Quelle Intelligence Artificielle pour votre (cyber)sécurité ?

0

En tant que responsable IT, une question vous revient sans cesse : quid de l’optimisation et de l’accélération de vos activités ? Il se trouvera d’ailleurs souvent quelqu’un pour lancer dans la conversation des termes comme « intelligence artificielle » ou « apprentissage automatique » afin de savoir si vous suivez l’actualité technologique.    

Est-ce le cas ?

La notion d’intelligence artificielle peut se révéler déroutante. Elle est devenue une expression fourre-tout applicable à diverses méthodes et technologies. Dans le domaine de la cybersécurité, le sigle IA revient dans trois scénarios d’utilisation courants que les entreprises doivent cerner afin de déterminer si elles utilisent véritablement l’intelligence artificielle, et surtout, ce qu’elles peuvent en attendre.   

Analyse de mégadonnées (big data)

Le premier scénario d’utilisation a trait à l’analyse des mégadonnées (big data). L’IA utilise l’analyse statistique du trafic – site web, e-mails ou autres données réseau – pour prédire le type d’anomalies susceptibles de constituer des menaces pour la sécurité, des virus par exemple. Cette méthode analyse diverses formes de données comme, dans un e-mail, l’origine du message, le cheminement suivi et son objet afin de déterminer si la communication en question présente un risque. 

Néanmoins, ce processus, relativement élémentaire, recense souvent des faux positifs, assimilant le trafic légitime à du trafic malveillant. Pour éviter cette erreur, des analystes humains prennent le relais sur les menaces potentielles. Il ne s’agit pas ici d’une IA « pur jus » puisque le processus décisionnel humain est prépondérant. 

Apprentissage supervisé

L’apprentissage automatique (ou machine learning) correspond à un usage plus authentique de l’IA. Il est fait appel à un algorithme, qui classe les données en groupes distincts. Dans le cadre d’un apprentissage supervisé, cet algorithme apprend à catégoriser les données, par exemple à partir d’images annotées de chats et de chiens, de manière à pouvoir reconnaître ces animaux à l’avenir. À condition d’être alimentés avec des données en nombre suffisant sur les types de communications s’apparentant à des cybermenaces, les algorithmes d’apprentissage automatique peuvent distinguer les menaces du trafic légitime. 

L’apprentissage supervisé, c’est en quelque sorte une analyse « survitaminée » de mégadonnées. Cette technique permet de prendre des décisions judicieuses plus rapidement que ne peut le faire l’homme. Sachant qu’il n’est pas rare que les menaces actuelles soient constituées de plusieurs centaines d’éléments, plus vous réussissez à les isoler et à les mettre en corrélation, meilleure est la qualité de la détection.

Pourquoi est-ce tellement primordial ? Les experts en sécurité ne mettront une mesure en œuvre qu’à condition d’être certains d’avoir correctement cerné le problème. La crainte d’obtenir un résultat erroné oblige bien souvent à s’en remettre à l’homme pour prendre la décision finale. Il est essentiel d’être en mesure de recourir à l’apprentissage automatique pour isoler plus sûrement les cybermenaces si nous voulons automatiser les prises de décision sans que la validation humaine ne ralentisse le processus.

Apprentissage non supervisé

Avec l’apprentissage non supervisé, l’IA se révèle sous une forme encore plus pure. Il est fait appel à un algorithme qui analyse des données et en retire ses propres enseignements sans apprentissage préalable. Par exemple, en examinant des images en ligne, celui-ci apprendra de lui-même que certaines représentent des vaches, d’autres des zèbres. Mais le processus risque d’être fastidieux. Donnez carte blanche à un algorithme d’apprentissage non supervisé sur des données de sécurité, et ne soyez pas surpris si plusieurs années s’écoulent avant qu’il ne livre un éclairage intéressant. Ceci dit, les enseignements tirés au final risquent de changer véritablement la donne peut-être aura-t-il relevé certaines lignes de code associées à des virus ou attaques, par exemple. 

Une analogie simple

La réflexion sur l’IA peut aussi être menée autrement, en usant d’un moyen mnémotechnique. Il est en effet possible d’établir une analogie avec la cuisine. L’analyse de mégadonnées s’apparente à la préparation de beans on toast. Cette recette ne nécessite que deux ingrédients simples, mais encore faut-il veiller à disposer la juste proportion de haricots blancs des plus savoureux sur du pain de mie grillé. L’analyse de données recherche les exemples où cet équilibre laisse à désirer et met en évidence l’anomalie de sorte qu’elle puisse être rectifiée par un chef cuisinier.

