L’IA en Cybersécurité, une arme à double tranchant

86% des responsables de gestion des risques et de la cybersécurité des 50 plus grandes entreprises mondiales considèrent que l’intelligence artificielle aura un impact sur leur stratégie de cybersécurité d’ici 2025. L’intelligence artificielle est désormais utilisée dans les organisations pour renforcer les dispositifs de cybersécurité. Mais elle est également employée par les cybercriminels, de plus en plus nombreux et inventifs. Etat des lieux et perspective.

Des solutions de machine learning renforcent, améliorent et souvent remplacent les activités humaines de contrôle et surveillance. Des processus continus de monitoring ont été mis en place, permettant une sécurisation accrue des dispositifs et des données. Trois principaux domaines de la cybersécurité ont bénéficié des approches de l’intelligence artificielle selon le cabinet de conseil en stratégie Booz Allen Hamilton : la détection des attaques, l’analyse des comportements et l’évaluation des risques.

Détecter et prévenir les agressions

Les solutions d’apprentissage machine ont fortement amélioré la détection des attaques. Elles ont favorisé une modélisation pertinente des profils et des scénarios de menaces. Il est désormais possible de repérer de manière précoce les signaux associés à une intrusion. Les risques de faux positifs, qui ont longtemps réfréné la mise en place d’alertes totalement automatisées, sont devenus minimes.

Alerter en cas de comportement inhabituel

L’intelligence artificielle a également permis de modéliser et prédire les comportements futurs à partir des historiques et d’envoyer des alertes si les profils observés dévient de ceux attendus. La détection de types inédits d’attaques s’est fortement améliorée, permettant de déjouer l’inventivité des attaquants avec une efficacité renforcée.

Mesurer les risques

La compilation de données nombreuses et les outils du big data ont en outre mis à disposition des éléments statistiques mermettant d’évaluer les menaces potentielles, la probabilité de leur survenue, la gravité de leur impact. Les décideurs peuvent ainsi prendre des décisions étayées pour définir les priorités des correctifs à mettre en place, les actions de remédiation à prévoir ainsi que les mesures d’atténuation des risques nécessaires.

Des attaques de plus en plus sophistiquées

Malheureusement, les méthodes et techniques de l’intelligence artificielle sont également utilisées par les cybercriminels, pour automatiser des tâches d’agression, ou imiter des comportements humains afin de leurrer les systèmes de sécurité. Les malfaiteurs capitalisent aussi sur le COVID et le télétravail pour élaborer des techniques plus efficaces.

La plateforme de services Taskrabbit a ainsi été l’objet d’une attaque coordonnée de déni de service, menée par un robot pilotant de nombreuses machines asservies. Les systèmes de cybersécurité de la plateforme n’ont pas réussi à enrayer cette attaque, débordés par le nombre d’intrusions. Le site a finalement été désactivé, mais dans l’intervalle les coordonnées bancaires de plus de 100 millions d’utilisateurs avaient été dérobées.

Une façon simple d’observer la puissance et la diversité des menaces pilotées par l’intelligence artificielle est d’aller sur Facebook ou Twitter, où des robots créent des comptes factices, publient automatiquement des messages, suscitent des polémiques, envoient de fausses nouvelles, répondent à des utilisateurs. Leur sophistication grandissante les rend difficiles à discerner des vraies personnes, et la désinformation à grande échelle constitue finalement aussi une cyberattaque. Des outils sont à leur tour développés pour discerner les contenus humains de ceux générés par des machines, dans une lutte sans fin, de plus en plus complexe et parfois inégale entre le glaive et le bouclier.

La cyberprotection, une course de fond

Comme l’explique Guillaume Poupard, directeur de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) : la cybersécurité, « c’est toujours une course pour aller aussi vite que nos attaquants, protéger le cœur de notre souveraineté nationale, notre économie, nos entreprises et nos citoyens. ».

Les attaques traitées par l’ANSSI ont augmenté de trois à quatre fois depuis 2019, passant de 54 attaques de grande ampleur en 2019 à 128 dans les 9 premiers mois de 2020. Ces attaques ciblées suivent un modèle maintenant familier : une intrusion informatique, un blocage de données et une demande de rançon en échange du rétablissement de l’accès (rançongiciel).

Trois Mastères Spécialisés de Télécom Paris préparent à cette course au long cours :