On vit aujourd’hui à une époque où les cyberattaques ne cessent de se perfectionner et de se multiplier chaque année. Cependant, les entreprises, les organisations et les gouvernements ne sont pas restés les bras ballants face à une telle recrudescence. Ils lancent l’offensive en usant de l’IA ou intelligence artificielle pour détecter sans distinction, toutes menaces aux comportements sortant de l’ordinaire. En quoi consiste réellement cette nouvelle stratégie ? Nos éclaircissements.
Machine learning et IA comme nouvelle base de la cybersécurité
Savez-vous que chaque jour, plus de 4 000 ransomwares ou virus émergent partout dans le monde ? C’est un chiffre phénoménal au vu des menaces qu’ils représentent, et ce, malgré le fait que celles-ci sont souvent à usage unique. Le comble, c’est que leur nombre est en constante augmentation. Et les RAAS (ransomware as a service), ils se font de plus en plus nombreux sur le darknet à des prix dérisoires.
Dès lors, quelles solutions pour contrecarrer ces attaques en masse plus ou moins ciblées ? C’est peut-être l’IA avec sa capacité d’analyse de comportement et de mouvements latéraux.
Dans un contexte de cybersécurité, l’IA agit comme une machine learning apte à décomposer, apprendre, déchiffrer, se créer une base de données qu’elle va compléter et professionnaliser par elle-même. En matière de détection des menaces virtuelles et de vulnérabilités, cette machine va se baser sur 3 niveaux d’analyse (présentable en filtre pyramidal) que sont :
- Niveau 1 : c’est la base de l’analyse IA. Au jour le jour, de volume grandissant de données, des cyberbruits, des faux positifs et des multitudes d’activités brutes sont traités à ce niveau. Ceux-ci sont englobés sous une base de données de la même trempe que le big data. Les données analysées sont maillées entre elles par l’IA afin de dégager toutes vulnérabilités et menaces. Cette intelligence artificielle peut même auto-apprendre et détecter par elle-même les éléments suspicieux à traiter au niveau 2.
- Niveau 2 : à ce stade, on se charge des anomalies filtrées préalablement au niveau 1. On analyse les plus persistantes, celles pouvant affecter peu ou prou le système d’information touché. C’est une analyse instiguée par des équipes de type CERT (Computer Emergency Response Team) ou SOC (Security Operation Centre).
- Niveau 3 : cette analyse est la dernière phase contre les cyberattaques prenant d’assaut les actifs informationnels. Elle est effectuée par des acteurs de cyberdéfense contrant des attaques très ciblées, notamment celles instiguées par des hackers experts dans leur domaine.
L’anticipation, le principal recours et challenge de la cybersécurité
Pour triompher de cette lutte contre les cyberattaques, seule l’anticipation peut aider. Cependant, il n’est pas toujours facile de prévoir à l’avance les mouvements des cybermenaces et des as du piratage. C’est à ce niveau que l’IA intervient.
Elle apporte à l’humain le nécessaire pour établir une bonne stratégie de cybersécurité : des données pertinentes, une interprétation non structurée de contenus, une détection des menaces furtives, des signaux faibles et une automatisation de multiples actions. Cela lui donne le temps de se focaliser sur les réels risques à repousser. L’IA devient ainsi la pièce maîtresse du Threat Intelligence. Ce dernier analyse en temps réel les vulnérabilités et menaces émergentes au niveau du système d’information lambda, mais aussi auprès des endpoints (smartphones, imprimantes, détecteur d’incendie, alarmes, IoT, etc.).
En somme, le Threat Intelligence combiné à l’IA permet de rendre les dispositifs de sécurité plus anticipatifs aux cybernautes.