Cybersécurité : des cyber-attaquants aux RSSI, à qui l’IA va-t-elle vraiment profiter ?
- [One Blog.] Bonjour Olivier. Avec l’ouverture au grand public des services d’IA générative, le mot « IA » est devenu très « à la mode ». Sans que l’on sache d’ailleurs s’il est utilisé à bon escient ou pas. Dans le domaine de la cybersécurité, pouvez-vous nous rappeler ce qu’est une « IA » ?
- [O.B.] Comment être certain que l’IA non supervisée prenne à chaque fois la bonne décision en cybersécurité ?
- [O.B.] Si on se place du côté des cyber-attaquants, comment l’IA pourrait-elle jouer un rôle majeur ?
- [O.B.] Pour vous, quels sont les grands enjeux à venir pour l’IA dans la cybersécurité ?
- [O.B.] Et sur le long terme ?
- [O.B.] N’y aurait-il pas également des enjeux autour de la cybersécurité des TPE / PME ?
- [O.B.] En conclusion ?
[One Blog.] Bonjour Olivier. Avec l’ouverture au grand public des services d’IA générative, le mot « IA » est devenu très « à la mode ». Sans que l’on sache d’ailleurs s’il est utilisé à bon escient ou pas. Dans le domaine de la cybersécurité, pouvez-vous nous rappeler ce qu’est une « IA » ?
[Olivier Dania.] C’est vrai que le mot « IA » est très à la mode en ce moment. Il a l’avantage de faire appel à un imaginaire collectif que le grand public peut facilement appréhender, c’est sans doute pour cela qu’il est très populaire. En réalité, dans le domaine cyber, le terme « IA » regroupe différents modèles, que nous pouvons résumer à deux grandes approches : celle d’un apprentissage dit « supervisé » et celle d’un apprentissage « non supervisé » ou « autonome ».
L’apprentissage supervisé est l’approche « traditionnelle ». Derrière, c’est du machine learning, tout simplement. Les technologies s’appuient sur des masses de données pour identifier des comportements anormaux, par exemple. Ces données d’apprentissage peuvent provenir d’un SOC, lorsqu’il y en a un, de services de cyber-intelligence ou des différents constructeurs. Dans cette approche, l’IA aide l’humain dans son travail, mais ne prend aucune décision.
Il y a donc aussi des apprentissages non supervisés, dits « autonomes ». Et c’est une approche plutôt tendance en cybersécurité. Elle est notamment utilisée dans des solutions de remédiation automatisée. Ces IA vont toujours avoir besoin de s’appuyer sur des bases de données qualitatives et corrélées assez importantes, mais à la différence qu’elles vont être capables de prendre des décisions et de remédier par elles-mêmes un comportement anormal. Cela permet de gagner en réactivité.
[O.B.] Comment être certain que l’IA non supervisée prenne à chaque fois la bonne décision en cybersécurité ?
[O.D.] Il y a eu en 2022 un exercice de cyber-protection réalisé par l’OTAN qui mettait en compétition plusieurs modèles algorithmiques. Six équipes se sont vu confier la même mission : faire fonctionner les systèmes d’information et les réseaux électriques d’une base militaire fictive pendant une cyberattaque. Sur les six équipes en lice, trois disposaient de solutions de cyberdéfense à base d’IA. Au final, toutes les équipes ont réussi l’exercice. Mais celles qui étaient aidées de l’IA ont pu bénéficier d’un autre regard, disons « non humain », pour cartographier l’étendue de la menace. Leurs réponses ont pu être mieux ciblées, plus réactives et plus efficaces, certaines ayant pu être complètement automatisées.
On peut tirer de cet exercice plusieurs enseignements :
- les IA autonomes sont assez efficaces dans des environnements complexes, dans la détection de signaux faibles, l’analyse des menaces et la remédiation. Dans le cas de l’exercice mené par l’OTAN, elles ont même permis de patcher certaines vulnérabilités sur le système défendu, avant même que l’humain ne s’en rende compte.
- L’humain doit avoir confiance à 100% dans l’IA autonome qui l’épaule, pour lui confier les yeux fermés la prise de décision sur un périmètre donné.
- Pour l’instant, l’IA ne peut pas remplacer « l’expérience humaine » en cybersécurité. La très grande différence entre une IA (même la plus intelligente qui soit) et l’humain, c’est que l’IA va toujours procéder selon des schémas établis, qu’on le veuille ou non, quand l’humain est capable d’aller à l’encontre des schémas pour prendre une décision.
