AVIS D’EXPERT : quand l’IA arme les États-nations, comprendre et contrer les cybermenaces avancées

Chronique de Nadir Izrael, cofondateur et CTO d’Armis

 

 

Prévenir les attaques sophistiquées de type APT (Advanced Persistent Threat) est un défi majeur : ces cybermenaces furtives permanentes disposent de ressources et d’outils largement supérieurs à ceux des équipes de cybersécurité classiques. Une APT n’a en effet besoin que d’une seule faille, une vulnérabilité exploitée dans un actif critique ou des identifiants compromis, pour s’infiltrer durablement dans un système. Pendant ce temps, les équipes de sécurité doivent elles analyser et prioriser des centaines d’alertes en continu, dans un environnement saturé d’informations. Si plus de 81 % des responsables IT affirment que la mise en place d’une cyberdéfense proactive est leur priorité, la réalité reste alarmante : 58 % d’entre eux adoptent majoritairement un mode réactif, ne passant à l’action qu’après la détection d’une intrusion.

 

De plus, l’IA révolutionne aujourd’hui les méthodes des cybercriminels, augmentant significativement la rapidité et la précision de leurs attaques. Près de 73 % des professionnels expriment une préoccupation majeure face à l’utilisation croissante de l’IA par des États-nations pour concevoir des cyberattaques toujours plus sophistiquées et ciblées. Il est impératif que les responsables sécurité saisissent en profondeur les dynamiques d’une cyberguerre dopée à l’IA, où les menaces s’adaptent et évoluent en temps réel. Pour contrer efficacement ce nouvel enjeu, ils doivent décoder leur nature mouvante et automatisée afin de déployer des stratégies de défense en miroir proactives et résilientes.

 

APT et cyberguerre font en effet généralement la paire ! Le groupe Volt Typhoon est attribué à la Chine, Cozy Bear à la Russie, tandis que Reaper serait originaire de Corée du Nord, pour ne citer que quelques-uns de ces acteurs majeurs.

 

Quand on analyse le mode opératoire de Volt Typhoon par exemple, on s’aperçois que l’attaque débute par une phase de reconnaissance approfondie des architectures réseau, suivie de l’exploitation de vulnérabilités pour obtenir un premier accès. L’objectif final étant d’escalader les privilèges jusqu’à un accès administrateur. Ce type d’approche est désigné sous le terme TTPs (Tactics, Techniques and Procedures) et il est crucial pour les équipes de sécurité de bien connaître et comprendre les TTPs les plus courantes afin de mieux anticiper ces attaques. Cozy Bear de son côté est une APT russe bien connue qui a mené des attaques ciblées pendant plus d’une décennie contre les systèmes du gouvernement américain. D’ailleurs la brèche de sécurité SolarWinds qui a permis de prendre pleinement conscience des risques relatifs aux chaines d’approvisionnement, a été exploitée par Cozy. Ses TTPs reposent principalement sur l’obtention d’accès via des identifiants compromis par phishing ou par des connexions RDP non autorisées. Malheureusement que l’on parle d’équipements vulnérables, d’identifiants exposés ou d’ingénierie sociale, les acteurs malveillants ont vite compris que l’IA pouvait grandement les aider à améliorer le score d’attaques réussies.

 

 

Les attaques basées sur de l’IA sont adaptatives, plus furtives et susceptibles de provoquer des impacts encore plus sévères que les cyberattaques de dernière génération. Des chercheurs en sécurité ont démontré leur efficacité. Si l’on considère que Cozy Bear utilise majoritairement de l’ingénierie sociale, il est particulièrement préoccupant de constater que ce groupe pourrait désormais automatiser la création de messages hautement personnalisés, facilitant ainsi des campagnes de phishing à grande échelle. De même, un groupe comme Volt Typhoon, spécialisé dans la détection d’équipements vulnérables, pourrait exploiter des modèles d’IA entraînés pour scanner de manière ciblée une vulnérabilité spécifique ou pour concentrer ses efforts sur une seule cible afin d’identifier précisément ses points faibles. L’IA peut aussi lancer automatiquement une attaque sitôt qu’elle découvre une vulnérabilité et ce, sans la moindre intervention humaine. Elle peut même automatiser le développement d’un malware pour dynamiquement générer du code afin d’échapper à toute détection.

Tout ceci n’est hélas que la partie émergée de l’iceberg. Ces scénarios, déjà observés, constituent parmi les plus récurrents et représentatifs des menaces actuelles et bien d’autres sont très probablement en maturation.

 

Si les organisations ne peuvent en aucun cas modifier la nature de la menace, elles peuvent en revanche choisir leur façon de riposter. Et avec une majorité d’entre elles qui fonctionnent encore sur le mode réactif, il est vital que les responsables sécurité puissent être dans la capacité d’anticiper l’attaque.  La sécurité préventive repose sur une visibilité complète 360 degrés des environnements IT, OT, IoT, IoMT et Cloud. Il ne s’agit pas seulement d’établir un inventaire exhaustif des assets, mais aussi de comprendre leurs interconnexions et d’évaluer leurs vulnérabilités, afin de prioriser efficacement les risques et planifier des actions de remédiation adaptées.  La bonne nouvelle, c’est que les solutions de sécurité basées sur l’IA proposent un large éventail de capacités pour contrer efficacement les cyberattaques. Parmi elles, l’analyse comportementale capable de détecter tout écart par rapport aux profils d’activité habituels.

 

 

Adoptons la même logique que nos adversaires. Puisqu’ils utilisent l’IA pour automatiser la détection de vulnérabilités et l’exécution d’attaques, faisons de même en défense. Grâce à la sécurité pilotée par l’IA, identifions nos angles morts, inventorions nos actifs vulnérables, automatisons la chasse aux menaces, et même reconfigurons en temps réel nos paramètres de sécurité. C’est en passant à l’offensive que nous pourrons enfin reprendre le contrôle.