Pourquoi et comment l'IA va transformer la threat intelligence

L'IA est en train de révolutionner notre usage des technologies dans de nombreux domaines, y compris la cybersécurité. Qu'en est-il du domaine de la Threat Intelligence ? Explications.

Pour commencer, il s’agit de poser le contexte. Et celui-ci s’appuie sur un triple constat.

En premier lieu, il faut savoir qu’en France, il y a 3 ans, il n’existait aucune offre en matière d’information sur les menaces cyber, ce qu’on appelle les “feeds” (aux Etat-Unis ils ont été lancés quelques années auparavant). C'est-à-dire une entreprise qui vend un flux de données sur les menaces liées à un secteur d’activité déterminé, une situation géographique, ou tout autre critère pertinent.

Or aujourd’hui, il existe 5 acteurs français sur ce marché (et d’autres qui souhaitent se lancer dans les prochains mois). Cette augmentation du nombre d’acteurs est logique au regard des besoins en matière de connaissance des cybermenaces mais cela fait aussi croître de manière exponentielle le volume de données à la disposition des équipes de cybersécurité opérationnelles et stratégiques. D’ailleurs, ces informations concernent bien tous les niveaux d’analyses : technique, non technique, victimologie etc.. Naturellement, toutes ces données nécessitent un traitement pour être exploitables.

Aussi, au sein de cette masse d’information, une bonne partie est souvent inutile voire captieuse pour une organisation. En effet, malgré la multiplication des acteurs sur ce marché, encore trop peu de flux sont suffisamment précis et qualitatifs pour être absorbés tels quels : niveaux de sévérité des menaces, confiance des sources utilisées, ciblage sur un secteur ou une géographie en particulier, etc. L'idéal, pour des équipes qui demeurent à ressources humaines et techniques contraintes même au sein de grandes entreprises, est de disposer d’une information fiable et de qualité, sur laquelle elles peuvent s’appuyer pour prendre des décisions et orienter feuilles de route et investigations.

Partant de ce constat, rendre cette donnée actionnable est l’un des enjeux essentiels de la Threat Intelligence. Il est donc primordial d’être en capacité de trier et de prioriser ces données pour faire ressortir celles qui sont réellement utiles à une entreprise. Cela vaut pour aussi bien au niveau technique, pour éviter les faux positifs par exemple, qu’au niveau stratégique, quand on souhaite avoir une démarche opérationnelle ou stratégique qui prend en compte ces informations et leurs implications.

Depuis deux ans, les technologies liées à l’intelligence artificielle ont connu des progrès majeurs, dont les capacités peuvent dorénavant contribuer largement à résoudre une partie de ces challenges. On parle beaucoup des modèles LLM, néanmoins il y encore de nombreuses questions en suspens sur la qualité des extractions et du traitement.

Comment mettre à profit ces nouvelles technologies d’IA dans la gestion des connaissances et du renseignement sur les cybermenaces

En premier lieu, l’IA est très efficace répondre aux problématiques citées précédemment, à savoir le passage à l’échelle notamment en matière de structuration des données. Actuellement, il est difficile pour les analystes de traiter l’ensemble des informations qui circule, de dégager les tendances tout en effectuant des corrélations pertinentes et, in fine, de produire du renseignement actionnable pour leur organisation. Dans cette situation, une intelligence artificielle apporte une réponse intéressante pour gagner en efficacité et se concentrer sur des tâches à plus forte valeur ajoutée que la capitalisation et la recherche de tendances.

La plateforme OpenCTI repose sur des mécanismes de structuration de données au format graphique, de raisonnement automatique et d’IA qui vont permettre justement de d’alerter en temps réel lorsqu’une information est pertinente. Par exemple, si une organisation a besoin de connaître une information précise, car elle estime avoir été ciblée par le groupe d’attaquant X, il est possible d’en suivre l’activité en provenance de plusieurs sources et de connaître immédiatement tout nouveau code malveillant utilisé par ce groupe. L'agrégation, l’extraction, l’inférence automatique des informations ainsi que leur corrélation dans le temps vont être essentielles pour “trier” la connaissance qui aura une valeur démultipliée et qui pourra être utilisée pour anticiper cette menace ou mieux répondre à un incident qui lui est attribué.

Pourtant, il demeure des cas d’usage plus complexe, comme par exemple se concentrer sur des périodes de temps et des points de connaissance précis. Par exemple, obtenir des informations sur les codes malveillants utilisés par le groupe X, ces deux dernières années, mais uniquement ceux utilisés dans le cadre d’opérations visant des intérêts européens attribuées techniquement à des groupes d’attaquants affiliés à la Russie.

