IA dans le domaine de la cybersécurité

Définition de l'IA, du Machine Learning et du Deep Learning dans le domaine de la cybersécurité

La cybersécurité basée sur l'IA, avec l'aide du Machine Learning, est conçue pour être un outil puissant dans un avenir proche. Comme dans les autres secteurs, l'interaction humaine est depuis toujours essentielle et irremplaçable en matière de sécurité. Même si la cybersécurité s'appuie fortement sur l'intervention humaine, la technologie devient progressivement plus efficace sur des tâches spécifiques.

Chaque avancée technologique nous mène doucement vers des interventions humaines complétées plus efficacement. Certains axes de recherche s'inscrivent au cœur de ces avancées :

  • L'intelligence artificielle (IA) est conçue pour donner aux ordinateurs la pleine capacité de réponse de l'esprit humain. Cette science englobe de nombreuses autres technologies, à l'instar du Machine Learning et du Deep Learning.
  • Le Machine Learning (ML) utilise les schémas comportementaux existants pour prendre des décisions à partir des données et des conclusions antérieures. L'intervention humaine est toujours requise pour implémenter des modifications. Le Machine Learning est probablement la discipline de cybersécurité basée sur l'IA la plus pertinente à ce jour.
  • Le Deep Learning (DL) fonctionne de la même manière que le ML. Il prend des décisions à partir de schémas antérieurs, mais effectue des ajustements de manière autonome. Dans le domaine de la cybersécurité, le Deep Learning relève du Machine Learning, sur lequel nous nous concentrerons davantage ici.

Les atouts de l'IA et du ML pour la cybersécurité

L'IA et la cybersécurité ont été présentées comme révolutionnaires et bien plus liées que l'on ne pensait. Néanmoins, ce côté révolutionnaire n'est que partiel et doit être considéré avec mesure. En réalité, l'avenir nous réserve des améliorations relativement progressives. Pour mettre les choses en perspective, ce qui peut sembler progressif en comparaison avec un avenir tout à fait autonome, va aujourd'hui au-delà de ce dont nous avons été capables par le passé.

À mesure que nous explorons les implications possibles avec la sécurité dans le ML et l'IA, il est important de cadrer les difficultés actuelles inhérentes à la cybersécurité. Il existe de nombreux processus et aspects que nous avons longtemps considérés comme normaux, qui peuvent être traités sous l'égide des technologies IA.

L'erreur humaine dans la configuration

L'erreur humaine représente une grande partie des faiblesses de la cybersécurité. Par exemple, une configuration système appropriée peut être incroyablement difficile à gérer, même avec d'importantes équipes informatiques impliquées. Dans la course à l'innovation constante, la sécurité informatique est devenue plus hiérarchisée que jamais. Des outils adaptés peuvent aider les équipes à identifier et à atténuer les problèmes survenant lorsque les systèmes réseau sont remplacés, modifiés et mis à jour.

Pensez à la façon dont les dernières infrastructures Internet comme le cloud computing peuvent prendre le dessus par rapport aux anciennes structures locales. Le département informatique doit garantir la compatibilité des systèmes d'entreprise pour les protéger. Les processus manuels d'évaluation de la sécurité des configurations épuisent les équipes, qui jonglent avec les mises à jour interminables et les tâches de support quotidiennes ordinaires. Grâce à une automatisation intelligente et adaptative, les équipes peuvent bénéficier de conseils opportuns sur les dernières problèmes détectés. Elles peuvent prendre conseil sur les options de traitement, voire disposer de systèmes pour régler automatiquement les paramètres si nécessaire.

Efficacité humaine et tâches récurrentes

L'efficacité humaine est un autre défi inhérent au secteur de la cybersécurité. Aucun processus manuel n'est parfaitement répétable à chaque fois, notamment dans des environnements dynamiques comme les nôtres. La configuration individuelle des nombreux terminaux d'une entreprise fait partie des tâches les plus chronophages. Même après la configuration initiale, le département informatique est amené à vérifier à nouveau les mêmes machines ultérieurement pour corriger des configurations inappropriées ou obsolètes ne pouvant pas être rectifiées dans le cadre de mises à jour à distance.

Qui plus est, lorsque les salariés doivent réagir face à des menaces, la portée desdites menaces peut rapidement évoluer. Quand les interventions humaines peuvent être ralenties par des défis inattendus, un système basé sur l'IA et le Machine Learning peut fonctionner avec un retard minime.

