Transformer la cybersécurité à l'aide du Deep Learning

Rodolphe Moreno, Directeur Europe du Sud de la société Deep Instinct, explique comment l'intelligence artificielle avancée fournit des outils plus rapides, plus sûrs et plus efficaces au secteur de la cybersécurité

Rivalisant d’ingéniosité, les cybercriminels usent de techniques de plus en plus avancées qui leur permettent de déjouer les défenses les plus élaborées. Les systèmes traditionnels de détection et de réponse ne suffisent plus, et les entreprises ne peuvent plus se permettre de se contenter de solutions de sécurité post-mortem.

Tant par leurs techniques que par leur degré de sophistication, les cybercriminels ne cessent de progresser. Et il est important pour les organisations d’en faire autant. Bien que  les entreprises considèrent la cybersécurité comme une priorité majeure, il faut environ 13 heures aux entreprises françaises pour traiter une alerte critique jusqu'à ce qu'elle soit corrigée, et seuls 8% des répondants français estiment que leur centre d'opérations de sécurité est "très bien doté en personnel"*. C’est pourquoi il est temps d’adopter une solution plus innovante et plus efficace, axée sur la prévention.

C’est là que le Deep Learning entre en scène. Parfois appelé « réseaux neuronaux », le Deep Learning est le sous-ensemble le plus avancé de l’intelligence artificielle. Cette technologie représente la prochaine étape de la sécurité intelligente, car ses fondements s’inspirent du fonctionnement du cerveau humain. Plus la machine reçoit de données brutes, plus elle comprend intuitivement la signification des nouvelles données. La technologie de Deep Learning permet aux entreprises de bloquer complètement les cyberattaques. Elle peut les détecter et y répondre, mais aussi les prédire et les prévenir.

Dépasser les limites de Machine Learning

Les fournisseurs de services de cybersécurité traditionnels utilisent des technologies classiques, à savoir le Machine Learning, pour la détection et la remédiation. Cette approche est fondamentalement incapable de prévenir les attaques en amont de la chaîne. Dans le cadre de l’utilisation de la technologie du Machine Learning, les attaques ont le temps de s’exécuter avant que les systèmes n’aient réussi à identifier leur nature malveillante, ce qui peut prendre plusieurs minutes, voire plus.

Le Deep Learning, en revanche, est beaucoup plus rapide. Moins de 20 millisecondes lui suffisent pour anticiper les attaques connues et inconnues, et identifier les violations potentielles. C’est 10 fois moins de temps qu’il n’en faut à un être humain pour cligner des yeux.

Branche la plus puissante de l’IA, le Deep Learning se classe plusieurs échelons au-dessus de Machine Learning. Il est actuellement utilisé dans le domaine de la cybersécurité via la création de réseaux de neurones entraînés à partir d’échantillons de données brutes renfermant des millions de fichiers labélisés à la fois malveillants et bénins. Au fil du temps, le réseau apprend à identifier instinctivement le code malveillant.

Le réseau neuronal étant formé à l’aide de ces données brutes, il peut prédire et prévenir les attaques avant qu’elles ne se produisent. Cette technologie s’éloigne des outils EDR (détection et de réponse aux menaces sur les endpoints) traditionnels au profit d’une prévention complète, l’objectif étant de détecter et de bloquer les menaces potentielles avant qu’elles ne deviennent réelles.

Même s’il s’agit d’une approche relativement nouvelle dans le secteur de la cybersécurité, le Deep Learning a déjà trouvé un certain nombre d’applications dans le monde réel. Des entreprises telles que Tesla, YouTube, Netflix ou encore Amazon exploitent cette technologie dans des domaines tels que la conduite autonome, les systèmes de recommandation et la reconnaissance d’images.

