Face à l’explosion des cyberattaques, l’IA dans la cybersécurité s’impose comme une solution incontournable pour renforcer la protection des entreprises
En effet, entre analyses de données, de comportements et de menaces, l’IA révolutionne la défense numérique. Mais comment fonctionne-t-elle concrètement ? Quels sont ses avantages et ses limites ? Pour répondre à ces questions, nos équipes LeHibou sont allées à la rencontre de Frédéric Gouth, RSSI et DPO, et de Vanessa, DPO IA et cybersécurité.
L’intégration de l’IA dans la cybersécurité
L’IA fait beaucoup parler d’elle ces dernières années, notamment depuis l’arrivée de la Big Data.
« En réalité, l’IA existe depuis bien plus longtemps que ça » nous confie Frédéric Gouth. « Elle devient de plus en plus populaire parce qu’elle arrive à faire de plus en plus de choses de nos jours. »
Dans la cybersécurité, de nombreux outils nécessitent un apprentissage automatique. « Tout outil nécessitant une période d’apprentissage automatique inclut de l’IA dans la majorité des cas. C’est pourquoi l’IA s’intègre automatiquement dans la cybersécurité » ajoute notre expert.
« L’intégration de l’IA dans la cybersécurité est une opportunité. » Frédéric Gouth
Automatisation dans la détection des menaces
L’IA permet d’automatiser la détection de cybermenaces. En effet, grâce à son apprentissage, l’IA est entraînée pour détecter des comportements suspects et à agir en conséquence.
Elle permet une détection plus rapide que l’humain. En effet, « pour détecter une attaque, on a besoin d’analyser des logs. Nos systèmes informatiques produisent aujourd’hui une quantité astronomique de logs. Humainement, il n’est pas possible de tout analyser et de pouvoir détecter les anomalies. Avec l’IA, on peut avoir une détection et une alerte très rapidement » nous explique Frédéric Gouth.
L’IA permet ainsi d’ingurgiter un grand nombre de données en peu de temps et de fournir des informations ou des statistiques sur ces dernières.
Rôle des SIEM et des SOC
De nombreuses solutions ont vu le jour, dont les SOC (Security Operations Center). « Les SOC possèdent des algorithmes qui vont pouvoir par exemple déterminer si les adresses IP se connectant à vos appareils sont suspectes ou non » explique Vanessa.
Au sein de ces SOC, on retrouve notamment des outils SIEM. Ils sont en mesure de récupérer une quantité importante de données et de logs. Ils aident également à corréler des évènements et à générer des alertes en se basant sur des règles et modèles comportementaux. « Nous, experts en cybersécurité, allons donc pouvoir, à partir de ces données et logs, créer des règles. Ces règles vont déterminer à quel moment une alerte doit être lancée. Elles permettent à l’IA d’apprendre à reconnaître des comportements » souligne Frédéric Gouth.
Par exemple, explique Vanessa, les SIEM peuvent déterminer si une pièce jointe dans un mail présente un risque. Après analyse, il sera possible de déterminer si l’alerte était légitime ou non. « Ce sont des outils nécessaires et qui contribuent aujourd’hui à la sécurité du SI. Cependant, avant de les mettre en production, il faut absolument se renseigner auprès de l’éditeur pour connaître les risques d’erreur, et pour effectuer surtout une analyse des risques en termes de sécurité et de protection de données. » souligne-t-elle.
Apprentissage automatique en cybersécurité
Lorsque l’IA détecte un comportement suspect au niveau du SOC, elle va soit directement bloquer l’action, soit l’autoriser et envoyer une alerte. C’est à l’humain d’effectuer les analyses qui suivent afin de déterminer si l’alerte est justifiée ou non.
Ceci montre donc que la phase d’entraînement des données est indispensable pour obtenir une bonne qualité de données en sortie, mais n’exclut pas le contrôle par l’homme sur ces dernières.