Fatigue à l'égard des alertes de menaces

La fatigue à l'égard des alertes de menaces constitue une autre faiblesse si elle n'est pas soigneusement gérée. Les surfaces des attaques s'élargissent à mesure que les niveaux de sécurité susmentionnés deviennent de plus en plus sophistiqués et tentaculaires. De nombreux systèmes de sécurité sont configurés pour réagir à une multitude de problèmes connus, avec une foule d'alertes purement machinales. En conséquence, ces invites individuelles laissent le département informatique analyser les décisions potentielles et prendre les mesures qui s'imposent.

Un flux élevé d'alertes complique considérablement la prise de décision. Au final, la fatigue décisionnelle devient une expérience quotidienne pour le personnel responsable de la cybersécurité. La solution idéale réside dans des actions proactives face aux menaces et aux vulnérabilités identifiées, mais nombre d'équipes manquent à la fois de temps et de personnel pour couvrir l'ensemble de leurs bases.

Il arrive que les équipes soient contraintes de privilégier les problèmes les plus sérieux et de laisser tomber les autres. Exploiter l'IA dans le domaine de la cybersécurité peut permettre aux départements informatiques de gérer davantage de menaces de manière efficace et pratique. Un regroupement par étiquetage automatisé peut simplifier considérablement la gestion de chacune de ces menaces. En outre, certains problèmes peuvent être résolus par l'algorithme de Machine Learning lui-même.

Délai de réponse en cas de menace

Le délai de réponse en cas de menace fait partie des facteurs clés de l'efficacité d'une équipe de cybersécurité. De l'exploitation au déploiement, les attaques malveillantes sont connues pour leur progression extrêmement rapide. Par le passé, les cybercriminels mettaient parfois des semaines à franchir les autorisations réseau et à invalider les mesures de sécurité avant de pouvoir lancer leur attaque.

Malheureusement, les experts de l'espace de cyberdéfense ne sont pas les seuls à bénéficier des innovations technologiques. L'automatisation est aujourd'hui plus courante dans les cyberattaques. Les menaces comme les attaques via le dernier ransomware LockBit ont considérablement accéléré les délais. Aujourd'hui, une demi-heure suffit pour lancer certaines attaques.

La réponse humaine peut être à la traîne par rapport à l'attaque initiale, même si celle-ci est connue. C'est pour cette raison que de nombreuses équipes sont plus enclines à réagir aux attaques réelles plutôt qu'à prévenir les tentatives d'attaques. D'un autre côté, les attaques non détectées constituent un danger à elles toutes seules.

La sécurité orientée ML peut extraire les données d'une attaque, les regrouper et les préparer immédiatement à des fins d'analyse. Elle peut fournir aux équipes de cybersécurité des rapports simplifiés qui faciliteront le traitement et la prise de décision. Au-delà de la génération de rapports, ce type de sécurité propose également une action recommandée limitant les conséquences et évitant les futures attaques.

Identification et anticipation des nouvelles menaces

L'identification et l'anticipation des nouvelles menaces constituent un autre facteur ayant un impact sur les délais de réponse en cas de cyberattaque. Comme indiqué précédemment, les réponses sont déjà tardives avec les attaques existantes. Les types d'attaques, les comportements et les outils inconnus peuvent également tromper une équipe et ralentir le processus. Pire, les menaces plus discrètes comme le vol de données peuvent parfois rester inaperçues. Selon une étude Fugue d'avril 2020, près de 84 % des départements informatiques craignent que leurs systèmes basés dans le cloud ne soient attaqués à leur insu.

L'évolution constante des attaques menant à des failles d'exploitation zero-day demeure un problème sous-jacent en matière de protection réseau. Mais il y a quand même une bonne nouvelle : les cyberattaques sont rarement conçues en partant de zéro. Les attaques étant souvent développées à partir de comportements, de structures et de codes sources d'attaques antérieures, le Machine Learning dispose d'un chemin pré-existant sur lequel se baser.

La programmation du Machine Learning peut aider à mettre en évidence les points communs entre la nouvelle menace et les menaces précédemment identifiées pour détecter une attaque. Aucune équipe ne peut exécuter cette tâche rapidement. Cela met en lumière le côté indispensable des modèles de sécurité adaptative. De ce point de vue, le Machine Learning peut simplifier l'anticipation de nouvelles menaces et réduire le retard grâce à une sensibilisation accrue.

Capacité du personnel

La capacité du personnel fait partie des problèmes courants auxquels se heurtent un grand nombre d'équipes informatiques et de cybersécurité de par le monde. En fonction des besoins d'une entreprise, le nombre de professionnels qualifiés peut être limité.

