IA et cybersécurité : info ou intox ?

Si 5 ans plus tôt, l’approche de Darktrace pouvait passer pour originale, force est de reconnaître que la concurrence n’a pas traîné pour intégrer des outils d’intelligence artificielle à ses solutions. Et comme souvent avec les technologies de cette famille, on promet monts et merveille : des « 100% de détections » de certains aux outils « anti APT » des autres, les vendeurs rivalisent de promesses pour vanter les nouvelles capacités des moteurs d’intelligence artificielle intégrés à leurs outils.

 

L’écosystème trouve ses marques

L’un des premiers acteurs du monde de la cybersécurité à avoir mis en avant l’utilisation de l’intelligence artificielle au sein de son système est Darktrace. En 2014, nous avions déjà écrit un article sur ce système qui, à l’époque, osait le pari de se présenter comme un système entièrement basé sur l’intelligence artificielle, un « système immunitaire » pour le système d’information. « L’intelligence artificielle telle qu’elle est utilisée chez nous permet d’analyser les flux d’informations au sein des organisations, d’en extraire et de modéliser un comportement « normal » et ensuite de pousser des alertes à l’utilisateur » résume Emmanuel Meriot, directeur des activités en France et en Espagne de Darktrace. L’idée est de permettre au logiciel de remonter en priorité les alertes les plus significatives plutôt que de laisser les analystes se débattre avec une avalanche d’incidents de sécurité dans laquelle il doit retrouver ceux qui doivent être traités en priorité.

Darktrace peut s’enorgueillir d’avoir su se positionner avant les autres sur ce marché et peut aujourd’hui faire sa réclame en avançant certaines anecdotes inhabituelles : ainsi, on voit parfois la fameuse histoire de l’exfiltration de données volées via un aquarium connecté dans un casino de Las Vegas, un comportement inattendu détecté grâce à la solution de Darktrace.

Mais la concurrence n’est pas en reste. Ainsi, chez Vectra, principaux concurrents de Darktrace, on revendique une approche différente. La plateforme Cognito se propose également de surveiller les flux internes d’une entreprise, mais repose cette fois sur des modèles reconstruits, contrairement à Darktrace qui construit son modèle en analysant le système d’information des clients. « Ce qu’utilise Darktrace peut être considéré comme de l’apprentissage non supervisé. C’est pratique parce que vous n’avez pas besoin de savoir ce que vous cherchez, mais beaucoup de choses remontent et elles ne sont pas toujours pertinentes » expliquait ainsi Oliver Tavakoli, directeur technique chez Vectra, à ZDNet.fr lors des assises de la sécurité de Monaco, en 2017.

 

 

Vectra joue sur le même tableau que Darktrace, mais se distingue en proposant des modèles mathématiques de détection développés et testés sur un groupe d’entreprises utilisatrices de la solution, testés et calibrés avant d’être déployés en production pour l’ensemble de la base client. Un parti pris qui favorise la stabilité et la fiabilité du modèle au détriment de la personnalisation de celui-ci.

Parmi les outils qui se targuent de jouer avec l’intelligence artificielle, on peut également citer Cylance (qu’il convient de prononcer comme les « cylons » de battlestar galactica et non comme « silence » selon François Baraër, ingénieur avant vente de la firme.) Contrairement à Vectra et Darktrace, Cylance se positionne cette fois sur la protection des postes et terminaux. Il ne s’agit donc pas ici d’analyser les flux au sein du SI, mais bien de détecter les menaces sur les postes des utilisateurs, une activité que la société a mise au point en s’appuyant sur les technologies d’intelligence artificielle : « la société a commencé dans le service et la threat intelligence, ce qui nous a permis de récupérer énormément d’échantillons de malware à analyser. Grâce au Deep Learning, nous avons été en mesure d’analyser un très grand nombre de caractéristiques de ces échantillons afin de déterminer leur dangerosité. »

Surveiller et prévenir

Si les approches divergent, les promesses restent globalement les mêmes : à l’aide des technologies d’intelligence artificielle, les outils de sécurité espèrent ainsi améliorer leur capacité de détection, être en mesure d’identifier de nouvelles menaces et simplifier la tâche des analystes et RSSI chargés de superviser la sécurité du SI. « Aujourd’hui, le marché s’est principalement concentré sur la détection et la réponse à incident », explique ainsi François Baraër de Cylance.
Améliorer la capacité de détection revient à toucher à une pierre angulaire de la sécurité informatique : la question des signatures, outil technique largement utilisé par les antivirus traditionnels pour repérer les logiciels malveillants. La recette initiale est simple : lorsqu’un nouveau logiciel malveillant est détecté, les sociétés de cybersécurité s’empressent de mettre la main sur un échantillon afin de l’analyser et de produire une signature (généralement un hash du binaire utilisé par le logiciel malveillant) qui est ensuite transmise aux antivirus installés sur les postes du client. Lors d’une analyse de détection, le logiciel peut ainsi comparer les fichiers présents sur le système avec sa base de données de signature et vérifier que ceux-ci ne sont pas déjà répertoriés comme des malware.