« Au départ, il ne faut pas placer l’IA sur l’entièreté du SI. Il faut dans un premier réaliser une POC sur une partie du SI. Une fois l’apprentissage terminé, elle pourra ensuite être étendue à l’ensemble du SI » explique Frédéric Gouth.
Ainsi, nos deux experts soulignent l’importance de l’action humaine dans l’utilisation de l’IA en cybersécurité.
« L’IA ne doit pas remplacer les experts en cybersécurité. Elle doit agir comme un assistant. » Frédéric Gouth.
Quelles applications d’IA en cybersécurité ?
Des outils d’IA français
De nombreux outils d’IA en cybersécurité sont développés par des sociétés françaises :
- Sekoia.io : société qui possède une plateforme XDR pour sécuriser le réseau et qui utilise l’IA pour surveiller et répondre aux menaces en temps réel.
- HarfangLab : société spécialisée dans la détection de menaces avancées grâce à des algorithmes d’IA. Il permet une surveillance en temps réel
- Vade Secure : cet outil se trouve dans les applications validées par l’ANSSI.
- Alsid : société qui se concentre sur la sécurité de l’active directory. Grâce à l’IA, son outil détecter des menaces et des vulnérabilités très rapidement.
- Tehtris : société qui fournit des solutions de cybersécurité possédant une IA reconnue au niveau mondial.
- Autres : Gatewatcher, Cybelangel, Hitrust, etc.
Des outils d’IA internationaux
D’autres outils d’IA en cybersécurité sont développés par des acteurs au niveau international tels que :
- Darktrace
- Palo Alto Networks
- Defy Security
- Crowdstrike : considéré comme leader dans le domaine.
Les antivirus nouvelle génération
Pour reconnaître les virus informatiques, les antivirus ancienne génération se basait sur une signature dans le code.
Aujourd’hui, les antivirus nouvelle génération se basent à la fois sur cette signature mais aussi sur une analyse du comportement par l’IA. Ainsi, même si le virus n’est pas connu, il peut automatiquement être détecté et bloqué grâce à une détection de comportement suspect.
« Aujourd’hui, les antivirus sont soit des EDR, c’est-à-dire qu’ils concernent l’appareil en lui-même ; soit des XDR, s’ils concernent le réseau » souligne Frédéric Gouth.
Quand l’IA devient une menace en cybersécurité
De plus en plus de cyberattaques reposent aujourd’hui sur l’IA. En effet, si l’IA a permis d’une part de faciliter le quotidien des experts en cybersécurité, elle a aussi offert de nouvelles opportunités pour les hackers.
« L’IA permet un gain de temps considérable. Tout va donc plus vite ; et en parallèle, les techniques d’attaque sont de plus en plus précises et ingénieuses. Il est donc plus difficile de les détecter et de les traiter » explique Vanessa.
Désinformation et deepfakes
L’IA générative permet notamment de créer des deepfakes. Par exemple, elle permet de modifier le visage d’une personne sur une photo ou une vidéo, qui peut ensuite être utilisée à des fins de désinformations ou de chantage.
Ceci peut complètement déstabiliser une entreprise, voire un Etat dans certains cas.
Toutefois, l’IA permet également de développer des algorithmes permettant d’identifier et de contrer de telles menaces.
Vol et manipulation de données
L’IA a aussi facilité le vol ainsi que la manipulation de données par les cyberattaquants.
En 2023, 67% des vols de données sont restés indétectés pendant plus de 100 jours. Ceci témoigne donc d’un tournant dans la cybercriminalité, qui devient plus difficile à contrer.
Attaques par injonction de prompts
L’IA générative permet aussi des attaques de grande ampleur : les attaques par injonction de prompts (ou prompt injection attacks en anglais). Dans ces attaques, le cybercriminel manipule les données d’entrée dans les systèmes de traitement de langage naturel. Il peut ainsi influencer les données fournies en sortie du système.
Quelles régulations et normes pour encadrer l’IA ?
Les autorités qui encadrent la cybersécurité
L’ANSSI est l’organisme régulant la cybersécurité en France. Elle est notamment responsable de la certification des produits de sécurité. De même, elle assure un rôle de formation et de sensibilisation.
