Cybersécurité & IA : où en sommes-nous vraiment

L'AI est un buzzword aujourd’hui et la cybersécurité n’y échappe pas. Plusieurs fois nous avons entendu des responsables de cybersécurité ou TI dire qu’ils cherchent une technologie de cybersécurité AI qui fonctionne toute seule, détecte les attaques toute seule et les bloque automatiquement et automagiquement. Ceci est évidemment un mythe.

 

Pour rétablir les faits, nous avons posé la question à notre Chef de la Cybersécurité, Dr Karim Ganame. Il est aussi chercheur en Cybersécurité & AI et détient depuis 2019 un brevet américain sur l’utilisation de l’AI pour détecter les cybermenaces dans les réseaux informatiques.

Selon lui, voici l’état d’avancement de l’AI dans le contexte spécifique de la détection des cybermenaces.



L’AI ne peut pas détecter toute seule toutes les cybermenaces inconnues 

L’une des caractéristiques de l’AI (modèle supervisé par exemple) c’est qu’il a besoin de s'entraîner régulièrement, ce qui lui permet d’apprendre en continu et à s’adapter.

La clé ce n’est pas l'algorithme AI que vous utilisez, mais la manière dont vous caractérisez  ce qu’il doit considérer comme une anomalie ou une déviation de comportement.

Plusieurs fois, je me suis fait demander quel algorithme d’AI nous utilisons dans notre technologie de cyber menaces CDS.

En réalité l’algorithme n’est pas le plus important en cybersécurité & AI. C’est la manière dont on caractérise la cybermenace qui est la clé. 

Prenons un exemple simple: vous voulez créer un modèle AI pour détecter les variantes d’un rançongiciel X donné? Vous prenez ledit ransomware, vous exécutez sur une machine, et vous capturez toute l’information que cette exécution créée : les noms de domaines ou IP externes avec lesquels le rançongiciel X interagit, les protocoles réseau qui ont été sollicités : DNS, HTTPS, SSH, UDP, etc. Vous voudrez aussi savoir s’il ya une fréquence d’envoi de certaines requêtes du rançongiciel X vers des systèmes externes, etc. Après cela, vous regardez les actions que le rançongiciel X effectue sur l’ordinateur : quels fichiers ont été créés, supprimés ou modifiés? Le  rançongiciel X arrête-t-il un processus donné (l’antivirus, etc.)?

Toutes ces informations vous permettent d’avoir une idée du comportement global du  rançongiciel X. C’est la partie la plus simple. Il vous faudra ensuite caractériser  le rançongiciel X: quels flags TCP sont activés? Les paquets sortent à une fréquence périodique? Le trafic réseau est-il dans un seul sens (flow unidirectionnel) ou les 2 sens (trafic bidirectionnel), etc. On va aussi supprimer les trafics considérés comme des bruits de fond (background trafic), c'est-à dire le trafic de diversion ou inutile qui ne sont pas pertinents pour caractériser le  rançongiciel X.

De cet exercice, vous sortez avec un ensemble d’attributs (features) que vous allez travailler et retravailler comme un orfèvre, pour ne retenir que les attributs les plus pertinents. Ces attributs pertinents sont la clé de votre capacité de détection. Votre sauce secrète.

Une fois que vous avez les attributs pertinents,  vous les testez avec plusieurs algorithmes AI et vous choisissez l'algorithme  qui a le meilleur taux de détection dans des délais raisonnables. 

Vous créez ensuite un modèle de détection AI  basée sur ces résultats.

Quand vous mettez votre AI en production, il observe les communications qui entrent ou sortent de votre machine et les comparent au modèle AI que vous avez créé. L’objectif: voir si un trafic semblable ou similaire entre ou sort de la machine. Si l’AI pense qu’il y a un haut taux de similarité, il génère une alerte. Ensuite c’est à l’analyste (humain) de jouer! Il fait ses vérifications approfondies et confirme si c’est une menace réelle ou non. Si ce n’est pas une menace, l’analyste doit le flagger à l’AI comme étant un faux-positif. Lors de son prochain entrainement l’AI en prend compte, et ne générera plus d’alerte s’il voit un trafic similaire. 

L’humain aide l’AI à s’améliorer. C’est ce travail interactif et collaboratif entre l’AI et l’humain qui permet d’avoir des outils d’AI éfficaces.

