L’intelligence artificielle au service de la cybersécurité

On imagine généralement un Security Operations Center (SOC) comme une grande salle avec de gigantesques écrans sur lesquels des messages d’alerte s’affichent toutes les secondes. Face à eux se trouve une armée d’expertes et d’experts en sécurité qui surveillent les menaces avec vigilance, les analysent et les repoussent en conséquence. Voilà le cliché qu’Hollywood nous réserve encore aujourd’hui, notamment à l’exemple des organisations gouvernementales et de défense. En réalité, le scénario est un peu différent. Une lutte contre les menaces purement humaine est aujourd’hui impensable. En effet, les pirates utilisent de plus en plus l’intelligence artificielle pour lancer leurs attaques non seulement de manière plus sophistiquée, mais aussi plus nombreuses. C’est pourquoi les méthodes utilisées par les SOC pour lutter contre les incidents de sécurité doivent s’améliorer au fur et à mesure que les techniques de menace évoluent.

Augmentation de l’efficacité grâce à l’IA

Ainsi, dans le SOC d’Abraxas, par exemple, une sous-discipline de l’intelligence artificielle est utilisée depuis longtemps avec le Machine Learning (ML) pour la gestion des incidents. Les systèmes détectent alors certains événements qui peuvent constituer un incident de sécurité et qui indiquent que des systèmes ou des données ont été compromis ou que les mesures de protection ont échoué. Le composant ML identifie les schémas et regroupe les différents événements en incidents. Cela facilite le travail des analystes de la sécurité, puisqu’ils n’ont plus besoin de vérifier chaque alerte signalée. Grâce à la classification et à la priorisation automatisées des incidents, ceux-ci peuvent être classés selon leur degré de gravité afin de permettre une réaction appropriée. De telles méthodes sont nécessaires du fait que l’utilisation de l’IA par les pirates a non seulement amélioré la qualité des attaques de rançongiciels, de logiciels malveillants et de phishing, mais aussi parce que leurs méthodes d’automatisation renforcées submergent les systèmes des entreprises d’attaques

Dans la pratique, l’analyse comportementale basée sur l’IA au sein du Managed Security Services « Endpoint Detection & Response » permet de détecter les comportements préjudiciables sur les systèmes d’exploitation sur une longue période. Et le service « Managed Vulnerability Management » permet d’identifier et de corriger les vulnérabilités potentielles et les systèmes présentant un risque de sécurité élevé avant qu’ils n’entraînent des mesures d’urgence coûteuses. Pour ce faire, les infrastructures et les applications informatiques sont régulièrement scannées et, en plus des données des serveurs et des clientes et clients, des bases de données présentant des vulnérabilités connues publiquement sont utilisées.

Avec les méthodes de ML, nous identifions beaucoup plus d’attaques dans le SOC John Winter

Les réactions aux alarmes ne sont pas basées sur l’IA

Les systèmes modernes de gestion des incidents automatisent de nombreux aspects du processus dans le SOC, par exemple pour améliorer la détection des menaces et l’analyse comportementale en identifiant les modèles de trafic inhabituels, les actions ou les appareils non autorisés à l’aide du ML. Mais les mesures de défense sont toujours basées sur des règles et toujours définies avec précision dès le départ. « À l’heure actuelle, on ne laisserait pas l’IA gérer les réactions face à des situations de menace », affirme M. Winter. En effet, l’IA pourrait mal interpréter les règles. Par exemple, les systèmes ne reconnaîtraient pas a priori si des collaboratrices ou collaborateurs ont effectué un acte chez un client ou chez Abraxas qui est inhabituel, mais néanmoins légitime. Cela peut par exemple être le cas lorsque des collaboratrices ou collaborateurs chargent de grandes quantités de données dans Teams. Certaines règles sont alors définies, comme l’origine de l’adresse IP ou la certification du fichier .exe pour le programme. Des règles correspondantes seraient définies pour de telles alertes faussement positives, mais elles seraient toujours rédigées par un être humain et jamais par une IA. Si les règles définies s’appliquent à une alarme, celle-ci doit être considérée comme faussement positive et peut être considérée comme clôturée.

L’IA générative dans les starting-blocks

À l’avenir, l’IA générative sera également utilisée au-delà des modèles du ML. Concrètement, il s’agit de permettre aux analystes de lancer des requêtes IA dans le cadre de la solution XSIAM de Palo Alto Networks pour le Threat Hunting. Pour des raisons de protection des données, cette fonctionnalité n’est toutefois pas encore autorisée en Europe. M. Winter prévoit toutefois d’utiliser cette fonctionnalité dès qu’elle sera validée pour le marché suisse

L’IA générative dans le développement de logiciels

La lutte contre les vulnérabilités est néanmoins loin de concerner uniquement les réseaux, les serveurs, les terminaux ou les systèmes d’exploitation. Les applications logicielles utilisées sur ces infrastructures peuvent également présenter des vulnérabilités exploitables. Cela s’explique par le fait que les applications logicielles actuelles contiennent des centaines de composants tiers qui entraînent une multitude de dépendances au sein du système global. Les développeurs et architectes logiciels luttent contre ces situations de plus en plus complexes avec le code : « L’intelligence artificielle nous permet par exemple d’identifier les vulnérabilités dans le code avec Github Copilot et de les corriger dès leur création », explique Daniel Scherrer, Chief Software Security Officer chez Abraxas. Cette IA générative au sein de l’outil de complétion de code et de programmation élabore ensuite, en concertation avec le développeur, des suggestions pour améliorer la sécurité avant même que les révisions de code ou les tests d’intrusion ne soient effectués. Ici aussi, il est clair que les prescriptions en vigueur en matière de protection des données et de sécurité de l’information doivent être respectées. M. Scherrer n’utilise Github Copilot avec ses équipes que depuis qu’il a fait l’objet d’un audit externe en juin 2024 pour vérifier le respect des pratiques de sécurité et a été certifié en conséquence. À l’avenir, les développeurs et architectes de logiciels seront sensibilisés aux possibilités supplémentaires de l’IA générative dans le développement de logiciels par le biais de programmes de formation et de campagnes de sensibilisation spécifiques. L’IA générative ne remplace toutefois pas les processus existants. Selon M. Scherrer, elle élargit plutôt les pratiques et méthodes de contrôle actuelles. En outre, au sein d’un Software Security Group interdisciplinaire, on s’efforce de mettre rapidement les connaissances les plus récentes à la disposition de toutes les équipes de sécurité. « Dans le cadre d’une sorte d’intelligence collective, tous les apprentissages doivent avoir rapidement un impact positif sur le développement des produits », explique M. Scherrer.

Une bonne IA contre une IA malveillante

La complexité croissante des systèmes informatiques, associée aux méthodes d’attaque de plus en plus sophistiquées que les cybercriminels utilisent notamment grâce à l’IA, place les organisations de sécurité face à d’importants défis. Afin de protéger au mieux les systèmes, les SOC utilisent depuis longtemps des technologies de ML. Cela permet une détection plus efficace des menaces quasiment en temps réel, une prise de décision plus précise lors de l’analyse des attaques et, dans le meilleur des cas, une lutte proactive contre les attaques. L’IA générative est de plus en plus utilisée, pour autant qu’elle respecte les dispositions relatives à la protection des données. « Grâce à l’IA, une équipe de sept analystes en sécurité peut protéger avec succès 80 clients avec 50 applications spécialisées », résume M. Winter.