La question étant bien plus complexe, multicritère et multidimensionnelle. Même si l'information est bien présente dans la base de connaissance, il sera difficile d’extraire cette information manuellement. Une IA quant à elle sera en mesure d’effectuer toutes les requêtes nécessaires et de construire une réponse pertinente, voire de générer des visuels vous aidant à comprendre le contexte de ces informations avant leur analyse plus précise.

Rendre les informations actionnables pour prendre les bonnes décisions

Dans une seconde étape, l’IA va également être très utile pour sélectionner les informations actionnables, c'est-à-dire celles qui vont nous permettre de prendre des décisions.

Une fois que l’on a la réponse à notre question sur une menace précise, il faut pouvoir choisir quelles sont les mesures à mettre en œuvre pour réduire le niveau d’exposition et de risque de l’organisation en question. Là encore, l’IA va se révéler très précieuse non seulement pour sélectionner les données sur lesquelles s’appuyer, mais aussi en proposant des stratégies d’atténuation de la surface d’attaque, à court comme à long terme, qui prennent en compte cet environnement précis de menace.

Continuons avec le même exemple. Maintenant que je dispose de la liste des codes malveillants utilisés par le groupe X qui sont susceptibles d’être utilisés à mon encontre, est-ce que j’ai bien mis en place les contre-mesures capables de couvrir le top 10 de cette liste de codes malveillants ? Car c’est le basique en matière de mesure à mettre en œuvre pour réduire le risque.

L’étape d’après sera de mettre en place des indicateurs pertinents qui permettront de détecter une éventuelle tentative d’intrusion via l’un de ces codes, et, grâce à l’IA, d'automatiser à la fois la détection, la transmission de l'information et les premières réponses à incident. Ici encore l’intelligence artificielle va nous faire gagner un temps précieux, et l’on sait à quel point la rapidité de la détection et des premières réactions sont cruciales lors d’une attaque.

Le revers de la médaille

Forcément, toute nouvelle technologie est à double tranchant. Il faut aussi être conscient que l’IA offre de nouvelles possibilités aux attaquants : ils vont pouvoir créer plus rapidement des codes malveillants avec moins de connaissance technique, et aussi des contenus pouvant servir aux phases initiales de l’attaque qui seront bien plus contextualisés en fonction de la cible. L’avantage est plus dans le camp des défenseurs pour le moment, car, à ce jour, même si les nouveaux modèles d’IA peuvent générer du texte, du code, du contexte, ils demeurent encore des améliorations à effectuer pour qu’ils parviennent à adapter une stratégie en temps réel ou à aller chercher de l'information récente pour construire un scénario complexe, ce qui limite l’aide qu’ils peuvent apporter aux attaquants.

Les défis à venir : la structuration et la standardisation des informations

Nous vivons dans un monde où toutes les entreprises qui font de la recherche sur les menaces, produisent de manière générale une grande quantité d’informations de données non structurées. Souvent, il s’agit de rapports au format PDF dans lesquels ils présentent leurs investigations et leurs découvertes sur les menaces et les attaquants. A la fin, généralement il peut y avoir un ou plusieurs tableaux reprenant certains éléments techniques.

Actuellement, le processus que l’on appelle capitalisation de l’information, c'est-à-dire de transformer un rapport en données structurées, donc facilement exploitables par la suite, est une activité chronophage à faible valeur ajoutée. Or, si l’on veut passer au stade supérieur dans les échanges d'informations sur la menace entre organisations ou entre états, il y a un enjeu important de structuration et de standardisation des données.

Encore une fois, l’IA peut jouer ici un rôle majeur, en étant capable de traiter ces rapports et de générer de la donnée structurée et standardisée, que l’on pourra ainsi plus facilement et plus rapidement intégrer dans une base de connaissance tel qu’OpenCTI. Cela va permettre aux analystes de se concentrer sur des tâches différentes d’investigation avancée, de corrélation et d’utilisation de ces informations.

Pour résumer, l’intelligence artificielle peut grandement nous aider à relever deux enjeux majeurs dans la gestion de l’information sur les menaces cyber.

Le premier est celui qui relève du triage et de la sélection au sein de la masse d’information disponible, et de traitement de la donnée afin de pouvoir répondre plus rapidement à des questions complexes auxquelles il est difficile d’y répondre avec les modèles actuels.

Le second enjeu correspond au besoin de traitement de la masse d'information non structurées (article, rapport écrit etc..) pour les transformer en données structurées, facilement exploitables et communicables, entre organisations comme entre états.

Tout cela va permettre d’aider l'ensemble des organisations à avoir une meilleure connaissance de la menace qui les concerne, et donc de permettre d’élever le niveau global de la sécurité des entreprises !