Ce blog a été publié à l'origine sur ISACA Now.
Dans de nombreuses sphères de l'emploi, l'application de la technologie de l'intelligence artificielle (IA) suscite une crainte croissante. Kevin Maney, de Newsweek , a résumé de manière saisissante la transformation imminente de l'emploi et les inquiétudes qu'elle suscite dans son récent article intitulé "Comment l'intelligence artificielle et les robots vont radicalement transformer l'économie".
Dans la communauté de la sécurité de l'information (InfoSec), l'IA est généralement considérée comme un sauveur - une application de la technologie qui permettra aux entreprises d'identifier et d'atténuer plus rapidement les menaces, sans avoir à ajouter des humains. Ce facteur humain est généralement considéré comme un frein à l'activité, car les compétences et l'expérience nécessaires sont à la fois coûteuses et difficiles à obtenir.
Par conséquent, au cours des dernières années, de nombreux fournisseurs ont remanié leurs produits et les ont rebaptisés "IA", à la fois pour répondre aux frustrations croissantes de leurs clients qui estiment que la lutte contre chaque nouvelle menace nécessite du personnel supplémentaire pour s'occuper des outils et des produits qui leur sont vendus, et pour se différencier des approches "anciennes" de lutte contre les menaces qui persistent malgré deux décennies d'innovation en matière de détection.
Le changement de marque, le remarketing et l'inclusion de divers mots à la mode dans le domaine de la science des données - intelligence artificielle, apprentissage automatique, big data, lacs de données, apprentissage non supervisé - dans les argumentaires de vente des produits et les documents collatéraux ont donné l'impression que l'automatisation de la sécurité était la même chose que la sécurité de l'IA.
La révolution de l'IA n'en est qu'à ses débuts. Les fournisseurs de produits et de services font progresser leurs moteurs d'IA v1.0 et se concentrent principalement sur la résolution de deux problèmes : l'exploration d'une masse croissante de données sur les menaces à la recherche de pépites exploitables et la reproduction des fonctions humaines les plus courantes et les plus élémentaires des analystes de la sécurité.
Aucun des deux défis n'est particulièrement exigeant pour une plateforme d'IA. Les approches statistiques de la détection des anomalies, du regroupement des données et des processus d'étiquetage répondent à tous les critères du premier défi en matière de sécurité, tandis que les approches des "systèmes experts" des années 1970 et 1980 sont généralement adéquates pour la majeure partie du second défi. Ce qui a changé, c'est le volume de données sur lequel les décisions doivent se fonder et les progrès des systèmes d'apprentissage.
Ce qui déconcerte actuellement de nombreux acheteurs de technologies de sécurité, c'est l'inclusion de mots à la mode concernant l'IA dans les produits et services qui offrent essentiellement de l'"automatisation".
Bon nombre des propositions de valeur fortement commercialisées ont trait à l'automatisation de nombreuses tâches manuelles qu'un analyste des menaces ou un intervenant en cas d'incident entreprendrait dans le cadre de ses activités quotidiennes, telles que le tri des alertes critiques, leur mise en corrélation avec d'autres alertes moins importantes et des entrées de journal, l'extraction de captures de paquets (PCAP) et de journaux d'activité de l'hôte, la superposition de renseignements sur les menaces externes et de flux de données, et la présentation d'un ensemble d'analyses pour qu'un analyste humain puisse déterminer les prochaines actions à entreprendre. Toutes ces actions liées peuvent bien sûr être facilement automatisées à l'aide de langages de script si l'organisation le souhaite.
L'automatisation du traitement des événements de sécurité ne nécessite pas d'IA - du moins pas le type ou le niveau d'IA qui, selon nos prévisions, entraînera une transformation de l'économie et de l'emploi à l'échelle mondiale.
L'IA v1.0 employée dans de nombreux produits d'aujourd'hui peut être considérée comme des robots de chaîne de montage - reproduisant des tâches mécaniques répétées, ne nécessitant pas nécessairement d'"intelligence" en tant que telle. Cette automatisation apporte évidemment des gains d'efficacité et de cohérence aux enquêtes et aux réponses aux incidents, mais elle n'a pas encore d'impact sur la nécessité pour une organisation d'employer des analystes humains qualifiés.
À mesure que les organisations se sentent plus à l'aise dans le partage et la mise en commun des données, la communauté de la sécurité peut s'attendre à l'avancement et à l'incorporation de meilleurs systèmes d'apprentissage - sur la voie d'une IA v1.1 incrémentale - dans lesquels l'automatisation des processus apprend efficacement les bizarreries, les actions et les décisions courantes de l'environnement dans lequel elle opère. Un exemple serait l'évaluation d'un dossier d'analyse qui a été compilé automatiquement en déterminant les similitudes avec des dossiers générés et traités précédemment, en attribuant une priorité et en acheminant le dossier au bon interlocuteur humain. Cela peut sembler un processus d'automatisation petit mais logique, mais il faut un autre niveau et une autre classe de mathématiques et d'"intelligence" pour apprendre et mettre au point un processus expert de prise de décision.
Dans mon esprit, Security AI v2.0 réside dans un moteur d'intelligence qui non seulement apprend dynamiquement en observant la classification répétée des menaces et leurs actions correspondantes, mais qui est également capable d'identifier correctement des comportements suspects qu'il n'a jamais vus auparavant, de déterminer le contexte de la situation et d'initier les actions les plus appropriées au nom de l'organisation.
Cela pourrait inclure la capacité non seulement d'identifier qu'un nouvel hôte a été ajouté au réseau et semble lancer un balayage de port contre le serveur Active Directory, mais aussi de prédire si l'action peut faire partie d'un test de pénétration (pentest) en comprenant le processus typique de livraison de pentest, les cibles typiques des pentests passés et la cadence régulière ou la programmation des pentests au sein de l'organisation. Le moteur pourrait alors parvenir à une conclusion fondée sur des preuves, rechercher et alerter les responsables de l'activité suspectée et, dans l'attente d'une confirmation, ajuster automatiquement les règles de prévention des menaces et les seuils d'alerte afin d'isoler l'activité suspecte et de minimiser les dommages potentiels.
Le succès de l'IA en matière de sécurité réside dans la détermination d'actions basées sur des informations incomplètes et précédemment non classifiées - à ce moment-là, les rôles d'analystes en sécurité de "niveau 1", difficiles à conserver, disparaîtront comme tant d'emplois à la chaîne dans l'industrie automobile au cours des deux dernières décennies.