Les logiciels de sécurité reposant sur l’IA préfèrent une autre approche : « Les outils de Darktrace étudient plutôt le comportement des machines présentes dans le système informatique, afin de les classer selon des catégories de comportement et éventuellement signaler des déviances par rapport à l’utilisation habituelle de ces machines » explique Emmanuel Meriot. Plutôt que de courir après les malwares et de les classer dans de grandes bases de données, ces systèmes cherchent donc plutôt à analyser le comportement du système afin d’identifier des événements qui sortent de l’ordinaire.

L’un des exemples fréquemment cités de menaces auxquels ces nouveaux outils permettent de répondre sont les attaques dites « fileless. » Ces attaques, généralement ciblées et sophistiquées, ont en effet un recours limité aux malwares. « Avec ce type d’attaque, les malwares sont la pointe émergée de l’iceberg : ils sont utilisés lors de la phase de compromission initiale, mais c’est une partie infime de l’attaque  » explique ainsi Oliver Takavoli. « Et notre outil est conçu pour détecter ce type d’attaques » poursuit le CTO de Vectra. En se débarrassant d’une logique qui consiste à trier les bons fichiers des mauvais et en s’appuyant sur l’analyse des comportements, les outils de Vectra, Darktrace et Cylance promettent ainsi d’être en mesure de lever une alerte lorsque l’utilisateur d’un poste de travail disposant d’identifiants parfaitement légitimes utilisera powershell, un outil parfaitement légitime lui aussi, afin de récupérer et d’extraire des données sensibles.

Enterrer la signature ?

Alors la question de la détection est elle complètement résolue par l’arrivée de ces nouveaux logiciels ? On peut se demander si l’on ne fait pas que déplacer le problème : là où auparavant, l’enjeu pour les entreprises était de récupérer et de mettre à jour les signatures à temps afin de se prémunir des nouvelles menaces, il faudra maintenant s’assurer de récupérer le moteur de détection. Chez Vectra par exemple, de nouvelles versions du modèle sont diffusées auprès des clients tous les mois. Chez Cylance, les mises à jour du moteur interviennent tous les 6 à 9 mois tandis que chez Darktrace, on opte plutôt pour une mise à jour continue s’appuyant sur l’analyse du système de l’entreprise et de ses évolutions au fil du temps. Si l’approche de Darktrace peut paraître moins lourde, elle ne fait pas forcement l’unanimité chez la concurrence qui critiquent le fait que l’algorithme utilisé par Darktrace n’est pas toujours le plus approprié à ce que l’on cherche à détecter.

En ne s’appuyant pas sur le système de signatures, les outils de sécurité reposant sur l’IA peuvent effectivement se targuer d’être capables de détecter des menaces inconnues. Comme le rappelle Vectra ou Cylance, leurs algorithmes de détection de 2015 étaient capables d’identifier les attaques de type WannaCry comme une menace sans avoir besoin d’une signature. « Quand on décortique un logiciel comme WannaCry, on se rend compte qu’il n’y a rien de fondamentalement nouveau dans son fonctionnement. Les auteurs du ransomware ont utilisé tout un ensemble de technique (propagation de type ver, chiffrement de fichiers, communication via Tor auprès des serveurs de contrôle et de commande) qui étaient déjà connues auparavant et les ont combinés pour créer WannaCry » résume Oliver Takavoli de Vectra. Ces techniques étaient auparavant décortiquées et classées par les chercheurs des entreprises de sécurité afin de nourrir leurs bases de signatures et moteurs heuristiques, mais c’est maintenant le moteur embarqué par le logiciel qui s’en charge.

Business, as usual

L’autre promesse de l’IA reste d’accompagner le travail des analystes et RSSI en « triant » les alertes de sécurité pour ne leur soumettre que les plus pertinentes. Les outils jouent en effet sur cet aspect pour séduire le client comme l’explique Pierre NG, RSSI de Toyota Services « Très honnêtement, ce qui m’a convaincu de mettre en place Darktrace chez nous, c’est avant tout la simplicité de son utilisation. » Le logiciel offre un outil automatisé qui peut permettre de simplifier la tâche d’un responsable de sécurité confie Pierre NG, qui explique ne pas avoir eu besoin de se battre pour convaincre sa direction. « Un des exemples qui les a convaincus, c’est la capacité de Darktrace à identifier les usages « shadow IT » (l’ensemble des services et logiciels installés par les utilisateurs sans l’aval de la DSI, ndlr) . Avec Darktrace, on a immédiatement pu identifier des flux bittorent sur le réseau » explique le RSSI.

