"L'intelligence artificielle n'a rien à envier à la stupidité humaine", observait Albert Einstein avec ironie. Aujourd'hui, nous avons évolué au point que l'IA peut offrir des avantages critiques et indispensables dans la course à la cybersécurité. Néanmoins, même les responsables de la sécurité les plus brillants ne voient pas toujours comment ou pourquoi c'est le cas.
État des lieux : IA et cybersécurité
Ce billet marque le début de ma modeste campagne visant à expliquer le contexte de cette situation.
Le terme "IA" (certains disent "apprentissage automatique") apparaît aujourd'hui partout dans les présentations marketing élaborées des fournisseurs de cybersécurité. En fait, je dirais qu'il est présent dans presque tous les documents promotionnels. Bien que l'IA soit en vogue actuellement, la communauté de la cybersécurité semble n'avoir acquis que peu de connaissances et de compétences sur le sujet. Le décideur moyen peut comprendre certains des grands principes - mode supervisé ou non supervisé, par exemple - et il est probablement même capable de distinguer l'apprentissage profond de l'apprentissage superficiel. Mais la manière de l'appliquer tactiquement à la cybersécurité reste largement inconnue - ou mal comprise.
Heureusement, il est peu probable que ces déficits restent permanents. Rappelons qu'il y a quelques années à peine, des déficits de compréhension similaires existaient pour le site cloud, qui est depuis entré dans le langage courant. Pourtant, nous pouvons faire beaucoup pour remédier à ces déficits et accélérer la mise en œuvre de l'IA.
Vectra AI a placé l'IA au cœur de sa stratégie[1]. Il s'agit d'une organisation qui crée des solutions augmentées par l'IA afin de déduire comment les attaquants agissent pour atteindre leurs objectifs : Vont-ils déployer des ransomwares ? Ou l'exfiltration de données ? Dans ce contexte, l'IA devient un moyen de détecter des anomalies indiscernables par l'analyse humaine. Elle trie les anomalies et les classe selon des arbres de décision ou des algorithmes de clustering[2]. Elles sont ensuite cartographiées en séquence pour révéler les voies d'attaque futures, en hiérarchisant les alertes pour attirer l'attention sur les menaces les plus critiques.
Vectra AI définit les modèles d'apprentissage les plus pertinents pour atteindre cet objectif. Ce secteur continuera à prendre de l'importance à mesure que l'état de l'art des cyberattaques évoluera.
Quatre choses à savoir sur l'IA
Que devons-nous donc savoir sur l'IA ? Permettez-moi de vous faire part de quatre brèves suggestions :
Tout d'abord, il n'est pas impossible de comprendre le pouvoir de l'IA.
Les ressources disponibles sont bien plus précieuses que les présentations marketing superficielles. J'ai moi-même bénéficié de discussions récentes, populaires et substantielles, sur les problèmes de cybersécurité que l'apprentissage automatique peut résoudre[3], les principes régissant l'utilisation de l'IA[4] et les livres blancs expliquant les modèles adaptatifs d'apprentissage automatique[5]. Bien sûr, une grande partie du contenu sur ce sujet est difficile, car il plonge dans les formules mathématiques complexes qui propulsent les modèles d'apprentissage automatique pour atteindre des objectifs spécifiques[6]. Mais il y a de plus en plus de matériel plus accessible pour tous les non-spécialistes, dont le meilleur se trouve à l'adresse Vectra AI[7].
Deuxièmement, les organisations qui sont vraiment à la pointe de cet effort n'ont pas besoin de détourner leurs clients avec des gadgets décoratifs.
Lorsque j'étais consultant, j'ai appris que lorsque le contenu d'une présentation était mince ou peu convaincant, il était naturel de vouloir compenser en produisant un format plus excitant. Dans le secteur de l'IA, chaque fois que vous rencontrez une interface utilisateur extraordinaire avec des effets graphiques époustouflants, posez-vous la question : L'objectif n'est-il pas de masquer un manque de compréhension ou de valeur réelle ? Les clients veulent de l'efficacité et de la rentabilité, pas des concours de beauté.
Troisièmement, l'IA n'est pas automatiquement sensible ; elle doit être bien formée.
L'un des principes fondamentaux de tout modèle d'IA, en particulier d'un modèle supervisé, est de créer de la valeur - ce qui nécessite un entraînement avec un ensemble de données sans biais et suffisamment représentatif des menaces du monde réel. Trop de solutions disponibles aujourd'hui ont tendance à négliger ce fait. Les modèles non supervisés cherchent à reconnaître les comportements "normaux" dans leurs domaines, puis à repérer les écarts, ce qui n'est pas sans valeur ; mais le faire sans entraînement présente des inconvénients évidents, à commencer par la difficulté d'introduire une telle solution dans un environnement déjà compromis[8].
Lorsque j'étais jeune et que j'obtenais ma certification en gestion des risques, nous avons appris à appliquer un adage pour calculer le risque des actuaires qui dépendent des données : "Garbage in, garbage out". Le même axiome s'applique aujourd'hui à l'IA.
Quatrièmement, dans le domaine de la cybersécurité, l'IA ne peut pas remplacer les analystes humains expérimentés ; elle ne peut que les compléter.
Dans tout environnement de sécurité augmenté par l'IA, le pouvoir d'investigation et le jugement des humains restent essentiels - mais ils observent nécessairement un terrain différent, axé sur la recherche d'indicateurs de compromission (IOC). Dans l'idéal, des chercheurs en sécurité compétents peuvent analyser les schémas d'attaque et collaborer avec des spécialistes des données pour élaborer des solutions de sécurité basées sur l'IA. La technologie qu'ils produisent devient de plus en plus performante pour détecter les menaces et y réagir. Mais l'intervention humaine reste essentielle.
Cet article a délibérément évité d'entrer dans les détails. Mon intention était seulement d'éveiller l'intérêt et de fournir un point de départ pour des recherches plus approfondies. Mes collègues de Vectra AI et moi-même publions régulièrement des articles sur les applications des modèles d'apprentissage automatique dans le domaine de la cybersécurité, en fournissant des explications et des descriptions détaillées de leurs objectifs en termes de détection, de hiérarchisation et de corrélation des menaces.
Ensemble, comblons le fossé de la compréhension de l'IA !
Références
[1] Livre blanc : L'IA derrière Vectra AI
[2] https://hbr.org/2021/01/when-machine-learning-goes-off-the-rails
[3] https://www.wavestone.com/fr/insight/intelligence-artificielle-cybersecurite/
[4] https://www.microsoft.com/en-us/ai/responsible-ai?activetab=pivot1%3aprimaryr6
[5] https://link.springer.com/article/10.1007/s42979-021-00557-0