« AI inside ». Il n’y a guère aujourd’hui de fournisseur (éditeur, équipementier, intégrateur) qui ne prétend pas intégrer dans ses logiciels ou ses services numériques des technologies d’intelligence artificielle. 

Le monde de la cybersécurité n’échappe pas à la règle. Un nombre croissant de spécialistes communiquent sur les atouts du recours au machine learning ou au deep learning. De nombreux éditeurs, anglo-saxons notamment, en ont fait leur principal élément différenciant.

Les arguments avancés par les partisans du tout IA sont convaincants : 

L’approche statistique de l’IA donne un coup de vieux à la vision classique de la cybersécurité traditionnelle qui consiste, une fois un virus, un malware ou un ransomware connu, de créer sa signature afin de le bloquer.

Grâce à l’IA, plus besoin de connaître la menace pour la contrer ni de multiplier les patchs et les mises à jour, elle va analyser un fichier sous toutes les coutures et lui attribuer un score de confiance. En deçà de ce score, il est placé en quarantaine. Cette approche statistique permettrait de mieux prévenir les nouvelles formes de menaces, les différentes évolutions d’un code malveillant, voire de bloquer les « zero day« .

Par ailleurs, le recours à l’IA pallierait le déficit structurel en compétences cyber en déchargeant les experts des tâches répétitives, chronophages et sans valeur ajoutée pour qu’ils puissent se concentrer sur les éléments méritant véritablement leur attention. 

Actuellement, les entreprises doivent également se doter des mêmes armes que les cybercriminels qui, on le sait, ont toujours un train d’avance. Les hackers recourent déjà massivement aux technologies d’IA pour identifier les failles d’un système, casser un mot de passe, remplir des Captcha, personnaliser des campagnes de phishing ou créer des deep fakes. 

Le très à la mode agent conversationnel ChatGPT serait même déjà détourné pour écrire du code malveillant.

Il faut toutefois se méfier des buzzwords et le décalage est souvent grand entre le discours marketing et la réalité des faits. 

A date, l’IA montre surtout sa pertinence dans la détection de comportements suspects et de signaux faibles dans l’océan de données à analyser.

Auto-apprenant, le système protège contre les cybermenaces en se basant sur un historique de modèles comportementaux. Toute modification de ces schémas habituels est analysée et isolée. 

Par exemple, un collaborateur s’est connecté depuis l’étranger, à une heure inhabituelle avec un terminal non enregistré. Le système remonte l’alerte à un expert qui décide de la lever ou d’aller plus loin dans les investigations jusqu’à mener ou non des actions correctives.

Si l’IA peut encore aider l’analyste en contextualisant l’événement suspect par recoupement de différentes sources d’information, son rôle s’arrête là à ce jour. 

Si la montée en puissance de l’IA dans les dispositifs de protection va dans le sens de l’Histoire, elle sera progressive. Pour l’heure, sa généralisation bute sur la confiance placée en elle.

Qui dit système auto-apprenant dit faux positifs. Or, selon l’expert Dane Sherret, architecte solutions chez HackerOne, « les rapports de vulnérabilités générés par l’IA révèlent de nombreux faux positifs, ce qui ajoute des frictions supplémentaires et représente une surcharge pour les équipes de sécurité. »

Soit le contraire de l’objectif poursuivi. Un constat qui invalide, une fois encore, la possibilité d’une IA autonome. Une organisation ne pourrait se permettre de voir son activité paralysée pour un faux positif.

L’IA pose ensuite la question de la transparence des algorithmes dits « boite noire » de type deep learning. Par quels mécanismes, un modèle obtient, à partir de ces données en entrée, ce résultat en sortie. Le modèle doit non seulement être explicable, mais aussi robuste. Des hackers peuvent sinon sciemment le pervertir en injectant des données toxiques (data poisoning) faisant du système auto-apprenant une véritable passoire.

Pour Dane Sherret, « l’évolution du paysage technologique nécessitera toujours un élément humain », et « l’IA ne pourra égaler ou dépasser l’expertise d’une communauté mondiale de hackers ».

Il rappelle, par ailleurs, que pour son bon fonctionnement, l’IA a besoin d’une supervision humaine et d’une configuration manuelle. Il faut ensuite l’entraîner sur les données les plus récentes au regard de l’évolution permanente des menaces et de l’exploitation de nouveaux vecteurs d’attaque.

« Des données datées d’un an seulement peuvent rendre les solutions autonomes beaucoup moins efficaces, et une dépendance excessive aux outils d’analyse rend déjà de nombreuses entreprises vulnérables », estime Dane Sherret.

Si l’IA ne va donc pas remplacer les experts de la cybersécurité, elle peut renforcer leurs capacités. « Aujourd’hui, nous voyons des hackers éthiques utiliser l’IA pour les aider à rédiger des rapports de vulnérabilité, à générer des échantillons de code, ainsi qu’à identifier des tendances dans de grands ensembles de données. » Bref, une IA au service de l’humain.