Les solutions informatiques utilisant l’intelligence artificielle peuvent exécuter des fonctions que les programmeurs ne peuvent gérer avec une programmation régulière qu’avec des performances extrêmes.
Avec l’avènement de l’ère informatique moderne, les cybermenaces sont devenues une partie naturelle de nos vies. Comment les attraper à temps et s’en protéger ?
C’est un combat sans vainqueur clair. La détection précoce et correcte d’une cybermenace est un processus très complexe influencé par plusieurs facteurs. Par exemple, si une vulnérabilité a été identifiée sur un composant de l’infrastructure, quelle est la taille du vecteur d’attaque, s’il est facile d’exploiter la vulnérabilité, si les produits de sécurité utilisés dans l’infrastructure contiennent un mécanisme pour la détecter, si le les processus au sein de l’organisation sont mis en place pour répondre de manière adéquate et opportune à la situation donnée, etc.
Et tout cela n’est qu’une possibilité parmi tant d’autres. Ces derniers temps, l’apparition de logiciels de chantage, appelés ransomwares, est répandue, où l’attaquant, par exemple, effectue une action ‘au nom’ de l’utilisateur qui rend ses données indisponibles – par exemple, par cryptage. Contre rémunération, il propose alors de restaurer ses données. Les mécanismes de détection, dans ce cas, sont entièrement différents du premier cas. Ils se concentrent sur la détection des anomalies dans le comportement de l’utilisateur.
Quelles solutions sont actuellement les plus fiables contre les cyberattaques ? Surtout pour les entreprises, les institutions ou les organisations qui ne peuvent pas se permettre de voir leur sécurité violée.
Les attaquants sont conscients des techniques de détection et essaient de les éviter, donc une protection réussie consiste principalement en des méthodes qui utilisent des informations opportunes. Par exemple, un fabricant de dispositifs de sécurité surveille ce qui se passe sur Internet ou sur le dark web, et s’il détecte de nouveaux logiciels malveillants, il prépare un mécanisme de détection et de protection.
Les technologies de détection d’anomalies de nouvelle génération sont des produits qui n’ont pas de règles prédéfinies pour détecter une attaque mais analysent en permanence divers paramètres du trafic réseau ou de l’activité des utilisateurs et recherchent des anomalies pouvant indiquer une cyberattaque. Cela les rend très efficaces pour détecter les cybermenaces.
L’intelligence artificielle est également mise au premier plan dans la cybersécurité. Comment peut-il aider à détecter les cybermenaces ?
Par exemple, la détection d’anomalies est souvent mise en œuvre à l’aide de techniques d’apprentissage automatique (apprentissage automatique – ML, un sous-ensemble de l’intelligence artificielle). Même si aucune intelligence artificielle n’a atteint la qualité de l’intelligence humaine, elle nous dépasse, nous les humains, dans certains domaines.
Par exemple, à partir de l’analyse de texte, après avoir rempli plusieurs conditions (disponibilité d’un volume suffisant du texte d’un autre auteur), il est possible d’identifier l’auteur par une simple analyse fréquentielle de l’occurrence des mots et de leurs combinaisons. Une telle analyse prendrait beaucoup de temps pour une personne ordinaire, alors que le machine learning peut trancher en quelques secondes.
Lors de la détection d’anomalies dans le comportement de l’utilisateur, de nombreux paramètres sont évalués, par exemple, la fréquence à laquelle l’utilisateur se connecte à des systèmes individuels, d’où et quels composants logiciels il utilise, etc. Même si un attaquant devait prendre le contrôle complet du compte d’un utilisateur, il devrait imiter très précisément le comportement d’un utilisateur particulier pour éviter le mécanisme de détection utilisant des méthodes d’apprentissage automatique.
À quoi cela ressemble-t-il en pratique ? Comment fonctionnent ces solutions ?
De plus en plus de fabricants de sécurité intègrent des méthodes de machine learning. Le fabricant investit souvent beaucoup d’argent dans le développement afin que les mécanismes puissent être décrits plus précisément. Un tel exemple passionnant est la connexion d’utilisateur à distance. Avec l’aide de l’apprentissage automatique, un ou plusieurs modèles sont créés avec des informations typiques pour un utilisateur spécifique (par exemple, à partir de quelle adresse IP il se connecte, à quelle heure, à quelle fréquence, avec quel appareil, combien de temps depuis la dernière connexion ou durée de la connexion) et si un changement par rapport au modèle « appris » est détecté, une alarme est générée ou le lien est rejeté.
Et tout cela sans entrer d’informations sur l’utilisateur dans le système de détection. Ici, nous supposons que les utilisateurs ont leur routine et se comportent plus ou moins de la même manière. Bien sûr, il arrive qu’ils se connectent en dehors de leur performance. Ici, il est possible de comparer le comportement avec le reste de la population, éliminant ainsi la survenue d’une fausse alarme.
Un autre exemple est le phishing. Dans une certaine mesure, il est possible de reconnaître si le texte est caractéristique du phishing en analysant le texte de l’e-mail, par exemple en analysant les mots et les relations entre eux ou la fréquence de leur utilisation. Dans le cadre de cette analyse, nous partons de l’hypothèse que le texte écrit par l’homme dans la correspondance commerciale a des caractéristiques spécifiques qui sont naturelles à l’intelligence humaine.
