Quand l’intelligence artificielle renforce la cyber-sécurité

Quand on parle d'intelligence artificielle, les gens font souvent référence à un monde dominé par des robots, dans un univers de science-fiction. Mais l'intelligence artificielle est bien ancrée dans la réalité et est déjà utilisé dans de nombreux domaines, tels que les achats en ligne, les systèmes de surveillance et bien d'autres.

En cyber-sécurité, l'intelligence artificielle est implémentée via des techniques d'apprentissage automatique. Les algorithmes d'apprentissage automatique permettent aux ordinateurs d'apprendre et de réaliser des prédictions sur la base de données déjà connues.

Ce type de technologie a déjà prouvé son efficacité dans le traitement de millions de malwares au quotidien. Les analystes de sécurité doivent ainsi examiner plus de 400 000 nouveaux programmes malveillants découverts chaque jour, selon les statistiques de l’organisme de tests indépendant AV-Test. Les méthodes de détection traditionnelles (les systèmes basés sur les signatures) ne permettent malheureusement pas, dans la plupart des cas, de fournir de protection de manière proactive. De plus, les éditeurs de sécurité doivent également gérer des services spécialisés tiers fournissant des mécanismes d'obfuscation permettant d’aider la dissimulation des malwares vis-à-vis des solutions antivirus traditionnelles.

Les cyber-criminels ont souvent un temps d’avance, mais les technologies d'apprentissage automatique remettent les compteurs à zéro.

Appliquer l’Intelligence Artificielle à la cyber-sécurité

Les éditeurs de sécurité cherchent régulièrement des moyens afin d’implémenter cette technologie à leurs outils de cyber-sécurité.

Bitdefender a par exemple commencé à intégrer des technologies d'apprentissage automatique dans ses systèmes de détection il y a sept ans. Un grand nombre d'algorithmes de regroupement et de classification sont utilisés pour répondre correctement et rapidement à la question cruciale : « Ce fichier est-il sain ou malveillant ? » Par exemple, si un million de fichiers doivent être analysés, les échantillons peuvent être divisés en petits groupes (appelés clusters) où chaque fichier est semblable aux autres. Ensuite, les analystes en sécurité n’ont plus qu’à analyser un fichier dans chacun des groupes et à appliquer les résultats aux autres.

Plus important encore, l’apprentissage automatique permet d’obtenir des taux de détection particulièrement élevés pour les nouveaux logiciels malveillants en circulation.

Une solution de sécurité efficace se doit de pouvoir protéger contre les épidémies de malwares de type Zero-Day. Chaque type de technique d'apprentissage automatique utilisé pour la détection de malwares doit être adapté de façon à obtenir un nombre le plus faible possible de faux positifs (proche de 0), un taux de détection qui complète celui fourni par les méthodes de détection traditionnelles et une façon « d’apprendre » de grands ensembles de données (via le GPU- processeur graphique – ou les techniques de parallélisme).

Le principe fondamental de l'apprentissage automatique est de reconnaître des « patterns » qui se dégagent des expériences passées et de réaliser des prédictions en conséquence. Cela signifie que les solutions de sécurité peuvent réagir à de nouvelles cyber-menaces, même inconnues, plus rapidement que les systèmes de détection de cyber-attaques automatisés utilisés jusqu’alors. Cette technologie est également adaptée pour lutter contre les attaques sophistiquées telles que les APT, où l’objectif est de rester invisible le plus longtemps possible au sein d’un réseau.

L’homme contre la machine

Brouillant les frontières entre l'homme et la machine, l'intelligence artificielle est une cyber-arme particulièrement intéressante, mais elle ne peut pas prendre en charge seule l’ensemble de la lutte contre les cyber-menaces. Les systèmes d'apprentissage automatique peuvent notamment générer des faux positifs et l’intervention humaine est nécessaire pour réviser ces algorithmes avec des données corrigées.

Nous surveillons toujours la performance de nos algorithmes : lequel est le meilleur et dans quelles circonstances un algorithme doit être modifié pour donner de meilleurs résultats. Cependant, les algorithmes d'apprentissage automatique sont, dans l'ensemble, plus précis dans l'évaluation des menaces potentielles au sein de grandes quantités de données de renseignement que leurs homologues humains. Ils savent également repérer les intrusions plus rapidement.

Une approche hybride, où l’apprentissage automatique est supervisé par des analystes humains, offre les meilleurs résultats à ce jour.

En ce qui concerne le futur de l'IA, il est presque impossible d’en prédire l'évolution. Cependant, l’année prochaine, l'apprentissage automatique va très probablement se concentrer sur la création de profils spécifiques pour chaque utilisateur. Si une action ou un comportement de l'utilisateur ne correspond pas aux modèles prédéfinis, celui-ci en sera informé. Par exemple, un pic de téléchargements inhabituel réalisé en un court laps de temps pourra être marqué comme suspect et analysé de plus près par un expert humain.