Accueil Expert L’IA et le machine learning pour lutter contre les cyber-attaques

L’IA et le machine learning pour lutter contre les cyber-attaques

Jean-Nicolas Piotrowski, PDG fondateur d’ITrust, explique comment l’intelligence artificielle et le machine learning aident à identifier les risques et anticipent les problèmes.

75% des entreprises ont été victimes d’attaque au cours des 2 dernières années. 8 sur 10 n’avaient pas consciences d’avoir été compromises. 99% ne possèdent que les outils basiques de protection (firewall, antivirus, sauvegardes, …)Aujourd’hui les outils actuels sont obsolètes pour lutter contre les cyber-menaces. Et si l’intelligence artificielle et le « machine learning » était la solution pour lutter contre les cyber-attaques ?

Identifier les risques et à anticiper les problèmes, juste avant qu’ils ne surviennent

L’Intelligence artificielle et le « machine learning » jouent un rôle de plus en plus important en matière de cybersécurité. En effet, ces dernières technologies peuvent en théorie aider les entreprises à identifier les risques et à anticiper les problèmes, juste avant qu’ils ne surviennent. Leur principe est de créer des logiciels qui peuvent s’adapter pour lutter contre les évolutions constantes des attaques par la construction de modèles de comportements suspects. Les mécanismes de sécurité traditionnels se basent sur des signatures ou des scénarios de malveillances rigides pour détecter des menaces. La plupart des logiciels en cyber sécurité ont été créés en élaborant des règles pour détecter les vulnérabilités ou les activités suspectes. Ces technologies sont aujourd’hui dépassées par des menaces nouvelles, indétectables par les outils conventionnels. Le principe du « machine learning » change la donne. Jusqu’à présent, la technologie de machine learning telle que nous la concevons la plus efficace est complémentaire d’outils tels que les SIEM.

Les avantages d’une telle application dans la sécurité permettent une identification plus rapide des vulnérabilités mais également une augmentation des taux de détection et la découverte de nouveaux circuits d’attaque qui étaient auparavant indétectables. Le machine learning est basé sur « ce que vous ne savez pas que vous ne savez pas » a déclaré Avivah Litan vice-président et analyste au cabinet d’étude Gartner. Reveelium utilise la technique du “machine learning” pour essayer de stopper les menaces internes et les comportements à hauts risques des employés. « Nous travaillons sur l’analyse des changements dans le comportement et la prévision des risques avant qu’ils ne surviennent », explique Jean-Nicolas Piotrowski.

Détecter des comportements machines ou utilisateurs anormaux.

Le logiciel peut identifier les personnes qui sont sur le point par exemple de quitter l’entreprise et qui apparaissent donc comme employés susceptibles d’intercepter des documents importants de l’entreprise ou des données à des fins personnelles.

La technologie permet de détecter les serveurs ou applications compromises par un APT ou un malware. Nous sommes capables de détecter des comportements machines ou utilisateurs anormaux.

Ces logiciels peuvent ainsi apprendre comment chaque employé (ou chaque application) travaille, comme la manière de saisir les données, les fichiers accédés à des moments précis, les typologies d’emails ou tout autre mode d’utilisation qui en font une empreinte unique appartenant à chaque employé ou à chaque asset (machine, application équipement) rendant ainsi impossible pour une cybercriminel d’usurper l’identité d’un employé ou un malware de corrompre un serveur. Le concept « Machine Learning » aurait pu détecter les agissements de Snowden avant qu’il n’eut l’opportunité de voler les données, ou aurait pu détecter la propagation des virus et APT récents (Target, Sony, …) avant qu’ils n’aient pu extraire les données confidentielles des entreprises.

Les limites des technologies de Sandboxing et d’antivirus

D’autres technologies comme le Sandboxing se positionnent sur ce marché de détection d’anomalies, mais avec des résultats très mitigés : l’attaque sur les magasins Target en Décembre 2013 n’avait pas été détectée en amont par Fireeye par exemple. Les technologies « Endpoint » ou basées sur des agents sont très impactantes sur les systèmes de production. Les antivirus ou des produits comme BMC en sont de bons exemples. Les entreprises se détournent de plus en plus de ces technologies très impactantes. Le Sandboxing, quand à lui, est reconnu par les experts comme étant une technologie qui peut être assez facilement détournée. Les malware ou APT adoptent aujourd’hui des comportements de sommeil lorsqu’elles sont en environnement de Sandbox. Les technologies basées sur les sondes d’analyse de flux ont du mal à supporter les grandes quantités de données et se retrouvent incapables de faire face à la fragmentation de malware.

Nous avons choisi avec Reveelium de baser notre technologie sur les logs ou syslogs d’applications ou de SIEM afin d’être compatibles avec toutes les technologies, ne pas induire d’effet de bord et être très facilement intégrable dans un SI de supervision. La technologie est ainsi compatible avec tout type d’environnement et n’a pas d’impact sur la production.
Pour en savoir plus sur Reveelium

 

Jean-Nicolas Piotrowski