Threat Intelligence : l'IA n'est pas la solution miracle

Les systèmes fondés sur l'intelligence artificielle dans le domaine de la détection des menaces rencontrent des limites, et la qualité des données analysées en est la raison principale.

Ces dernières années, les cyberattaques ont progressivement gagné en sophistication, en efficacité et en rapidité. Afin de se prémunir contre ces menaces, les entreprises doivent être en mesure de réagir en quasi temps réel face à des attaques agressives. Les domaines de l'IA, comme le machine learning, l'apprentissage supervisé et non supervisé, les arbres décisionnels et le deep learning jouent par conséquent un rôle décisif dans la lutte contre la cybercriminalité. Cependant, l’IA seule n’est pas une solution miracle dans la lutte contre hackers et consorts.

Pas de maîtrise de l’IA sans des données de qualité

Impossible aujourd’hui de se soustraire à l’utilisation de l’intelligence artificielle dans le domaine de la cybersécurité notamment grâce à sa capacité à mieux détecter les menaces et plus rapidement. A ce titre, l’IA est utilisée pour analyser de vastes quantités de données, établir le lien entre des fichiers inconnus et les plateformes de Threat Intelligence, afin de détecter des intrus potentiels au sein d’un système et repérer les schémas de comportements manifestes en les comparant aux catalogues de règles existants. Avec des processus entièrement automatisés, les entreprises enregistrent un meilleur temps de réaction et peuvent minimiser les dégâts potentiels.

Toutefois, les systèmes fondés sur l’IA dans le domaine de la Threat Intelligence (le renseignement sur les menaces) rencontrent également des limites et la qualité des données en est la raison principale.

En effet, même si la plupart des entreprises disposent de suffisamment d’informations concernant leurs environnements opérationnels ou avec leurs équipements d’IoT, elles n’ont souvent pas assez de données d'entrainement bien codées. Or, il est nécessaire de disposer d’une vaste base de données de qualité afin de détecter les anomalies, et elle est également essentielle pour le développement continu des systèmes d’IA. Des données de faible qualité débouchent sur une IA peu fiable, un taux de détection insuffisant et, à terme, un niveau de sécurité insuffisant. Les Centres des Opérations de Sécurité (SOC) restent la meilleure réponse pour obtenir de nombreux exemples variés de schémas comportementaux relatifs aux cybercriminels et aux utilisateurs traditionnels. Pour y parvenir, ils utilisent les données liées aux menaces provenant de multiples sources, dont ils tirent des enseignements approfondis qu’aucune entreprise n’est raisonnablement en mesure de compiler ou d’analyser.

IA et l’humain main dans la main

Il est nécessaire de garder à l’esprit qu’une IA puissante ne peut fonctionner sans effets indésirables uniquement si elle est combinée à l’intelligence humaine. En effet, les performances d’un algorithme produit par l’IA dépendent des experts qui l’alimentent. Ceux-ci doivent fournir à leurs assistants virtuels les informations adéquates et créer des directives en matière de sécurité, qu’ils peuvent perfectionner en se fondant sur les éventuels incidents ou les résultats de leurs propres analyses de vulnérabilités. Dans le cadre de l’apprentissage supervisé, l’analyste enseigne à l’algorithme les conclusions qu’il doit tirer.

Ainsi, l’association d’algorithmes, qui se perfectionnent en continu grâce à l’apprentissage et à des experts bien formés, permet de détecter et de réagir à de nouvelles menaces en quasi temps réel. Outre un temps de réaction réduit, la justesse de détection représente un autre avantage : au lieu de se retrouver noyé dans un flot d’alertes qui se révèlent souvent fausses, les entreprises peuvent concentrer leurs ressources sur la minimisation des risques et les mesures stratégiques. Si les solutions d’IA sont en mesure de traiter l’information en quelques nanosecondes et d’en tirer des suggestions valables, toutes les données ne sont pas forcément pertinentes. Ainsi, les systèmes ont besoin de l’apport des analystes afin de comprendre le contexte lié à un incident de sécurité.