Blog > Blogue

Cybersécurité & IA : où en sommes-nous vraiment

Cybersécurité & IA : où en sommes-nous vraiment 

L'AI est un buzzword aujourd’hui et la cybersécurité n’y échappe pas. Plusieurs fois nous avons entendu des responsables de cybersécurité ou TI dire qu’ils cherchent une technologie de cybersécurité AI qui fonctionne toute seule, détecte les attaques toute seule et les bloque automatiquement et automagiquement. Ceci est évidemment un mythe.

Pour rétablir les faits, nous avons posé la question à notre Chef de la Cybersécurité, Dr Karim Ganame. Il est aussi chercheur en Cybersécurité & AI et détient depuis 2019 un brevet américain sur l’utilisation de l’AI pour détecter les cybermenaces dans les réseaux informatiques.

Selon lui, voici l’état d’avancement de l’AI dans le contexte spécifique de la détection des cybermenaces.

Comment fonctionne la détection des cybermenaces via l’AI

L’une des caractéristiques de l’AI (modèle supervisé par exemple) c’est qu’elle a besoin de s'entraîner régulièrement, ce qui lui permet d’apprendre en continu et détecter les nouvelles cybermenaces ainsi que leurs variantes. 

La capacité de détection n’est pas l'algorithme AI que vous utilisez, mais la manière dont vous caractérisez  ce que l’AI doit considérer comme une anomalie.

Prenons un exemple simple: vous voulez créer un modèle AI pour détecter les variantes d’un rançongiciel X donné? Vous prenez ledit ransomware, vous exécutez dans un Sanbox, et vous capturez toute l’information que cette exécution créée : les noms de domaines ou IP externes avec lesquels le rançongiciel X interagit, les protocoles réseau qui ont été sollicités : DNS, HTTPS, SSH, UDP, etc. Après cela, vous regardez les actions que le rançongiciel X a effectué sur l’ordinateur : quels fichiers ont été créés, supprimés ou modifiés? Le  rançongiciel X arrête-t-il un processus donné (l’antivirus, etc.)?

Toutes ces informations vous permettent d’avoir une idée du comportement global du  rançongiciel X. Mais c’est la partie la plus simple de l’équation! 

Prochaine étape: il vous faudra ensuite caractériser  le rançongiciel X: ses paquets réseaux sortent à une fréquence périodique? Le trafic réseau est-il dans un seul sens (flow unidirectionnel) ou les 2 sens (trafic bidirectionnel), etc. 

De cet exercice, vous sortez avec un ensemble d’attributs (features) que vous allez travailler et retravailler comme un orfèvre, pour ne retenir que les attributs les plus pertinents. Ces attributs pertinents sont la clé de votre capacité de détection. Votre sauce secrète.

Une fois que vous avez les attributs pertinents,  vous les testez avec plusieurs algorithmes AI et vous choisissez l'algorithme  qui a le meilleur taux de détection dans des délais raisonnables. Ex: un algorithme qui détecte une attaque zero-day avec un taux de 97% en 5 secondes sera préféré à un autre qui a un taux de détection de 99% après 600 secondes d’analyse. En effet, détecter vite une attaque est très important!

L’enjeu : la data

L’un des plus gros défis en AI appliqué à la cybersécurité est la disponibilité de données suffisantes pour caractériser les cybermenaces et les entraîner. Streamscan a connu cet enjeu lorsque nous avons commencé à travailler sur la détection des cybermenaces via AI en 2014 (il y’a 10 ans!). Nous avons dû acheter des données à nos débuts. Nous avons aussi mis en place un environnement d’analyse automatisée et de création de modèles de détection AI qui fonctionne 24/7 depuis 2014, ce qui nous donne aujourd’hui accès à des quantités phénoménales de données qui nous permettent non seulement de détecter les cyber menaces inconnues, mais aussi anticiper la menace. 