Le développement d’une technologie de Deep Learning n’est pas un processus simple. L’algorithme a besoin d’importants volumes de données brutes et de temps pour apprendre à différencier le code malveillant du code bénin. Contrairement au Machine Learning, le Deep Learning ne reçoit aucune caractéristique essentielle lui permettant de faire la distinction entre des fichiers de données malveillants ou au contraire inoffensifs. Il est conçu pour le déterminer par lui-même. Son processus d’apprentissage continu l’aide à prédire et à prévenir les menaces sans qu’il soit nécessaire de recourir à un ingénieur pour en définir les caractéristiques essentielles. Une spécificité qui explique pourquoi les cybercriminels ont plus de mal à appréhender son fonctionnement et à le contourner.

Prédire les attaques entrantes

La propension des cybercriminels à détourner le Machine Learning à leur propre avantage est bien connue. Parmi leurs techniques les plus courantes figure l’apprentissage automatique contradictoire, qui consiste à corrompre le jeu de données fourni à la machine. Les malwares employés échappent aux solutions basées sur l’apprentissage automatique en faisant croire au modèle qu’un élément malveillant est en fait bénin. Une fois le jeu de données jugé inoffensif par la machine, les pirates peuvent s’introduire dans le réseau par une porte dérobée.

Le Deep Learning élimine ce risque en utilisant des données brutes et un nombre de caractéristiques essentiel très important défini par l’algorithme qui sont plus sûrs et résistent mieux aux attaques adverses. La priorité numéro un des équipes de sécurité est d’anticiper les risques et de garder une longueur d’avance sur les cybercriminels. De par sa nature, le Deep Learning est plus difficile à contourner et offre donc aux entreprises une défense plus solide contre les attaques.

Ces derniers mois, les ransomwares ont fait la une des médias internationaux, et la menace d’attaques plus étendues et plus coûteuses est bien réelle. Les cybercriminels, et leur degré croissant de sophistication, sont hors de contrôle. L’évolution des attaques émanant d’États-nations y est pour beaucoup. Les équipes passent un temps considérable à tenter de restaurer les actifs perdus, et toutes les perturbations et les interruptions engendrées par ces attaques peuvent avoir un effet dévastateur sur la productivité et les résultats des entreprises.

Avec le Deep Learning, les responsables informatiques seront proactifs, cette méthode permettant d’anticiper rapidement les attaques de façon précise qu’elles soient connues ou inconnues. Le déploiement du Deep Learning réduit jusqu’à 25 % le nombre d’alertes que l’équipe de sécurité doit passer en revue chaque semaine. 

Plutôt qu’une nouvelle technologie destinée à remplacer les systèmes existants, le Deep Learning a été conçu dans un souci d’agilité. Les entreprises peuvent l’ajouter à leur produit de sécurité existante afin d’améliorer et de renforcer leur stratégie de sécurité. En leur épargnant les pertes de temps liées à l’examen de faux positifs et autres menaces bénignes tout au long de la chaîne de sécurité, il leur assure un retour sur investissement immédiat.

L’avenir du Deep Learning

Le Deep Learning est un concept relativement nouveau dans le monde de la cybersécurité. Les entreprises l’intègrent cependant déjà dans leurs propres produits. Les ransomwares devenant une priorité pour les conseils d’administration, les entreprises souhaitent empêcher ces violations dévastatrices de compromettre leurs activités, les données de leurs clients, leur réputation et leurs résultats.

La récente violation des données de la société Colonial Pipeline met en lumière la gravité des attaques par ransomware. Non seulement l’entreprise restera pendant longtemps associée à cette violation, mais l’attaque a également eu un impact sur la vie de millions de citoyens américains. Si une solution de Deep Learning avait été mise en place, le ransomware aurait été détecté et stoppé avant même qu’il n’ait une chance de causer des dommages.

Une solution de cybersécurité capable de prévoir et de détecter les attaques inconnues, sans intervention humaine, révolutionnera la cyberdéfense des entreprises. Grâce au Deep Learning, les entreprises pourront non seulement empêcher les attaques actuelles, mais aussi prédire et prévenir celles de demain.

*D’après le rapport Voice of SecOps publié par Deep Instinct en juin 2021