Le plus souvent, faire appel à des spécialistes entame sérieusement le budget des entreprises. Le personnel doit non seulement être rémunéré pour son travail quotidien, mais également pouvoir suivre des formations et obtenir des certifications. Il faut rester au fait des exigences des professionnels de la cybersécurité, notamment concernant l'innovation permanente.

Les outils de sécurité basés sur l'IA peuvent permettre de réduire l'équipe et lui apporter ce dont elle a besoin. Même si ce personnel doit rester au fait des avancées technologiques en matière d'IA et de Machine Learning, les économies réalisées et les gains de temps vont de pair avec les exigences d'une équipe réduite.

Adaptabilité

L'adaptabilité n'est pas aussi évidente que les autres facteurs cités, mais peut permettre de modifier radicalement les capacités d'une entreprise en matière de sécurité. Les équipes peuvent manquer de qualification pour adapter leurs compétences aux exigences spécifiques.

Si le personnel n'est pas formé à des méthodes, outils et systèmes spécifiques, vous risquez de constater une baisse de l'efficacité. Même des besoins simples en apparence comme l'adoption de nouvelles politiques de sécurité peuvent faire leur chemin au sein des équipes. C'est dans la nature de l'être humain. Nous ne pouvons pas apprendre et mettre en pratique instantanément. Nous avons besoin de temps. Avec les ensembles de données appropriés, les algorithmes judicieusement formés peuvent être transformés en une solution sur mesure, juste pour vous.

Machine Learning et cybersécurité

Utilisation de l'IA dans la cybersécurité

L'intelligence artificielle dans le domaine de la cybersécurité est considérée comme un super ensemble de disciplines comme la cybersécurité basée sur le Machine Learning et le Deep Learning, mais ne joue pas de rôle à elle seule.

L'IA se concentre par nature sur le « succès ». L'« exactitude » est moins importante. Les réponses naturelles le cadre de la résolution d'un problème sophistiqué sont l'objectif final. Dans une véritable exécution reposant sur l'IA, des décisions indépendantes sont prises. Sa programmation est conçue pour trouver la solution idéale à une situation, plutôt que la conclusion purement logique de l'ensemble de données.

Pour y voir plus clair, nous devons comprendre comme l'IA et ses disciplines sous-jacentes fonctionnent aujourd'hui. Les systèmes autonomes ne s'inscrivent pas dans le cadre des systèmes largement mobilisés, notamment en matière de cybersécurité. Ces systèmes auto-dirigés sont ce que nombre de personnes associent à l'IA. Pourtant, les systèmes basés sur l'IA qui complètent ou renforcent nos services de protection sont pratiques et disponibles.

Le rôle idéal de l'IA en matière de cybersécurité réside dans l'interprétation des schémas établis par les algorithmes de Machine Learning. Naturellement, il n'est pas encore possible pour l'IA d'interpréter les résultats avec les capacités d'un être humain. Les chercheurs s'efforcent de développer ce domaine pour reproduire le fonctionnement de l'intelligence humaine, mais l'IA est un objectif distant qui nécessite que les machines utilisent des concepts abstraits de situations pour les restructurer. En d'autres termes, ce niveau de créativité et de pensée critique n'est pas aussi proche que les rumeurs sur l'IA le laissent entendre.

Comment le Machine Learning est-il utilisé en cybersécurité ?

Les solutions de sécurité basées sur le Machine Learning diffèrent de l'idée que les gens se font de la famille de l'intelligence artificielle. Cela étant dit, elles sont de loin les outils d'IA les plus efficaces dont nous disposons aujourd'hui en matière de cybersécurité. Dans le cadre de cette technologie, les schémas de données sont utilisés pour mettre en lumière la probabilité qu'un événement se produise ou non.

À certains égards, le ML est à l'opposé de l'IA. Le Machine Learning est spécialement orienté « exactitude », mais pas « succès ». Cela signifie qu'il vise à en savoir le plus possible sur un ensemble de données orienté tâche. Il obtient ainsi les performances optimales d'une tâche donnée. Il s'efforce d'atteindre l'unique solution possible à partir des données recueillies, même si elle n'est pas idéale. Avec le ML, il n'existe aucune véritable interprétation des données, ce qui signifie que la responsabilité incombe toujours aux humains.