 

L’enjeu : la data

L’un des plus gros défis en AI appliqué à la cybersécurité est la disponibilité de données suffisantes pour caractériser les cybermenaces et les entraîner. Streamscan a connu cet enjeu lorsque nous avons commencé à travailler sur la détection des cybermenaces via AI en 2014 (il y’a 10 ans!). Nous avons dû acheter des données à nos débuts. Nous avons aussi mis en place un environnement d’analyse automatisée et de création de modèles de détection AI qui fonctionne 24/7 depuis 2014, ce qui nous donne aujourd’hui accès à des quantités phénoménales de données qui nous permettent non seulement de détecter les cyber menaces inconnues, mais aussi anticiper la menace. 

 

L’AI detecte 100% des cyber menaces : un mythe

L’utilisation de l’AI pour la détection des cybermenaces est mature depuis plusieurs années. En 2017 lorsqu’on Streamscan a sorti la version 1 de la CDS, nous avions déjà un taux de détection de 99%. Le grand challenge depuis lors consiste à tenter de combler le 1% restant. Quel sacré défi! Aucun éditeur de cybersécurité du marché ne peut actuellement affirmer qu’il a un taux de détection de 100%. Si un fournisseur vous le dit, fuyez le!

Chez Streamscan, nous avons une approche transparente. Nous travaillons fortement pour améliorer continuellement notre taux de détection, mais il se peut que quelques cybermenaces passent à la trappe.

Si cela arrive, vous pouvez compter sur notre équipe de réponse aux incidents aguerrie, pour vous aider à prendre en charge l’événement, puis l'éradiquer le plus rapidement possible pour réduire ou éliminer son impact.



AI détecte et bloque les cybermenaces toute seule, automagiquement : un mythe

Je vais décevoir tous ceux qui cherchent actuellement un outil AI qu’on branche et oublie dans le réseau, avec une belle tranquillité d’esprit, en pensant que l’outil va détecter et bloquer tout seul les cybermenaces, s'entraîner et se réadapter tout seul. On n’est pas encore rendu là.

Aujourd’hui vous avez besoin d’un humain qui travaille en tandem avec l’AI pour le faire évoluer. Plus cet humain à de l’expertise dans l’analyse des déviations de comportements (ou comportements anormaux) en cybersécurité, plus votre AI s’améliora et deviendra efficace. Sans humain, votre AI évoluera très lentement, ce qui est la pire chose à faire si l’on veut se mettre à l’abri des cyberattaques qui ne font qu'exposer tout en devant de plus en plus complexes.

Si votre fournisseur d’outil de cybersécurité AI vous dit qu’il détecte et bloque automatiquement toutes les cybermenaces, fuyez le!

Pour information, certains de nos clients en Détection et Réponses Gérées (service de surveillance 24/7 de la sécurité) sont des entreprises qui ont acquis un outil de cybersécurité AI automagique et se sont rendus compte ensuite que l’outil ne fonctionnait pas tout seul. Pire, la charge de travail générée par ces outils est importante, ce qui occupe fortement les ressources TI internes. En effet, l’un des défis avec l’IA, c’est la réduction des faux positifs. 

Pour plus d'efficacité, ces entreprises décident d’externaliser la gestion de ces outils AI et nous contactent, au regard de notre expertise reconnue en AI appliquée en cybersécurité.



Le futur de l’AI dans la détection des cybermenaces (court et moyen terme)

 Il y a une pénurie de ressources qualifiées en cybersécurité opérationnelle/technique alors que la demande est de plus en plus forte dans ce domaine. Les compagnies de cybersécurité les plus avancées en AI comme Streamscan travaillent sur des modèles AI qui simulent le comportement des analystes humains et fait les analyses de cybermenaces comme eux. L’idée c’est d’automatiser le plus possible les analyses, tout en permettant à l’IA de continuer à apprendre et évoluer. 

Autre défi : comment éliminer les tâches routinières des analystes humains, afin de réduire leur charge de travail, ce qui leur permettrait de se concentrer sur les cybermenaces plus importantes? L’accent est mis sur l’automatisation des analyses et de la réponse.

 

Le mot de la fin

L'AI en Cybersécurité va continuer à évoluer et connaîtra encore des accélérations majeures. Mais pour l’instant, l’alliance entre l’AI et l’Humain offre le meilleur résultat dans la cyberdéfense des organisations.