Cybersécurité : utiliser et maîtriser l’IA pour contrer les attaques

Quel est le rôle de l’IA dans la cybersécurité ?

D’abord, ce rôle n’est pas nouveau. Il y a plusieurs années, les antivirus ont commencé à incorporer des technologies d’analyse comportementale. Cet ajout leur a permis d’évoluer vers une technologie EDR (Endpoint Detection and Response). Or, aujourd’hui, l’IA peut être utilisée de façon plus complexe pour suivre la progression d’une attaque dans le réseau d’une entreprise. Elle permet de détecter des menaces selon deux échelles :

· Des menaces générées à une vitesse telle que l’être humain n’a pas les capacités de les gérer en volumétrie ;

· Des menaces aux facteurs si complexes pour l’esprit humain qu’il est impossible de les appréhender.

Elle trouve aussi sa place dans la solution NDR (Network Detection and Response) pour détecter les attaques complexes et persistantes sur la durée. Prenons l’exemple de la compromission de SolarWinds réalisée par le cybergang APT 29. La machine infectée ouvre un canal de « command and control » sur HTTP, assez facile à détecter. Cependant, cette machine cherche également à propager un malware dans le réseau pour réaliser une exfiltration de données massive. Cette propagation dure potentiellement plusieurs semaines. Il est difficile pour les équipes de sécurité de faire la corrélation entre ces deux événements, car ils se situent sur un laps de temps trop long. Or, l’IA sera capable de mettre en relation toutes les étapes d’une telle attaque et de la contrer au plus tôt.

L’IA a progressé des deux côtés : pour le défenseur, comme pour l’attaquant, ce qui nous pousse à être extrêmement vigilants.

En quoi l’IA est-elle aussi devenue un outil redoutable pour les attaquants ?

Les acteurs malveillants ont compris qu’ils peuvent utiliser l’IA pour tenter une multitude de techniques dans le but de contourner les solutions de défense. En cas d’échec, une IA peut faire varier automatiquement de nombreux paramètres (durée du flux, quantité d’informations envoyées, type de protocole) pour contourner les dispositifs de sécurité. Le rôle de CUSTOCY est de comprendre comment les cyber malveillants s’opposent à nos technologies pour mieux les neutraliser.

Nous devons trouver les IA qui contrent leurs IA. Cela suppose donc de prédire les attaques futures et de connaître les limites de nos IA. Nous ajustons nos modèles dans notre laboratoire de recherche pour en repérer les éventuelles failles. Ce bras de fer se joue sur les IA générative adversarial networks (GAN), c’est-à-dire les IA qui génèrent de la donnée. C’est une bataille qui a débuté il y a quelques années. Elle est désormais croissante et sans fin. Pour prendre un exemple, nous pouvons citer la recherche de noms de domaines malveillants. Les attaquants apprennent à trouver des noms de domaines qui ressemblent à de véritables noms. CUSTOCY cherche à les repérer pour les empêcher d’usurper toute identité.

CUSTOCY couvre également les applications type ChatGPT, c’est-à-dire les IA à base de Transformers, cette architecture qui permet aux machines de comprendre et de générer du langage humain. Elles demandent une vigilance toute particulière, car le nombre d’attaques à partir de ces outils va se multiplier dans les années à venir. En effet, n’importe qui peut être capable de générer une attaque assez complexe et persistante par le biais de cette technologie.

Comment l’utilisez-vous au sein de CUSTOCY pour protéger les entreprises ?

Il est très dangereux d’utiliser l’IA sans la maîtriser. Si elle n’est pas comprise, il devient impossible de savoir si les bons biais sont utilisés, si quelqu’un a fait exprès d’empoisonner nos données… Il est essentiel de créer une vraie culture d’IA pour ne pas se faire piéger par les acteurs malveillants. C’est le choix que nous avons fait. Le cœur technologique de notre solution NDR est centré autour de l’IA.

