L’IA est entrée dans une phase de maturité dans la Cyber. Les algorithmes ont démontré leur pertinence dans les SOC comme sur les postes des utilisateurs. Son adoption doit aujourd’hui s’accélérer alors que les attaquants l’exploitent déjà depuis longtemps.
Au-delà du buzz actuel autour de l’IA, les algorithmes sont une réalité dans la cybersécurité depuis de nombreuses années. Fortinet exploite l’IA depuis plus de 10 ans et traite de l’ordre de 130 To d’échantillons de malwares quotidiennement. « L’IA est arrivée dans le secteur avec les moteurs d’analyse comportementale et ceux-ci sont aujourd’hui implémentés dans toutes les solutions EDR/XDR/MDR » commente Christophe Auberger, Directeur Technique et Evangéliste Cybersécurité chez Fortinet. « Ces solutions analysent les données au moyen de modèles de Machine Learning pour en déduire des modèles de fonctionnement ce qui permet de repérer un comportement anormal. » L’expert souligne l’efficacité de l’approche pour détecter le déclenchement d’un ransomware ou une tentative d’attaque réseau.
Les cas d’usages des IA Cyber se sont multipliés
Ces dernières années, d’autres usages innovants ont émergé, notamment dans la gestion de la configuration des solutions de sécurité. « Quelle que soit la solution de sécurité, la gestion de la configuration est critique pour son efficacité » résume Christophe Auberger. « La meilleure solution de sécurité ne vaut rien si elle n’est pas paramétrée correctement, car celle- ci apportera une impression de fausse sécurité qui peut conduire au pire. » Cette gestion de la configuration est aujourd’hui particulièrement critique lorsqu’on sait que certaines entreprises font évoluer leurs services Web plusieurs fois par jour. Si la configuration du WAF (Web Application Firewall) ne suit pas le même rythme, la protection ne sera pas optimale, voire totalement inadaptée et dangereuse. L’IA participe activement à l’amélioration de la posture de sécurité de l’entreprise explique Christophe Auberger : « L’IA ou plus particulièrement cette fonction d’auto-apprentissage apporte deux avantages. D’une part, elle apporte la garantie que la configuration des éléments de sécurité correspond bien aux caractéristiques de la ressource exposée. Ainsi, la sécurité s’insère complètement dans le cycle DevOps des applications. D’autre part, cette automatisation libère des ressources humaines qui sont aujourd’hui rares. Cela permet de confier aux experts des tâches à plus haute valeur ajoutée. »
Vers une notion d’analyste Cyber « augmenté »
Le SOC (Security Operations Center) constitue l’autre grand champ d’application de l’IA. Ces centres sont submergés d’événements de sécurité à analyser. Il s’agit essentiellement de faux positifs, mais les tâches de tri mobilisent énormément de ressources. La capacité à traiter d’énormes volumes de données sans jamais se lasser de l’IA peut être mise à profit pour éliminer une bonne partie de ces faux positifs. On estime que les algorithmes de Deep Learning actuels éliminent jusqu’à 80 % des événements à traiter.
Les attaquants eux-mêmes utilisaient déjà l’IA pour découvrir les vulnérabilités dans les systèmes, ce que l’on appelle le ‘fuzzing assisté’ ou encore inventer de nouveaux malwares et dernièrement utilisent des outils comme ChatGPT pour rédiger des messages de phishing crédibles. Devant ces nouveaux défis, l’IA est l’outil qui permettra aux humains de faire face aux menaces de demain.
_________________________________________________________________________
>EXPERTISE
Christophe Auberger
Directeur Technique
Evangéliste Cybersécurité de Fortinet
« Il ne faut pas tout attendre de l’intelligence artificielle. Les algorithmes ne peuvent pas tout faire et la part de l’humain restera prépondérante lorsqu’il faut prendre une décision qui engage la sécurité de l’entreprise. Néanmoins, l’IA va augmenter les capacités des analystes qui vont pouvoir exprimer leur talent dans l’analyse de réels incidents de sécurité plutôt que de trier des faux positifs. »