Le Machine Learning excelle dans les tâches pénibles telles que l'identification et l'adaptation des schémas de données. Les humains ne sont quant à eux guère adaptés à ce type de tâches en raison d'une certaine lassitude et d'une tolérance globalement faible à la monotonie. Ainsi, même si l'interprétation de l'analyse des données reste aux mains des humains, le Machine Learning contribue à structurer les données pour obtenir une présentation lisible et prête à être analysée. La cybersécurité basée sur le Machine Learning existe sous plusieurs formes, chacune présentant des avantages spécifiques :

Classification des données

La classification des données fonctionne en utilisant des règles prédéfinies pour affecter des catégories à des points de données. L'étiquetage de ces points est une partie importante de la création d'un profil d'attaque, de vulnérabilité ou d'autres aspects d'une sécurité proactive. Cette étape fondamentale se trouve au croisement du Machine Learning et de la cybersécurité.

<h3>Mise en cluster des données</h3>

La mise en cluster des données prend les anomalies des règles prédéfinies de classification, les place dans des ensembles de données « en cluster » aux particularités communes ou inhabituelles. Elle peut par exemple être utilisée lors de l'analyse de données d'attaque pour laquelle un système n'a pas encore été formé. Les clusters peuvent aider à déterminer comment une attaque est survenue ou les éléments exploités et exposés. 

<h3>Actions recommandées</h3>

Les actions recommandées améliorent les mesures proactives d'un système de sécurité orienté ML. Il s'agit de conseils reposant sur les schémas comportementaux et les anciennes décisions, fournissant des suggestions d'actions. Précisons de nouveau qu'aucune décision avisée n'est prise via l'IA seule. Il s'agit plutôt d'une structure de conclusion adaptative pouvant atteindre des points de données préexistants pour établir des relations logiques. Ce type d'outil peut considérablement contribuer à répondre aux menaces et à atténuer les risques.

Synthèse des possibilités

La synthèse des possibilités permet de synthétiser les nouvelles possibilités à partir des leçons tirées des données antérieures et des nouveaux ensembles de données inconnus. Elle diffère légèrement des recommandations car elle se concentre davantage sur les chances qu'une action ou que l'état d'un système corresponde à des situations antérieures similaires. Par exemple, cette synthèse peut être utilisée pour une analyse préventive des points faibles des systèmes d'une entreprise.

Prévision prédictive

La prévision prédictive est la fonctionnalité la plus visionnaire des processus du ML. Les résultats potentiels sont prévus via une évaluation des ensembles de données existants. Elle peut être utilisée principalement pour créer des modèles de menaces, présenter la prévention des fraudes ou la protection contre les violations de données , et constitue un élément de base de nombreux terminaux prédictifs.

Exemples d'utilisation du Machine Learning dans le domaine de la cybersécurité

Pour mieux comprendre, voici quelques exemples montrant la valeur du Machine Learning dans le domaine de la cybersécurité :

Classification et conformité de la confidentialité des données

La protection de votre entreprise contre les violations des lois sur la confidentialité est devenue prioritaire ces dernières années. Suite au Règlement général sur la protection des données (RGPD), d'autres mesures ont vu le jour, à l'instar du California Consumer Protection Act (CCPA).

La gestion des données collectées de vos clients et utilisateurs est soumise à ces réglementations. Cela signifie que ces données doivent pouvoir être supprimées sur demande. Parmi les conséquences du non-respect de ces réglementations figurent des amendes salées, ainsi qu'une atteinte à la réputation de votre entreprise.

La classification des données peut vous aider à distinguer les données permettant d'identifier leurs utilisateurs aux données anonymes ou sans identité. Ceci vous évite les analyses manuelles de vastes ensembles de données, anciennes et nouvelles, notamment dans les grandes entreprises ou les organismes plus anciens.

Profils de sécurité des comportements utilisateurs

En constituant des profils personnalisés sur le personnel du réseau à partir des comportements utilisateurs, la sécurité peut être adaptée à votre entreprise. Ce modèle peut ensuite établir à quoi peut ressembler un utilisateur non autorisé, par exemple à partir des anomalies d'un comportement utilisateur. Des caractéristiques précises comme les frappes de clavier peuvent former un modèle de menace prédictif. Avec l'exposition des résultats possibles des comportements utilisateurs non autorisés potentiels, la sécurité orientée ML peut suggérer des recommandations pour réduire les surfaces exposées.

