Cybersécurité : les défis de l’intelligence artificielle
Il en va de la cybersécurité comme du jeu d’échecs. L’emporte celui qui aura su le mieux détecter les intentions de son adversaire et anticiper ses attaques. En quoi l’arrivée de l’intelligence artificielle modifie-t-elle les règles du jeu ?
N’en déplaise aux plus alarmistes, l’intelligence artificielle (IA), comme toute technologie, n’est ni bonne ni mauvaise en elle-même. Tout dépend de l’usage que les humains en font. Le domaine de la cybersécurité en est une bonne illustration puisqu’aussi bien les acteurs malveillants que ceux qui cherchent à les contrer y ont recours.
« Les cyberattaques sont de plus en plus sophistiquées et elles évoluent en permanence, constate Olivier Bettan, expert en cybersécurité au laboratoire Theresis, à Palaiseau, au sud de Paris. Certains attaquants utilisent des technologies de type IA pour sélectionner leurs cibles, renforcer leurs capacités d’intrusion et trouver les meilleures failles à exploiter. Bref, l’IA leur sert à essayer de passer autant que possible sous le radar des systèmes de détection ».
Pour identifier et parer ces attaques d’un type nouveau, il faut impérativement les connaître et les comprendre au mieux. Comment ? En utilisant également les technologies d’intelligence artificielle. En détectant au plus tôt et le plus rapidement possible ces cyberattaques, l’IA permet aux humains de se concentrer sur des tâches à haute valeur ajoutée dans un secteur où les talents sont rares face aux besoins toujours plus nombreux.
Deux approches
« La détection peut se faire de deux manières », explique Olivier Bettan. La première, qui est aujourd’hui bien maîtrisée, est dite « supervisée ». Elle identifie des situations anormales à partir d’un grand nombre de données hétérogènes. l’IA va donc progressivement apprendre de comportements connus pour mieux identifier les futures attaques.
Ces algorithmes peuvent être paramétrés avec nos clients en fonction de nos propres connaissances métiers, des caractéristiques de leur système d’information, de ce que l’on veut observer et de ce que l’on connait de l’attaquant. Cette approche « sur-mesure » s’inscrit parfaitement dans la cadre de la démarche Thales True AI[1] puisque le client a la maîtrise de son algorithme et une meilleure compréhension des résultats remontés par l’IA, ce qui constitue un avantage déterminant par rapport à d’autres solutions existantes.
« C’est l’approche que nous mettons en œuvre dans notre solution Cybels Analytics, poursuit Olivier Bettan. Cette solution est destinée à des analystes en cybersécurité et leur fournit des capacités de détection et d’investigation avancées, en temps réel ou a posteriori, pour déceler les attaques les plus complexes à partir des données adaptées aux métiers de nos clients. »
Cette plateforme s'appuie non seulement sur des technologies de Big Analitycs permettant d'exécuter des algorithmes personnalisés d’IA, mais aussi sur des bases de connaissance des cybermenaces permettant d'améliorer les capacités de détection et d'analyse, ainsi que sur un centre d'analyse de fichiers pour détecter les codes malveillants les plus complexes. Associant ainsi les connaissances des spécialistes en IA et en Big Data, ou data scientists, et des experts en cybersécurité de Thales, cette solution est capable de fédérer et de créer des synergies entre l’ensemble des outils de détection de l’utilisateur.
La seconde approche, dite « non supervisées », est encore à un stade relativement prospectif. Il s’agit de laisser à l’IA la liberté de catégoriser elle-même les données dont on l’a nourrie et observer les groupements et structures qui en résultent. Mais l’IA ne fournit pas à l’analyste de sens aux groupes qu’elle a constitué automatiquement.
Dans le domaine de la cybersécurité en particulier, une décision de l’IA sans justification interprétable par un opérateur du métier ne sera pas appliquée.
Quelle approche privilégier ? Comme dans tout ce qui touche aux applications de l’IA, c’est à l’humain de choisir : quelle marge de manœuvre sommes-nous prêts à accorder à l’IA ? On connaît les freins actuels au développement d’une voiture totalement autonome et « conduite » par une IA dont on sait, par exemple, que sa lecture des panneaux de signalisation n’est pas complètement fiable et qui, n’est pas encore vraiment capable de « catégoriser » une personne en fauteuil roulant en tant que piéton.
« Dans le domaine de la cybersécurité, remarque Olivier Bettan, on est un peu dans un entre-deux : on peut dire qu’une approche « non supervisée » est plus efficace dans le cas d’une attaque massive et fulgurante qui nécessite une réponse instantanée mais que dans le cas d’une attaque pernicieuse provoquant des effets en cascade, l’approche « supervisée » s’impose. »
1Thales a développé l’approche « Thales TrUE AI » en faveur d’une intelligence artificielle de confiance qui soit transparente (Transparent : lisible, s’en tenant à des spécifications, des règles du jeu clairement établies), compréhensible (Understandable : capable de justifier la raison et la mise en œuvre d’une décision, et ce dans un langage compréhensible par l’humain) et éthique (Ethical : conforme aux cadres légaux et moraux).