L’intelligence artificielle et le réseau d’entreprise : de « Matrix » à notre réalité

La situation décrite dans le film "Matrix" sorti en 2003 n’est plus très éloignée de notre réalité : les "bots" prennent déjà le contrôle des réseaux.

Souvenez-vous : en 2003, un programme autoreproductible provoquait une catastrophe mondiale en réécrivant les logiciels clefs au sein d’un réseau global, et échouait de justesse à prendre le contrôle. Si cet incident s’est déroulé dans la trilogie « Matrix » et que nous ne sommes pas encore prêts à voir des intelligences artificielles au même niveau que le célèbre agent Smith, la fiction n’est plus si loin de notre réalité : les « bots » prennent déjà le contrôle des réseaux.

En décembre dernier, le malware « BlackEnergy » a ciblé des compagnies électriques dans l’ouest de l’Ukraine, provoquant un blackout auprès de plus de 225 000 civils. Peu de temps avant cet événement, « BlackEnergy » avait réécrit des extensions de fichiers au sein de sociétés de média ukrainiennes, empêchant tout redémarrage de leur système d’exploitation. En janvier de cette année, ce même malware a été détecté sur le réseau du principal aéroport de Kiev, dont le système de contrôle du trafic aérien.

Ces attaques illustrent parfaitement le danger actuel : il n’est plus question du scénario classique de vol d’information ou de dégradation de sites web mais d’attaques sous-terraines et invisibles qui s’insinuent et changent les systèmes d’information à volonté. Ces cyberattaques utilisent des codes inédits et personnalisés, traversent les défenses des entreprises et ne renvoient pas d’informations. Elles peuvent rester inactives pendant une année au sein du réseau et agir en quelques secondes de manière fatale. Malgré les enjeux importants, nous n’avons pas encore réussi à égaler leur souplesse et leur duplicité.

En tant qu’êtres humains, il y a trois réalités auxquelles nous ne pouvons faire face :

1/ Nous sommes en infériorité numérique.

Alors que les cyberattaques deviennent de plus en plus fréquentes et de plus en plus graves, les entreprises rencontrent des difficultés pour implémenter les projets de sécurité à cause d’un manque d’équipe et d’experts. Nous faisons face à un manque global de talents dans la cybersécurité, et cela va s’empirer dans les prochaines années. D’ici 2020, nous estimons qu’il y aura une pénurie d’environ 1.5 million d’employés dans la sécurité des systèmes d’information dans le monde (source : Frost & Sullivan – The 2015 (ISC)2 Global Information Security Workforce Study. 16 avril 2015).

Certaines entreprises ont commencé à donner des formations à leurs équipes techniques afin de les transformer en spécialistes de la sécurité. D’autres établissent des partenariats avec des académies afin de donner des bourses aux étudiants qui s’engagent dans des certifications de cybersécurité. Il s’agit de démarches positives mais l’être humain montre rapidement ses limites face au cumul de données qu’il doit surveiller.

2/ Nous sommes incapables de faire face au nombre phénoménal de données actuelles

Les entreprises ont commencé leur transformation digitale. Il s’agit aussi bien d’objets connectés au réseau tels que des téléviseurs ou photocopieurs, que de l’adoption de la virtualisation et du cloud, permettant aux employés de travailler avec leurs appareils personnels quel que soit le lieu ou le moment. Le nombre d’appareils connectés atteindra 6,4 milliards en 2016 et devrait dépasser 20,8 milliards d’ici 2020 (source Gartner. 6,4 milliards d’objets connectés seront utilisés en 2016, une augmentation de 30% par rapport à 2015. 10 novembre 2015), avec un point d’entrée potentiel pour chacun d’eux. Etant donné la prolifération de données dans les entreprises actuelles, il est impossible pour l’être humain de traiter le volume phénoménal d’informations et d’identifier les menaces potentielles qui passent à travers le réseau en temps réel.

Les cyberpirates obtiennent de plus en plus facilement les informations des employés, des clients, des fournisseurs ou même des entrepreneurs, et les utilisent pour exploiter les points d’entrées de manière difficilement prévisible. Ce n’est pas surprenant que les êtres humains soient souvent pris de court.

3/ Notre curiosité est notre point faible

La troisième réalité n’est pas des moindres : nous faisons tous parties du problème : les incidents liés à « BlackEnergy » exploitent la curiosité humaine. Ces attaques de « spear-phishing » ont ciblé des individus spécifiques au sein de l’entreprise en les contraignant à ouvrir un e-mail. Une fois ce message ouvert, une pièce jointe ou un lien vers un site web, légitimes en apparence, installait un malware.

Une nouvelle ère de machines remplaçant les humains

Nous avons réussi dans le passé à surmonter des défis nous paraissant insurmontables grâce à l’adoption des nouvelles technologies. Par exemple, pendant la révolution industrielle, les machines sont arrivées pour subvenir au besoin de main d’œuvre. Il serait alors inconscient de continuer à nous appuyer sur des approches traditionnelles qui ne peuvent apporter de solution efficace à cette nouvelle ère de cybermenaces.

« BlackEnergy » a réussi à passer à travers les réseaux malgré la présence de pare feux, anti-virus et sandboxes. Ces outils ont échoué car ils ont tenté de prédéfinir la menace à l’aide de signatures et de règles basées sur des attaques connues. Les pirates changent de manière préventive les codes de leurs assauts afin de déjouer les défenses, ils utilisent également l’intelligence des machines qui peuvent observer et apprendre à se comporter comme de vrais appareils, serveurs ou utilisateurs. Les approches basées sur les signatures et les règles nécessitent une connaissance parfaite des menaces précédentes et une complète clairvoyance des menaces futures. C’est impossible.

Les nouvelles approches technologiques ont toujours compensé les points faibles de l’être humain. L’agent Smith n’aurait pas pu être arrêté sans l’introduction d’une sentinelle pouvant s’adapter en temps réel avant de le contenir et de le détruire.

De la même manière, en utilisant des algorithmes complexes et un système mathématique, des technologies d’autoapprentissage non supervisé peuvent être utilisées pour chercher dans le déluge de données. Elles peuvent également prendre des décisions basées sur une logique de probabilités face à des cybermenaces à la place des humains.

L’autoapprentissage non supervisé : l’avant-garde de la nouvelle génération de cyberdéfense.

Cette technologie recherche automatiquement une sorte de  « schéma de vie » du réseau – qu’il s’agisse des appareils qui communiquent à d’autres machines ou encore des données qu’ils transmettent normalement. Une fois que les points de comparaisons ont été établis, le programme agit comme un système immunitaire, alertant les administrateurs systèmes d’irrégularités comportementales, indiquant le degré d’importance de la menace. Cela signifie que les menaces jusqu’ici inconnues peuvent être détectées, même lorsqu’elles n’actionnent pas de règles ou de signatures. Le programme automatise beaucoup d’actions habituellement gérer par l’être humain, comme l’isolement d’un serveur compromis, alors que les entreprises engagent du personnel entrainé à s’occuper des brèches majeures.

Comme le disait l’agent Smith : « n’envoyez jamais un humain faire le travail des machines », illustrant la frustration de 3 entreprises sur 4 quant à leur capacité actuelle à détecter les cybermenaces. L’autoapprentissage non supervisé pourrait être la solution qui nous donnerait une chance contre  les adversaires avancés et automatisés. Quant aux  humains, ils devraient se concentrer sur l’implémentation des formations sur des disciplines complémentaires comme l’analyse des menaces de haut niveau.