Nous avons conçu nos propres briques (modèles mathématiques, modèles statistiques, etc.), pour former une communauté d’IA indépendantes, à la fois supervisées et non supervisées. Chacune est spécialisée dans une tâche en particulier, comme la reconnaissance (pour détecter la présence d’un cybermalveillant sur le réseau, ou la trace de fichiers malveillants). Toutes travaillent à des échelles de temps différentes, de la plus courte à la plus longue pour détecter différents types de menaces. C’est une autre IA (le Metalearner), notre IA maîtresse, qui condense et analyse toutes ces informations pour ensuite alerter ou non l’utilisateur avec un score de dangerosité.

CUSTOCY est donc une solution amenée à évoluer dans le temps. Nous sommes riches d’un laboratoire en interne, dont la recherche évolue en permanence. Dès l’arrivée d’un nouveau type de menace, nous sommes capables de créer rapidement un bloc d’IA dédié à cette problématique et à l’intégrer à notre communauté pour optimiser la détection.

D’ailleurs, ajoute Sébastien Sivignon, CEO de CUSTOCY,“La Première Ministre a pleinement saisi notre vision ainsi que notre expertise maîtrisée en IA en nous apportant son soutien via une subvention de BPI France et l’obtention du label i-NOV. Grâce à ce précieux financement, nous sommes en mesure de donner un véritable élan à notre laboratoire de recherche en IA.”

Nous avons parlé de l’attaque, mais quels sont les avantages de l’IA pour la défense ?

L’IA vient en support des analystes cybersécurité. Elle augmente leur productivité, car elle leur permet de se concentrer sur des tâches à plus haute valeur ajoutée. Elle réduit donc leur charge cognitive et le risque de faux positifs. CUSTOCY garantit par exemple une réduction de faux positifs de près de 90 %.

L’IA est essentielle au monde de la cybersécurité, d’autant plus quand on sait qu’il ne se passe pas un jour sans qu’une entreprise soit attaquée – malheureusement, 60 % des PME touchées ne se relèvent pas et déposent le bilan 18 mois après l’attaque, selon le Baromètre de la cybersécurité en entreprise CESIN 2022. Les entreprises doivent donc comprendre qu’il est important de se protéger (et qui plus est, d’adopter une stratégie multicouche, avec une complémentarité entre EDR et NDR).

À cette urgence s’ajoute une nouvelle inquiétante : le marché de la cybersécurité est pénurique. D’ici 2026, il faudrait doubler les ressources formées en cybersécurité. Or, chez CUSTOCY, nous pensons que l’IA peut contribuer à diminuer cette pénurie, en automatisant certaines tâches au profit d’autres, à valeur ajoutée.

Quel est le futur proche pour CUSTOCY ?

CUSTOCY est lauréate du concours i-NOV lancé par Bpifrance. Cette reconnaissance par nos pairs nous a permis d’obtenir une subvention de 800 000 euros pour financer notre projet Custocy Lab, qui nous permettra de renforcer notre présence dans l’écosystème national. Ce Custocy Lab a en effet pour ambition de créer en Occitanie un environnement d’apprentissage rapide pour les IA génératives appliquées à la cybersécurité.

CUSTOCY va continuer de se développer en France. Nous allons renforcer nos partenariats avec les laboratoires de recherche les plus à la pointe dans ces domaines pour ajouter toujours plus de technologie dans notre solution. D’ailleurs, nous comptons 30 % de docteurs et doctorantes chez CUSTOCY, ce qui démontre notre volonté de construire une technologie au meilleur niveau mondial.

Avez-vous un mot de la fin ?

Le taux d’équipement des entreprises en EDR démontre une belle maturité cyber du marché. En conséquence le réseau devient le maillon faible et le marché l’a bien compris. Celui du NDR (dont la protection vient compléter celle offerte par l’EDR) est en pleine progression et devrait doubler dans les 5 ans à venir, pour atteindre 5 milliards d’euros en 2026. Mais il s’agit d’un marché mondial, réparti à 60 % aux États-Unis et à 20 % en Europe. « Notre ambition n’a donc de sens que dans un contexte international car cela nous permet de saisir suffisamment de valeur pour développer notre équipe et affiner notre approche », souligne Sébastien Sivignon.

Ce contenu a été réalisé avec SCRIBEO. La rédaction de BFMBUSINESS n'a pas participé à la réalisation de ce contenu.