L’IA dans la cybersécurité: quelle voie emprunter?
Effet de mode ou technologie d’avenir? En ce moment, aucun sujet n’agite autant le secteur technologique que l’intelligence artificielle. En même temps, la question de savoir dans quelle mesure l’IA peut être appliquée de manière productive divise les esprits. En matière de cybersécurité, la réponse est claire : l’IA peut être un véritable «game changer».
L’intelligence artificielle et l’apprentissage automatique sont utilisés depuis longtemps dans le domaine de la cybersécurité, qu’il s’agisse de détection des anomalies, de filtrage des spams et des e-mails de phishing ou encore de prévention des attaques Business Email Compromise (BEC) grâce à l’analyse du style rédactionnel. Plus récemment, on a aussi vu apparaître des assistants d’IA générative faisant office d’interface utilisateur et permettant de s’adresser aux solutions de cybersécurité en langage naturel.
Aujourd’hui, une nouvelle étape du développement technologique de l’IA pour la cybersécurité se profile: des agents IA capables d’empêcher les cyberattaques avant qu’elles ne se produisent. Basés sur des Large Language Models (LLM) spécifiques, ces derniers sont entraînés à la fois avec des connaissances générales en matière de cybersécurité et avec des données propres à l’entreprise. Elles connaissent donc l’infrastructure IT et les comportement typiques - l’environnement leur est aussi familier qu’à un collaborateur de sécurité humain. L’IA peut ainsi assumer de manière autonome des tâches de gestion des risques et fournir aussi bien des recommander des mesures de remédiation que corriger automatiquement des vulnérabilités, si on le souhaite.
Prévoir les cyberattaques avec l’IA
Une application particulièrement novatrice de l’IA concerne la prédiction des voies d’attaque : entraînée avec des données de Threat Intelligence, l’IA connaît à la fois l’environnement IT de l’entreprise et les techniques habituelles des cybercriminels. De sorte que l’agent IA peut non seulement identifier les vulnérabilités au sein de l’environnement, mais aussi reconnaître par quel vecteur d’entrée un pirate informatique - par exemple un opérateur de ransomware – pourra potentiellement s’introduire et se déplacer dans les systèmes, ainsi que les actifs auxquels il aura accès. Sur cette base, l’agent peut prendre des mesures de remédiation.
C’est un véritable changement de paradigme. Jusqu’à présent, l’IA était utilisée dans le domaine de la cybersécurité pour collecter, catégoriser et régurgiter des informations déjà connues sur les menaces. Pour la première fois, nous en sommes à un stade où le LLM peut prédire les voies d’attaque avant qu’elles ne soient exploitées. La technologie permet ainsi de passer à une cybersécurité proactive. Grâce à leurs possibilités d’automatisation étendues, les agents IA soulagent par ailleurs les équipes de sécurité en place. Confrontées à moins d’alertes, ces dernières peuvent mieux établir les priorités, se concentrer sur les incidents vraiment importants et les traiter au mieux.
Le SIEM du futur sera basé sur l’IA
L’IA offre également un grand potentiel dans le domaine du SIEM (Security Information and Event Management) et du SOAR (Security Orchestration Automation and Response). Les systèmes SIEM basés sur l’IA sont en mesure de collecter et de nettoyer automatiquement les données provenant de différentes sources telles que les solutions Endpoint, les journaux d’événements ou les clouds. Ces données préparées et transformées peuvent ensuite être intégrées de manière transparente dans des schémas cohérents, analysées en termes de menaces et présentées de manière claire.
Enfin, l’IA offre un soutien et une automatisation étendus lors de la réaction aux incidents. Ainsi, le Security Operations Center (SOC) peut être enrichi de suggestions IA automatisées pour la détection et la réponse. Si bien que la frontière entre SIEM, SOAR et Extended Detection and Response (XDR) disparaît.
«La possibilité de manipulation et le manque de transparence sont des défis»
Les agents IA investissent de plus en plus les entreprises. Susceptibles de renforcer la cybersécurité, ils peuvent effectuer quantité d'autres tâches. Richard Werner, Cybersecurity Platform Lead Europe chez Trend Micro, explique ce à quoi il faut veiller avec ces agents et aborde la question de leur fiabilité. Interview: Tanja Mettauer
Quelles mesures les entreprises peuvent-elles prendre pour s’assurer que les cybercriminels ne manipulent pas les agents IA ou n’exploitent pas leur connaissance de l’environnement IT?