Elle est automatiquement alertée en cas de cyberattaque, et peut venir en aide aux entreprises dites critiques.
L’ENISA (Agence de l’UE pour la cybersécurité) joue également un rôle primordial dans la promotion de la cybersécurité au niveau européen. En effet, elle délivre des certifications et des documents officiels concernant la cybersécurité.
Enfin, le NIST (National Institute of Standard Technology) met en place des normes ainsi que des lignes directrices en matière de cybersécurité.
Chacune de ces autorités tient compte de l’intégration des modèles d’IA dans les processus et solutions de cybersécurité.
Les autorités délivrent ainsi les bonnes pratiques à adopter concernant l’IA dans la cybersécurité. Parallèlement, nous explique Vanessa, elles analysent les outils et les types d’attaques utilisées par les hackers afin de mieux les contrer et d’établir des protocoles de réponse.
Les régulations de l’IA
Aux prémices de toutes les régulations sur l’IA se trouve le RGPD. Ce texte réglementaire européen encadre l’utilisation et la protection des données.
De nombreuses lois et régulations existent aujourd’hui pour encadrer l’utilisation de l’IA et de la cybersécurité. Parmi elles, on compte notamment à l’échelle européenne :
- L’AI Act, un cadre réglementaire européen sur l’utilisation de l’IA, intégrant des notions d’éthique. Il inclut également des interdictions à l’image de celles du RGPD.
- Le Cybersecurity Act, un cadre européen de certification de cybersécurité. Il intégre des processus basés sur l’IA.
A l’échelle internationale, on retrouve des régulations comme le Cybersecurity Information Sharing Act (CISA) mis en place par les Etats-Unis pour faciliter l’utilisation de l’IA. Aussi, le partenariat mondial pour l’IA, créé en 2019, réunit plus de 40 pays pour inciter à une utilisation responsable de l’IA.
Ces régulations permettent ainsi un encadrement de l’IA et de ses usages dans la cybersécurité. Cependant, « une grande partie des acteurs du marché n’est pas au fait de l’application de ces régulations. Ces dernières nécessitent un certain niveau de connaissance et de compréhension » explique Vanessa.
Enfin, ces cadres de régulation sont en constante évolution et leur mise en œuvre peut varier selon les juridictions.
Les normes autour de l’IA
Une norme spécifique a notamment été créée pour encadrer l’IA : la norme ISO 42001. Toujours en cours de développement, elle représente la première norme de management de l’IA au monde.
Les normes ISO Technical Report 24027, 24028 et 24029 permettent d’évaluer plus en détails les biais, la fiabilité ainsi que la robustesse de l’IA. Ces dernières sont toujours en cours de développement.
L’ANSSI met également à disposition un guide de recommandations sur la sécurisation d’une architecture d’un système d’IA générative. D’autres guides et webinaires sur l’IA générative sont aussi proposés par la CNIL.
L’avenir de l’IA en cybersécurité
Lorsque nous avons demandé à nos experts si l’IA deviendrait plutôt une alliée ou une ennemie de la cybersécurité dans le futur, leur réponse a été unanime : les deux.
« L’IA est tellement puissante qu’elle va servir les deux côtés : la cybersécurité et les cyberattaquants » explique Frédéric Gouth.
« Il faut absolument l’utiliser comme alliée car ce sera le seul outil capable de contrecarrer les cyberattaques utilisant l’IA » rajoute Vanessa.
En effet, l’intégration de l’IA dans la cybersécurité reste une chance, même si elle s’accompagne de nouveaux risques. Sa régulation est donc nécessaire. Enfin, il est important de garder en tête qu’il revient à l’humain de prendre la décision finale pour toute utilisation.
« L’arrivée de l’IA, c’est le même Big Bang que l’arrivée d’Internet. Il ne faut pas la diaboliser, mais il faut en revanche appliquer certaines règles d’éthique, bien plus que ce n’était le cas avec Internet. » Frédéric Gouth
