, puis s’échappaient avant même que leur présence ait été remarquée. Aujourd’hui, les auteurs des attaques font preuve de plus de sophistication. Ils recherchent un point faible dans un réseau, s’y infiltrent et y restent le plus longtemps possible, souvent pendant des mois voire des années.
Les assaillants modernes ont plus d’un tour dans leur sac pour retarder le moment avant qu’ils ne soient découverts, en contaminant les données utilisées pour l’apprentissage des systèmes de sécurité (deep learning) de sorte que les algorithmes de défense s’appuient sur une vision biaisée de ce qu’est censé être un comportement normal sur le réseau.
La bonne nouvelle est que les professionnels de la cybersécurité parlent désormais des technologies d’IA et qu’ils y font appel. Dans son rapport « Hype Cycle for Emerging Technologies, 2017 », le cabinet Gartner a notamment cité l’intelligence artificielle, les expériences immersives transparentes et les plateformes numériques comme trois « méga tendances » de la décennie à venir, à cause entre autres de leur impact sur les activités des entreprises à l’avenir.
A mesure que les attaquants renforcent leurs capacités en matière d’automatisation ou d’apprentissage automatique (machine learning), les défenseurs font de même. Grâce aux techniques modernes d’apprentissage automatique appliqué à la cybersécurité, il devient possible de détecter l’activité anormale d’un robot mais aussi de déterminer son type et sa fonction fondamentale. A partir de là, il devient aisé de deviner ce qu’il tente probablement de faire.
La mauvaise nouvelle est que l’analyse de toutes ces données crée encore plus de données, qui submergent les départements informatiques des entreprises. Jean-Paul Alibert, président du Comité Cybersécurité de Syntec Numérique, affirmait ainsi :
« La cybersécurité est une filière dynamique et en pleine croissance avec 24 000 emplois pour la branche, soit 3 % des effectifs totaux. Toutefois, la demande de nouveaux talents en matière de sécurité augmente chaque année, et augmenter l’attractivité de la cybersécurité est devenu un enjeu primordial. »
Les trois dimensions de la course aux armements dans l’IA
Les technologies d’IA telles que l’automatisation et l’apprentissage automatique reposent fondamentalement sur les données. Elles sont donc soumises aux trois dimensions de ces dernières, appelées les « trois V ». Il s’agit de leur volume (quantité de donnée), vitesse (rythme de création, collection et analyse des données), variété (type de données).
Chacune de ses dimensions a sa part de responsabilité dans les problèmes de course aux armements entre les intelligences artificielles dans la cybersécurité.
En effet, Internet enregistre chaque mois des milliards de visites de sites web. Des équipes IT ne peuvent analyser manuellement qu’une infime partie des milliers d’alertes qui s’affichent sur leurs écrans quotidiennement, chacune déclenchée par un robot ou un être humain ayant ses propres motivations. Autrement dit, le volume, la vitesse et la variété des données avec lesquelles les départements informatiques sont aux prises sont incommensurables. Il n’est donc guère surprenant que plus d’un tiers des entreprises analysent moins de 50% de leurs alertes de sécurité.
De leur côté, comment procèdent les cybercriminels ? Depuis des années, les spammeurs et autres escrocs recourent à l’apprentissage automatique pour contourner les filtres automatisés et leurs actions malveillantes en ligne se sont intensifiées grâce à leurs propres techniques d’automatisation (parfois soigneusement orchestrées de manière à ajouter une touche de réalisme humain). Un e-mail ou une série d’e-mails automatisés à bon escient peuvent aboutir à un transfert de fonds frauduleux, à une implantation réussie de malware ou à la divulgation de données sensibles.
En parallèle, les auteurs d’attaques contre les réseaux disposent de leurs propres robots qui se chargent du gros du travail pour eux, ces robots pouvant eux-mêmes être nourris par l’apprentissage automatique, amenant ainsi deux intelligences artificielles à s’affronter sur le réseau.
Sur ce terrain, ils bénéficient d’un avantage intrinsèque : il suffit qu’une seule attaque fasse mouche pour « gagner ». A l’inverse, pour une équipe informatique, chaque bataille doit être remportée. Cela rend la capacité d’adaptation encore plus vitale pour les cyberdéfenseurs que pour les attaquants. Or, tant qu’une véritable intelligence artificielle ne sera pas disponible, combattre l’automatisation par l’automatisation ne tournera pas au profit des équipes IT. Il s’agit là d’une course aux armements impossible à gagner.
Comment se protéger de l’IA ?
Bannir les robots ? Tous les robots, en dehors d’une liste blanche de quelques API explicitement connues et fiables ? Car après tout, quelle est la véritable mission des spécialistes de la cybersécurité ? Fortifier. Défendre. Protéger. Et, en cas de menace, neutraliser.
L’identification des différents types de trafic réseau automatisé aide certes à atteindre ces objectifs, mais elle n’est que secondaire. Dans le paysage actuel des menaces, la première et principale question à se poser pour l’analyse du trafic web applicatif doit être : est-il d’origine humaine ? Si ce n’est pas le cas et qu’il provient d’un robot ne figurant pas expressément sur la liste blanche, alors ce trafic n’a rien à faire sur le réseau et doit être éliminé. Peu importe que ce robot essaie d’acheter des places de concert, de récolter des métadonnées ou d’injecter un script : inutile d’attendre de voir à quel type d’activité il va se livrer, il suffit de l’identifier comme un robot non autorisé et de lui interdire l’entrée. Instantanément, cela permet d’écarter plus d’un tiers du trafic applicatif web sur le réseau de l’entreprise.
La restriction de l’accès au réseau aux seuls utilisateurs humains (et à une liste blanche de quelques robots) rendra bien plus efficaces les mesures défensives d’automatisation et d’apprentissage automatique déjà en place. Les alertes de sécurité et autres résultats entrent en ligne de compte tant au niveau du volume que de la vitesse qu’un opérateur humain peut gérer avec efficacité. En l’absence de toute activité de robots non autorisés sur le réseau, ces données contiendront intrinsèquement davantage de contexte, ce qui réduira du même coup la dimension variété.
Bilan : le département informatique est beaucoup moins envahi par les alertes de sécurité et pourra de ce fait commencer à prêter attention à un plus grand nombre d’entre elles. En prime, cette dimensionnalité réduite aboutira à des ensembles de données plus nombreux (et plus simples), ce qui permettra d’améliorer les capacités d’apprentissage automatique du réseau. Les cyber-défenseurs seront alors prêts pour l’affrontement des intelligences artificielles.
Les commentaires sont fermés.