L’AI detecte 100% des cyber menaces : un mythe

L’utilisation de l’AI pour la détection des cybermenaces est mature depuis plusieurs années. En 2017 lorsqu’on Streamscan a sorti la version 1 de la CDS, nous avions déjà un taux de détection de 99%. Le grand challenge depuis lors consiste à tenter de combler le 1% restant. Quel sacré défi! Aucun éditeur de cybersécurité du marché ne peut actuellement affirmer qu’il a un taux de détection de 100%. Si un fournisseur vous le dit, fuyez le!

Chez Streamscan, nous avons une approche transparente. Nous travaillons fortement pour améliorer continuellement notre taux de détection, mais il se peut que quelques cybermenaces passent à la trappe.

Si cela arrive, vous pouvez compter sur notre équipe de réponse aux incidents aguerrie, pour vous aider à prendre en charge l’événement, puis l'éradiquer le plus rapidement possible pour réduire ou éliminer son impact.

AI détecte et bloque les cybermenaces toute seule, automagiquement : un mythe

Je vais décevoir tous ceux qui cherchent actuellement un outil AI qu’on branche et oublie dans le réseau, avec une belle tranquillité d’esprit, en pensant que l’outil va détecter et bloquer tout seul les cybermenaces, s'entraîner et se réadapter tout seul. On n’est pas encore rendu là.

Aujourd’hui vous avez besoin d’un humain qui travaille en tandem avec l’AI pour le faire évoluer. Plus cet humain à de l’expertise dans l’analyse des déviations de comportements (ou comportements anormaux) en cybersécurité, plus votre AI s’améliora et deviendra efficace. Sans humain, votre AI évoluera très lentement, ce qui est la pire chose à faire si l’on veut se mettre à l’abri des cyberattaques qui ne font qu'exposer tout en devant de plus en plus complexes.

Si votre fournisseur d’outil de cybersécurité AI vous dit qu’il détecte et bloque automatiquement toutes les cybermenaces, fuyez le!

Pour information, certains de nos clients en Détection et Réponses Gérées (service de surveillance 24/7 de la sécurité) sont des entreprises qui ont acquis un outil de cybersécurité AI automagique et se sont rendus compte ensuite que l’outil ne fonctionnait pas tout seul. Pire, la charge de travail générée par ces outils est importante, ce qui occupe fortement les ressources TI internes. En effet, l’un des défis avec l’IA, c’est la réduction des faux positifs. 

Pour plus d'efficacité, ces entreprises décident d’externaliser la gestion de ces outils AI et nous contactent, au regard de notre expertise reconnue en AI appliquée en cybersécurité.

Le futur de l’AI dans la détection des cybermenaces (court et moyen terme)

Il y a une pénurie de ressources qualifiées en cybersécurité opérationnelle/technique alors que la demande est de plus en plus forte dans ce domaine. Les compagnies de cybersécurité les plus avancées en AI comme Streamscan travaillent sur des modèles AI qui simulent le comportement des analystes humains et fait les analyses de cybermenaces comme eux. L’idée c’est d’automatiser le plus possible les analyses, tout en permettant à l’IA de continuer à apprendre et évoluer. 

Autre défi : comment éliminer les tâches routinières des analystes humains, afin de réduire leur charge de travail, ce qui leur permettrait de se concentrer sur les cybermenaces plus importantes? L’accent est mis sur l’automatisation des analyses et de la réponse.

Pour terminer, l’AI en Cybersécurité va continuer à évoluer et connaîtra encore des accélérations majeures. Mais pour l’instant, l’alliance entre l’AI et l’Humain offre le meilleur résultat dans la cyberdéfense des organisations.

Vous voulez comprendre comment l’IA peut vraiment renforcer votre cybersécurité sans mythes ni promesses irréalistes?

Planifiez une consultation gratuite de 30 minutes avec nos experts pour évaluer votre posture actuelle, vos outils et les opportunités d’amélioration basées sur de vraies données. Protégez votre organisation avec une approche où l’IA et l’humain travaillent ensemble efficacement.

Besoin d’un avis d’expert pour votre situation ?

Nos spécialistes sont là pour vous guider.

Bénéficiez d’un échange gratuit et sans engagement pour faire le point sur vos enjeux, vos priorités et les solutions adaptées à votre entreprise.

Contactez un expert dès maintenant
Un homme pointe a un écran