L’Intelligence Artificielle (IA) a pour la première fois été évoquée par Alan Turing en 1948. Aujourd’hui, cette notion s’apparente plus à un traitement statistique avancé qu’à une réelle forme d’intelligence.
De nombreuses interrogations se posent à son sujet. Pour certaines personnes, il s’agit d’une révolution conduisant à un bouleversement des interactions hommes-machines. Pour d’autres, il s’agit du remplacement de l’intervention humaine au profit de technologies intelligentes, capables d’assurer diverses opérations.
Nous allons ici nous intéresser à ses bénéfices dans le cadre de la Cybersécurité.
Dans ce domaine, beaucoup de données sont exploitées : évènements, logs… Il est nécessaire de traiter cet important volume afin d’en ressortir les informations les plus pertinentes. C’est dans ce contexte que l’IA va intervenir à des fins de détections des menaces. Il peut s’agir de comportements anormaux, de tentatives d’attaque par bruit de fond etc.
Il existe un ensemble de bénéfices opérationnels justifiant de recourir à l’IA. En effet, les technologies bâties sur des bases de connaissances ne couvrent que la moitié des risques. C’est là qu’intervient l’Intelligence Artificielle et le Machine Learning en détectant les comportements déviants. Pour y parvenir, des gabarits basés sur des comportements dits “standard” vont être profilés. Les actions extérieures à ces derniers seront ainsi apparentées à des comportements suspects pouvant être le fruit d’une tentative d’attaque.
D’autre part, les solutions de cybersécurité, lorsqu’elles ne sont pas installées à l’état de l’art, ne prennent pas en compte l’évolution des menaces. Elles se montrent ainsi rapidement inefficace. En assurant l’auto-configuration des équipements, l’Intelligence Artificielle assure une continuité de configuration au fur et à mesure du temps et des évolutions de la menace.
Enfin, l’IA et le Deep Learning assurent le traitement des évènements remontés aux cyber-analystes (notamment les équipes SOC). Le traitement des faux-positifs est extrêmement chronophage, il peut représenter jusqu’à 80% des évènements. Un assistant d’analyste basé sur l’IA va ainsi permettre de réaliser une première étude et écarter les faux-positifs. De cette manière, une faible quantité d’évènements qui nécessites une investigation plus profonde seront à traiter par les analystes.
Ces 3 utilisations s’intègrent également aux services d’un SOC. Comme dit précédemment, l’Intelligence Artificielle va permettre d’identifier les informations dont le traitement est prioritaire et ainsi augmenter la productivité et simplifier le travail du cyber-analyste.
Elle va également permettre d’assurer le Maintien en Condition de Sécurité via différentes formes d’audit (configuration, vulnérabilité, analyses des risques). L’IA est nécessaire pour que ces dernières soient réalisées de manière quotidienne. Elle va également accompagner l’analyste dans son travail afin d’augmenter son efficacité.
En plus de la détection d’attaques, l’agrégation des éléments fondamentaux permet à l’analyste de faire de la gestion de crise et de la remédiation. L’intelligence Artificielle ne vient pas concurrencer l’expert mais va plutôt lui permettre de se recentrer sur son métier.
Aujourd’hui, l’IA se positionne comme un assistant à l’intervention humaine. Il ne s’agit pas encore d’une réelle forme d’intelligence. Elle permet essentiellement de faire face au volume important de données à traiter afin que les réels problèmes de sécurité puissent être priorisés. L’évolution des capacités de traitements fait que les modèles théoriques élaborés il y a plusieurs années peuvent aujourd’hui être mis en œuvre de manière concrète. Dans un contexte d’augmentation et de professionnalisation des cyberattaques, le recours aux traitements statistiques avancés est primordial. Il est amené à prendre une part de plus en plus importante dans les prochaines années…