L’intelligence artificielle : nouvel allié de la cybersécurité ?

Si les techniques d’intelligence artificielle sont devenues extrêmement populaires, beaucoup seront surpris d’apprendre qu'il ne s'agit pas d'un phénomène si nouveau...

Beaucoup ignorent encore que le premier virus informatique a précédé l’internet Public. En 1971, Bob Thomas, un universitaire américain en informatique a écrit Creeper. Creeper a été le premier programme informatique à pouvoir migrer d’un réseau à l’autre. Celui-ci voyageait entre les terminaux de l’ARPANET en imprimant le message : “Je suis le Creeper, attrapes-moi si tu peux”. Ce phénomène s’est auto-répliqué grâce à son collègue universitaire et inventeur, Ray Thomlinson, ayant créé le premier virus informatique documenté. Afin de contenir Creeper, Thomlinon a écrit Reaper, un programme qui poursuivait Creeper à travers le réseau et l’effacerait, créant ainsi la première solution de cybersécurité au monde.

À l'époque, il aurait été difficile d'imaginer comment un virus aussi simple et inoffensif tel que Creeper puisse être le précurseur du développement de logiciels contre les malwares et les rançons tels que ILOVEYOU et WannaCry. 

Heureusement, la cybersécurité plus moderne a parcouru beaucoup de chemin depuis Reaper. De nos jours, toute mention de la cybersécurité conduira inévitablement à une discussion liée autour de solutions de sécurité basées sur l'intelligence artificielle (IA) et le machine learning (ML). En effet, la prochaine génération de menaces à la cybersécurité nécessite des programmes agiles et intelligents qui peuvent s'adapter rapidement à de nouvelles attaques et imprévus.

Le potentiel de l'intelligence artificielle et du machine learning pour relever ce défi n'est certainement pas passé inaperçu aux yeux des décideurs en matière de cybersécurité, dont la grande majorité estime que l'intelligence artificielle est fondamentale pour l'avenir du marché de la cybersécurité. Selon une récente étude, 70% des entreprises estiment que, sans l’IA, elles ne seront pas en mesure de réagir en cas de cyberattaque majeure*. Pourtant, malgré le battage médiatique, nombreux sont les décideurs à ne pas avoir de connaissances suffisantes en lien avec le fonctionnement des solutions de sécurité alimentés par l'intelligence artificielle et le machine learning. En effet, il existe des freins au déploiement de l’IA à grande échelle : 70% des dirigeants interrogés par cette même étude déclarent ne pas savoir comment déployer les cas d’utilisation, en phase test (Proof Of Contest), à grande échelle.

Récemment les techniques d’IA par réseau neuronal sont devenues extrêmement populaires, favorisant notre perception sur le côté innovant et ingénieux. Pourtant, beaucoup sont souvent surpris d’apprendre que l’IA n’est pas un phénomène si nouveau.  En effet, les réseaux neuronaux existent depuis plus d’un demi-siècle et certains des premiers réseaux neuronaux à avoir été commercialisés pour de la détection et destruction de malwares ont été développés il y déjà 20 ans . Ils protégeaient, à l’époque de Windows 98, contre les virus des secteurs de démarrage des disquettes.

Un autre phénomène surprenant, reste le nombre de lieux différents où le machine learning peut aider à protéger les systèmes. Cela peut être dû à la réaction des gens par rapport à la mention "machine" du machine learning. En réalité, le ML n'est qu'une autre forme d'apprentissage à partir d'exemples - un concept que tout le monde peut comprendre.  Ainsi, qu'il s'agisse d'un humain ou d'une machine qui apprend à exécuter une tâche, tout ce qui compte, c'est le niveau de sophistication et d'expertise qui en résulte.

L’exemple le plus représentatif est le clavier prédictif du smartphone. Il détient un petit moteur lié au ML qui lit la façon dont est rédigé un message, apprend du style de frappe exécuté à prédire ce qui pourrait être dit par la suite - ou au moins ce qu’on a l'intention de dire ensuite. Au fur et à mesure, plus le texte est nourri, plus le moteur intelligent peut apprendre avec plus d'assurance et de précision sur la manière dont doit être transcrit le message. La valeur ajoutée résulte dans cet assistant non humain qui peut prédire un message.  A la place d’un clavier prédictif, si le ML est alimenté par son propre dactylographie, souris et autres activités, il peut en apprendre encore plus sur le comportement unique, en devenant un expert pour reconnaître les différentes particularités.

A la place de saisir du texte, si l’on y introduit un malware, un détecteur se mettra en marche. Si celui-ci est nourrit d'attaques réseau, vous obtiendrez un IDS. Ces variations, ainsi que de nombreuses autres, se retrouvent dans les produits réseau et EPP. C'est le premier type d'usage auquel beaucoup de gens pensent concernant l'IA et la cybersécurité, et c'est probablement la plus répandue et la plus mature.

Dans la pratique, le ML est beaucoup plus complexe que le simple fait de charger un ordinateur pour résoudre un problème. Comme pour Creeper et Reaper, le développement de la détection des menaces basées sur le ML et l’IA exige un haut degré de compréhension basé sur l'expérience ainsi qu'une approche innovante qui est toujours à quelques pas de l'attaquant.