Pourtant, leur identification par les humains est plus complexe et souvent impossible, et l’apprentissage automatique est bénéfique. La phase critique est ce que l’on appelle l’ingénierie des fonctionnalités, c’est-à-dire sur la base des fonctionnalités sur lesquelles le modèle sera créé. Ici, au contraire, la représentation humaine est irremplaçable.
Existe-t-il d’autres exemples ?
Un exemple est la protection des portails Web accessibles depuis Internet. Avec l’aide de l’apprentissage automatique, il est possible de reconnaître les mouvements de la souris de l’utilisateur, qu’il s’agisse d’une personne en direct ou d’un programme qui la déplace. Un modèle homme-souris est souvent créé à l’avance et formé sur un échantillon approprié de personnes pour être suffisamment générique.
Ici aussi, l’apprentissage automatique fonctionne avec l’hypothèse que les mouvements de la souris humaine sont spécifiques, limités par les propriétés biologiques de la main humaine et ses réactions. Par conséquent, si un attaquant crée un programme qui accède automatiquement à un portail Web, il est possible de reconnaître qu’il s’agit d’une activité programmée, même s’il utilise les bons identifiants. De cette manière, il est possible d’identifier diverses activités menant à des cyberattaques.
À qui conviennent-ils et qui devrait les atteindre ?
Il n’est limité par rien. La zone dans laquelle ces techniques sont utilisées doit être adaptée à cela. Par exemple, nous définissons une valeur seuil comme suffisante, cela n’a pas de sens d’appliquer l’apprentissage automatique.
Comment une telle intelligence artificielle peut-elle aider les entreprises ?
L’humain n’est pas le seul facteur limitant de la cybersécurité. L’attention d’une personne qui analyse la situation sécuritaire est sans doute moindre la nuit ou à la fin des heures de travail, donc les mécanismes de détection vont progressivement remplacer les personnes. Au contraire, dans l’ingénierie des fonctionnalités, les gens sont irremplaçables. Cette coopération conduit à une efficacité élevée et à un taux d’erreur plus faible, améliorant ainsi les conditions commerciales.
Les solutions basées sur l’IA sont-elles la nouvelle tendance en matière de cybersécurité ?
L’intelligence artificielle existe depuis longtemps, mais ces dernières années ont vu une augmentation massive de son utilisation, c’est donc une nouvelle tendance.
L’intelligence artificielle sera-t-elle de plus en plus utilisée dans ce sens ?
Tout indique qu’il sera de plus en plus utilisé. Les plateformes de développement de modèles d’intelligence artificielle et la puissance de calcul nécessaire sont courantes et abordables. De plus en plus, l’intelligence artificielle est utilisée pour un scénario particulier même sans connaissances théoriques en mathématiques, et on parle alors d’implémentations de boîtes noires.
L’utilisation plus large de l’intelligence artificielle est également facilitée par l’apprentissage par transfert, où le modèle créé réplique un autre modèle publié avec des modifications minimes. Enfin et surtout, l’intelligence artificielle, ou apprentissage automatique, peut être utilisée dans une certaine mesure même sans un expert dans le domaine donné (apprentissage non assisté). Néanmoins, les résultats doivent être validés par un expert dans le domaine fourni.
Mais la raison la plus importante est que les solutions utilisant l’intelligence artificielle peuvent exécuter des fonctions impossibles ou extrêmement difficiles à mettre en œuvre avec une programmation régulière. Tout cela me porte à croire que l’intelligence artificielle sera plus souvent utilisée dans presque tous les domaines de la sécurité informatique.
Combien coûte une telle protection ? Est-ce financièrement gérable pour l’entreprise, l’institution ou l’organisation ? Un tel investissement en vaut-il la peine ?
Bien que les fabricants aient des prix différents pour les produits dotés d’intelligence artificielle ou aient créé des produits uniques, au fil du temps, la fonctionnalité de l’intelligence artificielle fera partie intégrante des produits sans que le prix des produits n’augmente.
Les cybermenaces évoluent constamment, tout comme les solutions de cybersécurité. Que prévoyez-vous pour cette zone ?
C’est une question délicate. En principe, il est similaire aux antibiotiques, où des bactéries résistantes aux antibiotiques sont créées. Aussi, dans le domaine de la cybersécurité, émergent des techniques de cyber-intrusion résistantes aux mécanismes de détection actuels. Par conséquent, le développement et la recherche doivent se poursuivre ; même la meilleure technologie sera dépassée pour qu’elle tourne en rond.
Les discussions éthiques surgissent souvent avec l’intelligence artificielle, qui n’est probablement pas pertinente dans la lutte contre les cybermenaces.
Ce n’est tout simplement pas le cas. On me demande souvent si les informations collectées peuvent être utilisées à mauvais escient ou si l’intelligence artificielle peut mettre une personne en danger. Le cerveau humain, même s’il est moins efficace que l’intelligence artificielle dans des tâches spécifiques, la complexité de l’intelligence est si étendue qu’il est possible qu’aucune intelligence artificielle ne puisse atteindre une telle complexité.
Les informations peuvent être utilisées à mauvais escient ; par conséquent, comme tout composant logiciel de qualité, les logiciels d’intelligence artificielle doivent également protéger contre de telles utilisations abusives. Mais c’est un autre domaine de la cyberprotection. Cependant, je vois des problèmes éthiques principalement dans la taille de l’industrie de la défense, par exemple, les drones dotés d’une intelligence artificielle capables de tuer une personne.