Utilisation de l’IA en cybersécurité : rôle et avantages
L’utilisation de l’IA en cybersécurité : rôle et avantages
Les stratégies de test, généralement réalisées par des experts et/ou exécutées par des processus automatisés, peuvent être rigides et avoir du mal à s’adapter à des attaques évoluant rapidement. L’IA devrait être envisagée pour faciliter les processus de détection et de protection en les rendant plus simples, plus rapides et plus réactifs. En outre, l’IA, en tant que système autonome, est capable de générer de nouvelles stratégies de défense et de nouveaux cas de test. La large diversité des techniques fondamentales (des arbres de décision aux réseaux de neurones) permet de répondre à la majorité des défis. Aujourd’hui, des techniques supplémentaires basées sur l’apprentissage par renforcement et/ou les approches cognitives élargissent considérablement le champ des possibles.
Néanmoins, même si ces bénéfices potentiels doivent clairement être pris en compte, l’IA n’est pas toujours parfaitement adaptée. Cette contradiction est liée au manque d’explicabilité et d’interprétabilité des modèles d’IA. L’explicabilité est la capacité d’un modèle à fournir une explication compréhensible à un expert métier. L’interprétabilité est une capacité similaire mais destinée au data scientist. Les modèles les plus performants ont souvent un comportement de type « boîte noire », fournissant une réponse sans raisonnement clairement explicable. Heureusement, un nombre croissant de techniques facilite aujourd’hui la compréhension de ces modèles.
Ces capacités permettent de :
Confirmer les connaissances existantes
Un pilier de la cybersécurité est de valider en continu les stratégies existantes et de confirmer la base de connaissances, en s’assurant qu’elle reste pertinente et applicable. Les experts cherchent à vérifier la fiabilité des règles en place. Une solution d’IA, en tant qu’agent automatisé, peut réaliser des tests d’intrusion efficaces et, à partir des résultats, renforcer la sensibilisation des équipes à la cybersécurité.
Remettre en question les connaissances existantes
Un second rôle de l’IA est de challenger la base de connaissances afin d’élargir la liste des explications possibles face aux menaces. Une solution d’IA peut intégrer un nombre beaucoup plus large de caractéristiques, ce qui élargit naturellement la perspective et la compréhension d’un événement. De plus, cette analyse peut être réalisée dans des délais beaucoup plus courts.
Générer de nouvelles hypothèses
Le troisième rôle principal apparaît lorsque davantage d’autonomie est accordée à la solution d’IA. Cette autonomie peut être atteinte grâce à l’utilisation de plusieurs agents fonctionnant en équipe et évaluant différentes stratégies de manière « aléatoire ». Chaque agent possède un domaine d’expertise spécifique. Cette approche est beaucoup plus complexe et nécessite un agent coordinateur. Elle repose généralement sur des méthodes cognitives visant à imiter le comportement humain.
Ajouter des mécanismes et éléments améliorant les capacités de détection pour valider des scénarios et aider à former les équipes
Dans le domaine de la surveillance de la sécurité, un point clé est de garantir la fiabilité des capacités de détection des règles en conditions réelles. En effet, il serait problématique de mettre en place des mécanismes de détection qui ne déclencheraient pas les alertes au bon moment. Les équipes SOC disposent d’un processus qualité leur permettant de valider le bon fonctionnement des mécanismes de détection lors des modifications et créations. Bien que cette tâche soit essentielle, elle est fastidieuse et doit être réalisée avec soin en choisissant des cas d’usage génériques.
Mais qu’en est-il de la capacité à détecter des schémas d’attaque spécifiques ?
C’est ici que l’IA peut jouer un rôle important en simulant des schémas d’attaque afin de valider le bon fonctionnement des règles en place. Les capacités de l’IA offrent des possibilités d’automatisation et de diversification qui complètent parfaitement les mécanismes de validation formels déjà utilisés au sein des SOC. En effet, une IA suffisamment entraînée peut être utilisée non seulement comme moyen de défense, mais aussi comme outil de test et de validation. Il est ainsi possible d’utiliser l’IA pour vérifier l’implémentation des règles de sécurité prédéfinies et développer de nouveaux scénarios basés sur des tests ou des tendances.