Les entreprises doivent analyser soigneusement les différentes utilisations et modes d’action des agents IA, et comprendre les dangers potentiels. Les données en entrée et en sortie jouent un rôle crucial, et les systèmes IA accessibles de l’extérieur nécessitent d’autres priorités que les solutions internes. Un contrôle strict des données en entrée est essentiel. Les entreprises doivent définir précisément qui est autorisé à saisir des données, en mettant l’accent sur la prévention des tentatives de manipulation, telles que l’injection de prompt, et sur le respect des contraintes en matière de protection des données.
Quels sont les défis posés par les agents IA capables de prendre des décisions de sécurité de manière largement autonome?
Les principaux défis résident dans la possibilité de manipulation et le manque de transparence de ces systèmes. Les attaquants peuvent élaborer de manière ciblée des scénarios inhabituels ou infiltrer les données d’entraînement afin de compromettre la prise de décision. Les réseaux neuronaux non transparents sont particulièrement sensibles, car il est quasiment impossible de revenir sur les manipulations qui y sont effectuées. L’autonomie de ces systèmes exige donc la plus grande vigilance: alors que l’IA peut prendre des décisions rapides et basées sur des données, le risque résiduel d’une erreur d’appréciation reste toujours présent. Tout l’art consiste à trouver un équilibre entre l’efficacité de l’IA et le contrôle humain.
Quelle est la fiabilité des estimations des agents IA et comment éviter les fausses alertes?
La fiabilité des agents IA est directement corrélée à la quantité de données d’entraînement pertinentes. Plus l’entraînement est poussé, plus le taux d’erreur est faible - éviter complètement les erreurs demeure toutefois irréaliste. Comme pour la conduite autonome, les défis ne concernent pas seulement la précision technique, mais aussi la question de la responsabilité en cas d’erreur. Pour minimiser les risques, l’optimisation continue des modèles et la détection d’anomalies sont essentielles. L’interface avec l’homme reste critique : il faut connaître les limites de performance pour pouvoir utiliser l’IA de manière ciblée et optimisée et prendre ainsi des décisions plus fiables.
Comment l’automatisation croissante modifie-t-elle le rôle des experts en cybersécurité?
L’IA s’est établie depuis des années dans le domaine de la sécurité IT et elle a transformé fondamentalement les processus de décision. Presque toutes les décisions de défense sont aujourd’hui prises directement par les systèmes - avec un risque résiduel dû à la faible tolérance aux erreurs et à des environnements IT très dynamiques. La force d’une IA consciente du contexte réside dans sa capacité à analyser des quantités massives de données à très grande vitesse. En comparant directement les renseignements sur les menaces avec l’environnement IT existant, les vulnérabilités des systèmes et les cyber-risques gagnent en transparence et en prévisibilité. Pour les experts en sécurité, cela signifie une transformation de leur rôle : ils font moins les pompiers et deviennent des gestionnaires de risques stratégiques. La communication avec le management s’en trouve simplifiée, et les risques peuvent être traités de manière plus systématique et sans stress. Autre effet secondaire : les collaborateurs sont davantage motivés par des succès mesurables - un aspect que les spécialistes désignent par le terme de «gamification».
Comment les entreprises s’assurent-elles que les données traitées et agrégées par l’IA sont fiables et cohérentes?
Les entreprises garantissent la fiabilité des données d’IA en adoptant une approche à plusieurs niveaux, avec une préparation minutieuse des données, des contrôles de qualité continus et des audits technologiques réguliers. Une protection efficace requiert un contrôle d’accès strict et des contrôles de saisie précis. Ceux-ci empêchent aussi bien les violations involontaires de la conformité, comme la saisie de données sensibles, que les tentatives de manipulation. Faute de quoi, des demandes formulées avec astuce pourraient contourner les protections (prompt injection). Pour vérifier la résilience du système, il est recommandé de prendre des mesures proactives telles que le Red Teaming, qui révèle à temps les schémas d’attaque et les vulnérabilités.