Darktrace met à disposition de l’utilisateur un rapport mensuel sur l’ensemble des flux suspects, ainsi qu’une option permettant de visualiser en temps réel les flux de données détectés. « On est vite noyés au début, mais cela s’affine assez vite », précise Pierre NG. Darktrace a mis à la disposition des utilisateurs un outil permettant de régler le degré de sensibilité de ces alertes, ce qui peut permettre à un analyste de récupérer l’ensemble des alertes ou bien uniquement celles que Darktrace juge importantes, selon ses besoins. Et le moteur du logiciel s’appuie ensuite sur les décisions prises par l’utilisateur pour affiner ses critères de détection. Pour Pierre NG, le retour sur investissement d’un logiciel comme Darktrace est évident : « On nous pousse tous les jours à faire plus avec moins de moyens, donc je ne peux pas me permettre de prendre des logiciels qui demandent des semaines de formations pour être pris en main. Et je sais que Darktrace me remonte des alertes que les outils de sécurité classique ne remonteront pas. » Simplicité d’utilisation et visibilité accrue sont donc les principaux arguments avancés par les vendeurs, et ce genre d’argumentaire peut clairement aider à débloquer les budgets pour ces nouveaux outils.

Le recours à l’IA permet de résoudre certaines problématiques en matière de détection ou de gestion des incidents de sécurité. Mais ces nouveaux outils viennent aussi avec leur lot de nouvelles interrogations : si les outils de triage des alertes permettent de réduire la charge de travail des analystes, celle-ci revient mécaniquement aux analystes de données employées par les vendeurs, qui doivent mettre au point des modèles capables de repérer l’aiguille dans la botte de foin des incidents de sécurité remontés par le logiciel.

« Dans un monde parfait, on aurait un algorithme capable de déterminer à coup sûr si un incident est bon ou mauvais. Mais dans le monde réel, on évolue plutôt dans un panel de nuances et le travail de nos analystes est de réduire cela au maximum» résume Oliver Tavakoli. Un enjeu de taille qui se retrouve sur le marché du travail : les analystes de données sont aujourd’hui un profil particulièrement recherché par les entreprises qui proposent des outils s’appuyant sur ces technologies et tous confient avoir des difficultés à recruter les bons profils dans un contexte aussi concurrentiel.

Source

Nous utilisons des cookies pour personnaliser le contenu et les publicités, pour fournir des fonctionnalités de médias sociaux et pour analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse qui peuvent les combiner avec d'autres informations que vous leur avez fournies ou qu'ils ont collectées lors de votre utilisation de leurs services. Vous consentez à nos cookies si vous continuez à utiliser notre site Web.
Cookies settings
Accepter
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active

Qui sommes-nous ?

L’adresse de notre site Web est : https://www.banquegratuite.com

Cookies publicitaires Google

Nous utilisons des cookies pour faciliter la diffusion des annonces sur les sites Web de nos partenaires, tels que ceux diffusant des annonces Google ou membres d'un réseau publicitaire agréé par Google. Lorsqu'un utilisateur visite ce type de site, un cookie peut être placé dans son navigateur. Les fournisseurs tiers, y compris Google, utilisent des cookies pour diffuser des annonces en fonction des visites antérieures des internautes sur votre site Web ou sur d'autres pages. Grâce aux cookies publicitaires, Google et ses partenaires adaptent les annonces diffusées auprès de vos visiteurs en fonction de leur navigation sur vos sites et/ou d'autres sites Web. Cliquez ici pour savoir comment Google utilise les informations fournies par les cookies

Utilisation des données personnelles collectées

Commentaires

Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables. Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée hash) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous êtes un utilisateur ou une utilisatrice enregistré·e et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de votre site web peuvent télécharger et extraire des données de localisation depuis ces images.

Formulaires de contact

Cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an. Si vous avez un compte et que vous vous connectez sur ce site, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur. Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé. En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site. Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Statistiques et mesures d’audience

Utilisation et transmission de vos données personnelles

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération. Pour les utilisateurs et utilisatrices qui s’enregistrent sur notre site (si cela est possible), nous stockons également les données personnelles indiquées dans leur profil. Tous les utilisateurs et utilisatrices peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (à l’exception de leur nom d’utilisateur·ice). Les gestionnaires du site peuvent aussi voir et modifier ces informations.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.

Save settings
Cookies settings