L’apprentissage supervisé, lui, nous permet d’étoffer la liste des ingrédients. Comme s’il s’agissait de préparer un excellent curry en permutant à l’envi les épices. Plus les ingrédients sont nombreux, plus le nombre de permutations est élevé. L’apprentissage supervisé accomplit ce que tout cuisinier lambda s’évertue à faire – réaliser des essais par milliers avant de tenir ce subtil mélange de piment et de citron vert, pour le plus grand plaisir des papilles.

Entre-temps, l’apprentissage non supervisé peut être comparé aux recettes mises au point par le chef britannique Heston Blumenthal, l’une des grandes figures de la gastronomie moléculaire et de la cuisine expérimentale. Celui-ci ne se fixe aucune limite quant aux ingrédients et méthodes utilisés. Et n’a aucune idée préconçue en matière de sensations gustatives acceptables.

Quelle personne, saine d’esprit, songerait à utiliser du gravier comme ingrédient culinaire ? Récemment, Heston Blumenthal a préconisé d’ajouter du gravier au potage pour l’épaissir. Les autres chefs et les clients sont partagés, et incapables de dire s’il s’agit ou non d’une idée de génie. Une telle incertitude ne serait pas d’un grand secours dans la détection des menaces, domaine dans lequel la riposte se doit d’être ferme.  

Si l’apprentissage non supervisé n’est nullement entravé par notre approche mentale et c’est bien là ce qui fait sa force il faut cependant s’y reprendre à plusieurs fois avant de revenir avec une recette utilisable. L’acquisition des connaissances risque de prendre énormément de temps, pour des résultats parfois très mitigés. L’aspect positif, c’est que vous pouvez finir par trouver quelque chose d’extraordinaire que nos cerveaux d’êtres humains n’auraient tout simplement pas imaginé.

La prochaine fois que quelqu’un vous pose des questions sur l’IA ou affirme avoir une solution de cybersécurité extraordinaire, pilotée par l’IA, pour vous, demandez-vous si celle-ci est adaptée aux impératifs de votre activité. Il vous faudra tenir compte de la quantité de données produites par votre activité, mais aussi de leur aspect stratégique et de leur utilité. Peut-être n’avez-vous besoin que de quelques haricots blancs sur un toast. Peut-être avez-vous déjà servi un curry. Ou peut-être recherchez-vous de toutes nouvelles saveurs. 

L’IA peut vous proposer de nouveaux niveaux de cybersécurité pour simplifier vos opérations. Tout l’enjeu consiste à déterminer le mieux adapté à votre activité.

Share.

About Author

Greg Day est VP et CSO EMEA chez Palo Alto Networks. Il est responsable et supervise les opérations de Palo Alto Networks sur la zone EMEA et est en charge du développement des renseignements sur les menaces et sur les meilleures pratiques en matière de sécurité. Fort de 25 années d'expérience dans le domaine de la sécurité numérique, Greg a aidé des organisations, grandes et petites, du secteur public et privé, à mieux appréhender, prévenir le risque et à mettre en place des stratégies pour le gérer. Il est reconnu pour sa vision, son leadership et comme un chef de file de l'industrie, un expert capable de traduire les défis technologiques en solutions exploitables. Greg a débuté sa carrière chez Dr Solomon, plus tard McAfee (maintenant Intel Security) en tant qu'analyste support technique. Au cours de sa carrière de 20 ans, il a occupé plusieurs postes: consultant en sécurité informatique, responsable des meilleures pratiques mondiales, analyste de sécurité et directeur de la stratégie de sécurité. Pendant ce temps, il a conduit différentes initiatives pour soutenir les clients, les partenaires et les équipes de vente, a rédigé plusieurs articles sur des sujets de sécurité et a fourni des conseils aux gouvernements. Chez Symantec, il a occupé le poste de directeur de la sécurité pour la région EMEA, gérant une équipe d'experts en sécurité et pilotant la stratégie régionale de cybersécurité de Symantec. Plus récemment, en tant que VP et CTO EMEA chez FireEye, il était responsable de la stratégie technologique. Greg siège actuellement au comité directeur de la National Crime Agency du Royaume-Uni, mais également au comité conseil du UK-CERT / CISP et à la communauté de recherche VFORUM, occupant même auparavant le poste de vice-président du groupe de cybersécurité techUK. Il a fait partie de la Convention du Conseil de l'Europe sur la cybercriminalité et a participé à un certain nombre de groupes industriels et consultatifs. Il est largement reconnu comme un leader de l'industrie et est un visage familier à de nombreux événements de cybersécurité, en tant que conférencier régulier et a également été un porte-parole actif auprès des médias dans une grande partie de la région EMEA. Greg est titulaire d'un BSc (Hons) en Business Information Systems de l'Université de Portsmouth.

Leave A Reply