Cela signifie qu’en l’état actuel des connaissances, pour fonctionner, l’IA est dépendante du volume et de la qualité des données qui la nourrissent. Par exemple, une attaque qui viendrait altérer les données affaiblirait considérablement la justesse de la réponse autonome des IA.
[O.B.] Si on se place du côté des cyber-attaquants, comment l’IA pourrait-elle jouer un rôle majeur ?
[O.D.] À date, je n’ai pas d’exemple concret d’attaque où l’IA aurait joué un rôle prépondérant. Trois points me viennent toutefois à l’esprit. ChatGPT a permis de créer un malware d’essai, appelé BlackMamba, capable d’échapper à la détection de grandes solutions de cybersécurité. Ensuite, les progrès des modèles LLM (Large Language Model) vont sûrement permettre aux cyber-attaquants de travailler l’ingénierie sociale, avec des emails de phishing mieux conçus, sans faute d’orthographe. Enfin, les technologies en IA capables de faire du deep-fake audio / vidéo pourront sans doute déjouer les outils de sécurité utilisant la biométrie.
Mais ces types d’attaques auront-ils une chance contre des défenses dopées elles aussi à l’IA ? L’avenir le dira.
[O.B.] Pour vous, quels sont les grands enjeux à venir pour l’IA dans la cybersécurité ?
[O. D.] L’un des grands sujets est le traitement des menaces « Zéro Day », autrement dit des vulnérabilités insoupçonnées dans un logiciel ou dans un système d’information, pour lesquelles il n’y aurait donc aucun correctif publié. L’IA aurait sans doute un rôle à jouer, en détectant ce type de faille avant les cyber-attaquants et y remédiant de manière automatisée.
L’autre grand sujet du moment dans la cybersécurité, c’est le manque de compétences disponibles sur le marché. l’IA pourra pallier la carence en ressources humaines pour évaluer la résilience des systèmes d’informations en amont via des audits, pentests, diagnostics techniques automatisés (par l’IA) et compléter les systèmes de défense en place.
Pourquoi pas aussi se servir de l’IA pour accompagner des RSSI (Responsables de la sécurité des systèmes d’information) dans la mise à jour de leur politique de sécurité ? Une IA qui serait enrichie avec des flux de cyber-intelligence, et de la donnée fraîche sur l’état des menaces actuelles, devrait être capable d’émettre des recommandations d’évolution de la politique de sécurité d’une entreprise.
[O.B.] Et sur le long terme ?
[O.D.] C’est le réglementaire. L’Union européenne travaille d’ailleurs en ce moment sur le sujet, avec l’AI Act . Il faut évidemment réglementer certains aspects de l’IA, pour préserver notre vision de l’éthique et des droits humains. En revanche, il ne faudrait pas non plus que cela déséquilibre notre rapport de force avec des États, des groupes de cyber-attaquants ou des pirates isolés, moins regardant sur cette facette de l’IA. Nous risquerions de nous retrouver avec des IA de défense moins intelligentes que les IA attaquantes.
[O.B.] N’y aurait-il pas également des enjeux autour de la cybersécurité des TPE / PME ?
[O.D.] Effectivement. Les TPE et PME n’ont pas toujours les moyens de se doter des technologies, ou des compétences en interne, pour contrer les cyberattaques. L’IA pourrait leur permettre de disposer de solutions de supervision 24/7 par exemple, avec un premier niveau de détection automatisée de certaines menaces, voire de remédiation automatisée. Seules les attaques les plus sévères, qui dépasseraient les limites d’intervention de l’IA, seraient alors confiées à des analystes humains. Cette solution permettrait de réduire les coûts de cybersécurité pour les plus petites organisations.
[O.B.] En conclusion ?
[O.D.] La démocratisation des technologies IA est une évolution majeure, dans le domaine de la cybersécurité comme pour la société. Je pense que l’IA va permettre d’automatiser beaucoup de tâches répétitives et nous faire gagner énormément de temps. Cependant, la puissance des IA actuelles dépend de la qualité de la donnée sur laquelle elle s’appuie. L’humain a donc encore un rôle à jouer, notamment dans la vérification des résultats produits par l’IA. La grande révolution arrivera sans doute d’ici deux ou trois ans, lorsque les IA ne s’appuieront plus sur les principes du machine learning ou du deep learning. Il s’agira alors de requestionner leurs limites et le rôle que nous souhaitons leur attribuer, dans nos vies comme en cybersécurité.