Sécurité des applications : oui à l'IA, à condition qu'elle repose sur des bases saines !

Plusieurs solutions d'IA sont actuellement disponibles pour assurer la sécurité des applications. Quels sont leurs objectifs ?

Omnisciente, omnipotente et omniprésente, l'intelligence artificielle (IA) générative reste le grand sujet de ce début d'année. Cette technologie fait l'objet d'analyses et de commentaires dans tous les domaines d'activité, et a également infusé bien au-delà des cercles professionnels. En effet, l'IA a un impact sur la société dans son ensemble, du secteur bancaire à l'industrie alimentaire, en passant par la santé et les transports, la liste n’étant bien entendu pas exhaustive... Dans quelle mesure s'agit-il d'une représentation idéalisée de la modernité qu'il conviendrait de nuancer ? La question mérite d'être posée si l'on veut mieux comprendre ce que l'Intelligence Artificielle peut nous apporter, notamment en termes de sécurité applicative.

Toutes les IA ne se valent pas

Ces derniers mois, le secteur de la sécurité des applications n'a pas échappé au « bruit informationnel » associé à l'IA. Englobant les logiciels, les mécanismes et les équipements utilisés pour identifier et réduire les vulnérabilités des systèmes d'information, la sécurité applicative a vu le déploiement d'un certain nombre de solutions, toutes prétendant être basées sur l'IA. Cependant, les modules d'IA actuellement connectés aux systèmes n'ont pas le même objectif. En d'autres termes, il faut comprendre la finalité de l'Intelligence Artificielle avant de considérer qu'elle contient toutes les réponses en matière de cybersécurité.

Il existe par exemple des solutions avec des objectifs ciblés, comme la réduction du nombre de « faux positifs », c'est-à-dire de notifications considérées à tort comme des alertes par les équipes du SOC (Security Operation Center). D'autres se concentreront sur la recherche automatisée de propositions correctives, avec une logique d'entraînement permettant des gains exponentiels intéressants.

Entraîner l'IA avec des jeux de données propriétaires

En matière de cybersécurité, les organisations doivent faire des promesses aussi claires que possible. À cet égard, il est impératif que l'IA proposée agisse de manière dynamique, c'est-à-dire en poursuivant jour après jour une logique d'apprentissage, respectant ainsi un processus d'amélioration continue. Prenons le cas de la recherche automatisée de propositions de corrections que nous venons d'évoquer. Ici, l'intelligence artificielle va nous aider de plusieurs manières, notamment pour nous permettre de remédier à des centaines de vulnérabilités dans le code d'un logiciel. Pour ce faire, nous devons l'entraîner non pas avec des données open-source reposant sur de vastes quantités d'informations non vérifiées, mais via des ensembles de données saines, qui offrent une plus grande précision. 

Des palliatifs pour 3 vulnérabilités sur 4

Ce type d'entraînement permet d'entrer dans une dynamique vertueuse d'amélioration du moteur de remédiation. En effet, l'intégration d'un module d'IA doit pleinement permettre l'auto-apprentissage, tout en augmentant la couverture des vulnérabilités. Cette intégration offre également un autre avantage significatif, récemment observé de manière empirique par les équipes techniques de Veracode : selon les premières analyses effectuées par Veracode sur le langage Java, trois vulnérabilités détectées sur quatre (74%) peuvent désormais être corrigées à l'aide de l'outil de remédiation alimenté par l'IA, Veracode Fix. Cela signifie que les équipes de sécurité voient le temps de correction des failles se réduire, ce qui permet tout à la fois d’améliorer leur posture de sécurité, de réduire les risques et leur dette de sécurité, d’accélérer la sortie des produits et de réaliser des gains d'efficacité opérationnelle. La capacité d'innovation de l'organisation y gagne, de même que sa capacité à se concentrer sur la création de logiciels, au détriment des actions de réparation.

Ainsi appliquée à la sécurité des applications, l'intelligence artificielle doit être abordée avec nuance et précision, toujours dans une optique stratégique. De quoi mon organisation a-t-elle vraiment besoin ? C'est la question qu'il faut se poser avant de s'engager dans un outil d'IA. Dans ce contexte, certaines solutions sont plus appropriées que d'autres, générant un progrès continu. C'est le cas de l'IA entraînée sur des jeux de données saines.

Grâce à elle, l'organisation peut progressivement rembourser sa « dette de sécurité », en remédiant aux innombrables vulnérabilités accumulées au fil du temps. N'est-ce pas la meilleure façon de commencer une nouvelle année ?