Comment le Machine Learning peut compléter vos solutions de sécurité existantes ?

0

C’est un fait, et nous le répétons, les stratagèmes utilisés par les pirates évoluent de jour en jour et deviennent non seulement plus complexes mais aussi plus efficaces et plus nombreux.

Pour faire face à l’évolution des cyberattaques, nombre d’entreprises travaillent aujourd’hui à améliorer la détection de ces malicieuses offensives, et ce même avant qu’elles ne se produisent, comme nous l’avons déjà évoqué dans ce blog.

Cette dynamique est aujourd’hui possible grâce à l’utilisation combinée de solutions de sécurité dites « traditionnelles» (scanners de vulnérabilités…) à des analyses avancées et à l’usage de l’apprentissage automatique et du Machine Learning au sein de nouvelles solutions de sécurité informatique.

Ces nouvelles solutions implémentées de Machine Learning vont aider les entreprises et organisations à soulever différents types de comportements malveillants qui sembleraient différer des comportements habituels présents sur leur système d’information.

Nous verrons ici, de manière plus précise, comment le Machine Learning peut donc compléter vos solutions de sécurité existantes et quelles différences peuvent être identifiées entre ces deux types de solutions.

Nous verrons également qu’un usage combiné de ces solutions peut, en étant accompagné de bonnes pratiques de sécurité, des connaissances de vos experts en sécurité, être la clé d’une sécurité informatique des plus efficaces.

  • Machine Learning / Intelligence Artificielle : une confusion subsiste

Si nous souhaitons traiter ici de solutions implémentées de Machine Learning, et d’en souligner les bienfaits pour votre sécurité informatique, il est important de tout d’abord éclaircir et préciser quelques définitions.

En effet, il subsiste aujourd’hui une certaine confusion autour de la différence entre l’apprentissage automatique (ou Machine Learning) et l’Intelligence Artificielle (aussi appelée IA).

La distinction entre ces deux technologies réside dans le fait que le Machine Learning est la mise en œuvre pratique de l’Intelligence Artificielle, et constitue en somme un sous-ensemble de la science qu’est l’IA, qui elle, regroupe un large éventail d’autres champs d’études.

Le Machine Learning est donc un processus, un ensemble d’algorithmes qui vont analyser des volumes de données quantitatives et qualitatives, permettant d’établir des conclusions statistiques basées sur les données analysées.

D’un point de vue « cybersécurité », les solutions informatiques implémentées de Machine Learning vont donc servir à « l’identification précise et efficace des menaces inconnues et à un stade antérieur à celui que l’analyse statique ou comportementale traditionnelle permettrait ».

  • Le Machine Learning, réel coup de pouce, s’il est utilisé à bon escient

Le Machine Learning est donc d’une grande aide au quotidien pour sécuriser les systèmes d’informations, traitant des milliers de données et, de ce fait, faisant gagner un temps précieux aux experts en sécurité et évitant au maximum les faux-positifs. Il est à considérer comme un réel coup de pouce aux outils de sécurité déjà mis en place.

Cependant, il est aussi important de souligner que cette technologie n’est pas toute puissante et infaillible, et qu’elle prend tout son sens quand elle est utilisée en harmonie avec l’expertise humaine, qui amène un traitement au cas par cas des alertes relevées de façon mécanique, la rendant plus efficace et proactive que jamais.

  • Quelle est la plus-value d’une solution implémentée de Machine Learning par rapport aux solutions de sécurité déjà existantes ?

Si le Machine Learning était déjà présent dans nos solutions d’hier (méthodes historiques comme les antivirus se basant sur des signatures, par exemple), il était donc nécessaire de développer de nouveaux outils où le Machine Learning deviendrait une vraie valeur ajoutée pour y faire face.

Aujourd’hui, le plus gros challenge rencontré par l’ensemble du secteur de la sécurité, mais aussi des entreprises qu’il protège, est de trouver comment détecter et faire face aux attaques de demain. S’il est, de nos jours, presque courant de faire face aux attaques déjà identifiées et d’éviter qu’elles se produisent à nouveau, comment faire de même face à des menaces qui n’existent pas encore ? Comment pouvoir prédire la façon avec laquelle ces attaques, toujours plus fréquentes et complexes, seront menées, et sous quelles formes elles seront amenées ?

La réponse alors amenée par le Machine Learning parait comme simple et efficace : si nous analysons les attaques menées jusqu’à aujourd’hui à l’aide de machines (de leur construction à la façon dont l’humain les a pensées), et que nous en analysons les symptômes d’infection « initiale », il y a 99% de chances de pouvoir prédire les attaques qui seront menées demain.

Cette prédiction sera basée sur la seule partie de l’équation que ces attaques ont en commun : elles ont été menées par un pirate, dont le comportement humain devient alors prédictible grâce aux procédés du Machine Learning.

Aussi, une autre des différences essentielles entre une solution implémentée de Machine Learning et une solution de sécurité dite « traditionnelle » se trouve dans l’utilisation de modèles de données pour identifier les fichiers malveillants connus.

Ces modèles de données servent non seulement à identifier les points communs partagés par des attaques malveillantes, mais elles rendent aussi prévisibles et détectables de potentielles attaques de même type.

En somme, les outils implémentés de Machine Learning vont donc :

  • Faire gagner du temps aux équipes de sécurité, traitant des milliers de données, bien plus rapidement qu’auparavant et permettre à ces équipes de se concentrer sur les alertes relevées par ces solutions, afin de les qualifier et de les analyser plus longuement et efficacement
  • Permettre l’identification de comportements anormaux et/ou malveillants sur votre système d’information
  • Rendre prévisible et détectables des cyberattaques déjà connues mais aussi de nouvelles tentatives malicieuses

Comme nous avons pu le voir, le Machine Learning, aide donc à répondre à la problématique rencontrée par les entreprises aujourd’hui, qui cherchent une meilleure protection à toutes les menaces, qu’elles soient déjà connues, ou non, mais également à faciliter le travail de leurs équipes de sécurité afin de les rendre le plus efficace possible.

Il est cependant à rappeler que le Machine Learning est plus un moyen de détection complémentaire à d’autres solutions et surveillances qu’une fin en soi. En effet, si le Machine Learning est incroyablement efficace pour identifier des motifs à partir d’ensembles de données non-structurées, les modèles d’apprentissage automatique ne sont pas infaillibles. Les modèles doivent non seulement être formés pour fournir de la valeur, mais les résultats doivent être analysés, recherchés et complétés par une expertise humaine pour prendre tout leur sens.

En résumé, utilisée conjointement à une équipe qualifiée, le Machine Learning a le potentiel pour remplir la lacune qu’emmène le trop important volume de données à traiter. La solution est donc de donner un coup de main aux équipes d’analystes en les rendant plus agiles, et non de remplacer leurs actions, pour leur permettre de répondre plus efficacement et plus rapidement aux menaces.

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply