Alors que les dépenses informatiques reliées à la cybersécurité croissent à un rythme effréné, les coûts engendrés par les failles de sécurité augmentent davantage. Les responsables de la sécurité des systèmes d’information (RSSI) s’entourent d’une gamme imposante de produits liés à la cyberprotection, sans toutefois se sentir totalement confiants face aux cyberattaques. De nombreuses raisons font en sorte que les mesures de sécurité nous semblent défaillantes, notamment, la disparition quasi totale des environnements de travail traditionnels (en raison de la pandémie actuelle, du CloudComputing, et de la mobilité), en plus de la sophistication grandissante des cyberattaques. Puisque la plupart des produits de sécurité sont conçus pour comprendre les logiciels malveillants ou les attaques, nous sommes sans cesse à la poursuite des menaces plutôt qu’à l’avance sur ces dernières. L’intelligence artificielle (IA) et l’apprentissage machine (AM) peuvent offrir un avantage certain aux professionnels de la sécurité informatique en leur donnant un moyen d’appliquer de bonnes pratiques de cybersécurité et de réduire la surface d’attaque, plutôt que d’être constamment à la poursuite d’activités hostiles.
Comment réduire les menaces à la cybersécurité
Le principe du moindre privilège est l’un des plus anciens principes de la sécurité de l’information, comme l’indique la citation originale de Jerry Saltzer : « Chaque programme et chaque utilisateur du système doit fonctionner en utilisant le moins de privilèges possible pour accomplir sa tâche ». Si nous appliquions ce principe à nos environnements informatiques, nous aurions considérablement réduit la surface d’attaque. Bien que cela n’élimine pas l’importance de surveiller les menaces, cela simplifie le problème.
La structure d’une bonne solution comprendrait donc deux éléments :
- Un élément fondamental qui réduit la surface d’attaque en appliquant le principe du moindre privilège
- Une pièce complémentaire qui contrôle le risque résiduel en surveillant les menaces
L’apprentissage machine et l’intelligence artificielle dans la cybersécurité peuvent-ils contribuer à réduire la surface d’attaque ?
L’apprentissage machine (AM) est un sous-domaine de l’intelligence artificielle (IA). Il s’agit d’un mode d’apprentissage par lequel un agent évalue et améliore ses performances et son efficacité sans que son programme soit modifié, en acquérant de nouvelles connaissances et aptitudes à partir de données et/ou en réorganisant celles qu’il possède déjà (Office Québécoise de la langue française, 2020). Grâce à l’apprentissage machine, nous avons constaté des améliorations phénoménales dans le domaine de l’intelligence artificielle, comme la détection de sujets dans les images et les vidéos, la reconnaissance vocale, le traitement du langage naturel, les voitures à conduite autonome, les moteurs de recommandation, les jeux comme les échecs, les soins de santé, etc. Certains de ces éléments ont des règles bien fermes, comme les échecs, d’autres comme les voitures ou le traitement de la parole, ont peu de règles pouvant être utilisées pour les définir. Cependant, dans un contexte d’apprentissage machine en cybersécurité, la problématique est qu’il y a peu ou pas de données à apprendre, ce qui est une condition préalable à l’apprentissage approfondi des algorithmes.
La chasse aux cyberpirates est particulièrement difficile en raison de trois facteurs :
- Les adversaires sont très sophistiqués.
- Ils ne sont assujettis à aucune règle.
- Il y a une pénurie de données sur les logiciels malveillants ou les attaques.
Néanmoins, il est toujours plus efficace de garantir le bien que de chasser le mal. Cette approche s’améliore avec l’essor de l’IA/AM moderne. Les techniques de l’IA/AM sont idéales pour atteindre une cyberhygiène et réduire la surface d’attaque à grande échelle, puisque cela nécessite une compréhension automatisée de l’état prévu d’une application.
Il existe deux avantages distincts qui en font la technique idéale pour l’IA/AM:
- Il existe des règles pour le comportement d’un bon logiciel (elles sont nombreuses, mais l’IA/AM peut en tirer parti, les mettre à jour et améliorer la sécurité en conséquence).
- Il existe de nombreuses données appelées « données pour les bons logiciels » (en anglais : « data for goodware »).
Le principal défi est le changement constant à grande échelle. La nature du changement est toutefois prévisible et suit certains cycles. C’est le genre de problème dans lequel l’IA/AM excelle. L’utilisation de l’IA et de l’AM pour atteindre une cyberhygiène et mettre en place des environnements à moindre privilège est un objectif audacieux, mais réalisable, qui nous aidera à sécuriser les environnements informatiques modernes contre un paysage de menaces en constante évolution.
Pour plus d’informations à ce sujet : https://www.fortinet.com/fr/solutions/enterprise-midsize-business/security-operations
Traduction libre de l’article : https://biztechmagazine.com/article/2018/06/role-artificial-intelligence-cybersecurity
Définition apprentissage automatique : http://gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=8395061