Intelligence artificielle et sécurité IT

Quand l’humain et l’artificiel unissent leur intelligence

Les cyberattaques sont de plus en plus sophistiquées, tout comme les systèmes de défense. L’intelligence artificielle et le machine learning s’invitent eux aussi dans la sécurité IT – des deux côtés. Mais quelle est la situation actuelle?

Texte: Andreas Heer, Images: Adobe Stock, 26. Avril 2021

L’intelligence artificielle gagne en importance dans la sécurité IT. Du côté des attaquants comme du côté des défenseurs. Les experts en sécurité sont unanimes. Cela se reflète également dans le nouveau Swisscom Threat Radar, qui classe les cyberattaques avec IA comme une menace croissante pour les entreprises.

Mais difficile de prédire encore quand, comment et où auront lieu ces attaques. Trend Micro, un fournisseur de solutions de sécurité, répertorie ces menaces au «stade évolutif», dans un article de recherche. Et lors de la conférence Black Hat 2018, les chercheurs en sécurité d’IBM ont peut-être déjà démontré la possibilité pour un logiciel malveillant, avec «DeepLocker», d’utiliser l’intelligence artificielle pour contourner les systèmes de détection. Mais ces approches n’ont pas encore dépassé l’étape du Proof of Concept.

L’IA est une question de business model

Selon le rapport de Trend Micro, le machine learning est déjà utilisé sous des formes plus simples pour générer des attaques. Les chercheurs en sécurité ont découvert un outil de craquage de mots de passe qui utilise le machine learning pour augmenter l’efficacité des attaques par force brute sur les comptes d’utilisateurs. Il apprend la façon dont les individus modifient leurs mots de passe pour les rendre plus sûrs. Au lieu de tester toutes les combinaisons de caractères, l’outil essaie de trouver les variations les plus probables des combinaisons connues. Par exemple, d’abord avec «password123», puis «p@ssword123». Le but est de limiter le nombre de tentatives pour deviner le bon mot de passe.

Toutefois, il est toujours coûteux de développer des logiciels malveillants utilisant le machine learning ou même l’intelligence artificielle. La cybercriminalité organisée n’échappe pas à la règle, cet investissement doit être payant. En clair, si ces criminels trouvent un business model pour exploiter l’intelligence artificielle, ils développeront également les technologies correspondantes et investiront les ressources nécessaires.

Le WEF a développé un scénario en ce sens dans un article. Les attaques par hameçonnage pourraient utiliser le machine learning pour envoyer à grande échelle des e-mails à l’authenticité trompeuse. Les messages récupérés sur les ordinateurs des victimes existantes servent d’entraînement. Cela conduirait ensuite davantage de personnes à tomber dans le piège. Ou pour les attaquants, cela augmenterait l’efficacité.

De façon générale, le social engineering présente un certain intérêt pour l’utilisation de l’intelligence artificielle, car de nombreuses technologies nécessaires existent déjà. Les technologies de deepfake, comme le clonage de la voix, pourraient servir à imiter la voix d’un interlocuteur connu afin d’inciter la victime à transmettre des informations confidentielles.

L’intelligence humaine reste importante

Bien entendu, la défense utilise elle aussi le machine learning, p. ex. dans les systèmes de Detection & Response basés sur le comportement, ainsi que dans les plateformes SIEM/SOAR. Mais ici, le défi est l’inverse de celui des attaques: il ne s’agit pas de détecter des modèles, mais des anomalies. Et une anomalie n’est pas toujours une attaque. Peut-être Madame Meier a-t-elle réellement envoyé des e-mails à 23 heures parce qu’elle est en télétravail et qu’elle adapte ses horaires à sa guise.

Par conséquent, même avec des systèmes «intelligents», les êtres humains restent essentiels pour contrôler ces «faux positifs». Le machine learning et l’intelligence artificielle ne vont pas révolutionner les concepts de sécurité IT actuels dans un avenir prévisible, mais ils sont un renfort bienvenu pour les rares experts en sécurité. Demain, le Security Operations Center (SOC) restera un pilier de la cyberdéfense. Peut-être davantage via un Managed Security Service, car l’intelligence humaine sous la forme de spécialistes de la sécurité risque de se raréfier encore.

Newsletter

Vous souhaitez recevoir régulièrement des articles et Whitepapers passionnants sur des activités TIC actuelles?

> Inscription

En savoir plus sur ce thème:

Protection informatique de base: défis

Pour que la sécurité informatique perdure

Whitepaper

Transformation de la sécurité

Réponses aux nouvelles méthodes d’attaque, cibles et exigences de conformité.