Profils de sécurité des performances système

À l'instar du concept de profil des comportements utilisateurs, un profil de diagnostic personnalisé des performances de votre ordinateur dans son ensemble peut être compilé s'il est sain. La surveillance du processeur et l'utilisation de la mémoire, de même que les caractéristiques telle que l'utilisation élevée de données Internet peuvent indiquer une activité malveillante. Cela étant dit, certains utilisateurs peuvent régulièrement utiliser de hauts volumes de données via des vidéoconférences ou des téléchargements fréquents de fichiers multimédias volumineux. Si on sait à quoi ressemblent généralement les performances normales d'un système, on peut établir ce à quoi elles ne doivent pas ressembler, tout comme les règles de comportement utilisateur mentionnées précédemment.

Blocage des robots basés sur le comportement

L'activité des robots peut épuiser la bande passante entrante des sites Web. C'est notamment le cas pour les sites qui dépendent du trafic Internet comme les sites avec des vitrines d'e-commerce dédiées sans emplacement physique. Les utilisateurs authentiques peuvent se heurter à une lenteur entraînant une perte de trafic et d'opportunités commerciales.

En classifiant cette activité, les outils de sécurité ML peuvent bloquer le Web des robots, quels que soient les outils utilisés, comme les réseaux privés virtuels qui peuvent les rendre anonymes. Les points de données comportementaux sur les parties malveillantes peuvent aider un outil de sécurité ML à former des modèles prédictifs autour de ce comportement et à empêcher de manière préventive les nouvelles adresses Web d'afficher la même activité.

L’avenir des drones

Malgré la vision élogieuse de l'avenir de cette forme de sécurité, certaines limitations sont toujours de rigueur.

Le ML a besoin d'ensembles de données, mais peut entrer en conflit avec les réglementations sur la confidentialité des données . La formation sur les systèmes logiciels nécessite une multitude de points de données pour pouvoir créer des modèles précis, ce qui dénote quelque peu avec « le droit à l'oubli ». Les identifiants humains de certaines données pouvant entraîner des violations, des solutions potentielles devront donc être envisagées. Parmi les mesures correctives possibles figurent des systèmes qui rendent quasi impossible l'accès aux données d'origine une fois que la formation sur le logiciel a été suivie. L'anonymisation des points de données est également à envisager, mais devra être examinée de manière plus approfondie pour éviter de biaiser la logique du programme.

Le secteur a besoin de davantage d'experts en cybersécurité orientée IA et ML , capables de travailler sur ce type de programmation. La sécurité réseau orientée Machine Learning bénéficierait considérablement d'un personnel capable d'assurer son entretien et de l'ajuster si nécessaire. Cependant, le nombre d'individus qualifiés et formés ne suffit pas à répondre à la demande immense en matière de personnel capable de fournir ces solutions.

Les humains ont toujours leur place. Enfin, l'esprit critique et la créativité sont indispensables pour prendre des décisions. Comme mentionné précédemment, ni le ML ni l'IA ne sont dotés de tels attributs. Pour poursuivre dans cette voie, vous devrez utiliser ces solutions afin d'améliorer les performances de vos équipes existantes.

3 conseils pour vous préparer à l'avenir de la cybersécurité

Sur la route de la sécurité orientée intelligence artificielle, vous pouvez suivre quelques étapes pour vous préparer à l'avenir :

  1. Pensez à l'avenir lorsque vous investissez dans la technologie. Les coûts de gestion d'une faille en cas de technologie obsolète ou de recours à une main-d'œuvre redondante seront bien plus importants à mesure que les menaces seront sophistiquées. Garder une longueur d'avance peut aider à atténuer certains risques. En utilisant des solutions avant-gardistes comme Kaspersky Integrated Endpoint Security , vous serez mieux armé pour vous adapter.
  2. L'IA et le ML doivent aider vos équipes, et non les remplacer. Les vulnérabilités existeront toujours car aucun système disponible aujourd'hui sur le marché n'est infaillible. Puisque même ces systèmes adaptatifs peuvent être trompés par des méthodes d'attaques intelligentes, veillez à ce que vos équipes informatiques apprennent à utiliser et à entretenir cette infrastructure.
  3. Mettez régulièrement à jour vos politiques de données pour rester conforme aux règlementations en constante évolution. La confidentialité des données est devenue une priorité pour les entités gouvernementales du monde entier. En tant que telle, elle figurera dans un avenir proche parmi les préoccupations premières des entreprises et des organismes Assurez-vous d'appliquer les politiques les plus récentes.

Articles connexes :

IA et Machine Learning dans le domaine de la cybersécurité — Comment ils vont façonner l'avenir

L'intelligence artificielle (IA) et le Machine Learning dans le domaine de la cybersécurité peuvent alléger les tâches de votre département informatique. Découvrez tout ce que vous devez savoir dans ce guide.
Kaspersky Logo