L'ère des algorithmes : comment la réponse autonome de l’IA gagne la course contre la montre

À l’ère des cyberattaques automatisées s'exécutant à la vitesse de la lumière, la simple détection des attaques ne suffit plus. Même lorsque les équipes découvrent un risque très tôt, elles sont dépassées par des codes malveillants capables de chiffrer ou d'exfiltrer des données en moins d'une minute.

Selon une étude du Ponemon Institute[1], il faut en moyenne 206 jours aux entreprises américaines pour détecter une violation de données.

Pour faire face à cette menace, le seul moyen d'avancer consiste à combattre le code avec le code, à opposer un algorithme à un autre et à contrer les attaques furtives avec des systèmes de défense tout aussi rapides. Désormais, les technologies de cyberdéfense autonomes sont capables d’exploiter des algorithmes d'intelligence artificielle pour arrêter les logiciels malveillants, permettant ainsi aux intervenants en cas d'incident d'enquêter et d'agir à leur propre rythme. De plus, ces solutions autonomes boostées à l’IA protègent le parc numérique jour et nuit, week-end et jours fériés, car les cybercriminels n’attendent pas l’ouverture des bureaux pour mener leurs attaques.

Examinons deux attaques sophistiquées neutralisées par une réponse autonome en l’absence des équipes de sécurité ou de leur incapacité à réagir à temps.

Extorsion automatisée alors que l’équipe de sécurité était absente

Le ransomware est l'exemple par excellence d'une cybermenace trop rapide à parer pour les professionnels. Ce type d’attaque est devenu une préoccupation majeure pour les organisations du monde entier. Des recherches antérieures ont montré qu'environ 70% des entreprises payaient simplement la rançon[2] lorsqu'elles étaient frappées, quel qu'en soit le coût. La réponse autonome empêche les ransomwares de se propager en confinant les utilisateurs et les périphériques. L’IA intervient de manière chirurgicale pour couper tout ce qui est anormal, tout en permettant aux opérations commerciales de se poursuivre sans interruption.

Un vendredi à 19h05, un employé d'une grande entreprise de télécommunications a accédé à son courrier électronique personnel depuis son téléphone professionnel et a été amené à télécharger un fichier malveillant contenant un logiciel de ransomware. Quelques secondes plus tard, l’appareil a commencé à se connecter à un serveur externe du réseau Tor, ce qui a permis à cette attaque de se dérouler juste après que l’équipe de sécurité de la société ait quitté le bureau pour le week-end.

L’IA a répondu en neuf secondes après le début du cryptage, déclenchant une alerte prioritaire appelant à une action immédiate. Le comportement ayant persisté pendant quelques secondes, une réponse autonome activée par l'IA a interrompu toutes les tentatives de chiffrement de fichiers avant que le logiciel de ransomware ne se répande sur le réseau.

Menace sur un parc d'attractions

L’exfiltration de données est aujourd’hui de plus en plus prisée par les cybercriminels. Les informations personnelles et d’identité volées peuvent être vendues sur le Dark Web et être utilisées pour commettre une usurpation d’identité ou pour se déplacer au sein du réseau de la victime. Dans un parc d'attractions nord-américain, un cybercriminel expérimenté a ciblé un appareil connecté (un casier physique conçu pour stocker des effets personnels) dans le but d'exfiltrer de telles données. Dans le cadre de son paramétrage par défaut, le casier « intelligent » établissait régulièrement un contact avec la plate-forme en ligne du fournisseur, un processus que les assaillants ont détourné pour compromettre le périphérique.

Une fois infiltré, le casier a commencé à transférer plus d'un gigaoctet de données non cryptées sur le réseau vers un site externe rare. Les connexions, qui incluaient probablement des informations d’identité et des identifiants sensibles, risquaient d’être transmises sur Internet, et ce sans aucune protection. Cela aurait ensuite permis aux pirates d’intercepter les connexions et d’utiliser les informations pour violer le périmètre du réseau de la société. Une fois de plus, le système de défense intelligent a contré l’attaque de manière autonome, en attendant que l’équipe de sécurité informatique intervienne.

Les réponses autonomes deviennent petit à petit la norme compte tenu de la dangerosité croissante des cybermenaces. Les coûts relatifs pour les entreprises s’élèvent à 4,7 millions d’euros en moyenne[3]. En quelques secondes, l’intelligence artificielle agit en bloquant toutes les connexions sortantes du terminal compromis. Ainsi, les équipes informatiques ont le temps d’isoler le poste infecté du réseau, avant que toutes les données confidentielles d'une entreprise ou d'un consommateur ne puisse être exfiltrées.

[1] https://www.itgovernanceusa.com/blog/how-long-does-it-take-to-detect-a-cyber-attack

[3] Rapport The Cybersecurity Imperative, produit par le chercheur indépendant ESI ThoughtLab en collaboration avec Willis Towers Watson