Le Machine Learning peut donc jouer un rôle essentiel dans la détection de menaces (vulnérabilités, intrusions…) en donnant la possibilité d’analyser de grands volumes de données, qui permettent d’identifier des tendances statistiques. Cette solution semble par exemple particulièrement adaptée au contexte de déploiement massif d’objets connectés, qui représentent autant de sondes et d’entrées sur le réseau. Mais elle comporte plusieurs limites :
- Premièrement, les attaquants s’efforcent en permanence d’imaginer de nouveaux moyens pour initier leurs attaques. Ils utilisent des vulnérabilités non connues (notamment les failles critiques de type 0-day), ainsi que des procédés innovants, ce qui rendait jusqu’ici leur détection presque impossible. Se pose donc la question du « réapprentissage » des nouveaux schémas d’attaque par les algorithmes, qui pourrait s’assimiler à un véritable jeu du chat et de la souris. De plus, les IA « attaquantes » pourraient aussi apprendre à contourner les stratégies des IA « défensives » en noyant les opérateurs sous une pluie de faux positifs. De leur côté, les IA « défensives » pourraient donc être assimilées à des trieuses qui apprennent quels rapports d’alertes elles doivent transmettre en priorité pour traitement aux opérateurs, en complément des stratégies de défense à déployer automatiquement.
- La seconde limite de cette approche, est qu’elle se concentre pour le moment essentiellement sur des aspects techniques. L’humain constitue pourtant l’un des maillons faibles en cas d’attaque cyber et est souvent le point d’entrée privilégié par les attaquants, notamment via des techniques d’ingénierie sociale. Le fait de disposer d’un apport du ML sur le plan défensif pourrait paradoxalement aboutir à une dégradation de la sécurité des organisations, qui risqueraient de délaisser le volet humain, managérial, organisationnel, de la cybersécurité.
- Enfin, les attaquants réalisent des attaques plus complexes intégrant les processus métiers pour avoir un impact plus important tout en dissimulant leur activité. L’exemple du piratage de la « Bank of Bangladesh » l’illustre : les hackers se sont introduits dans le SI près de 9 mois avant de déclencher leur attaque, durant lesquels ils ont pu se renseigner sur l’ensemble du processus de validation des transactions bancaires (notamment via le réseau SWIFT) et analysé le comportement des utilisateurs pour y déceler de potentielles failles, puis attendu le moment propice pour déclencher leur attaque. Le préjudice final de cette attaque s’est élevé à plus de 80 millions de dollars.
Actuellement, le débat n’est pas tranché quand il s’agit de déterminer si l’IA bénéficiera en fin de compte plutôt aux attaquants ou aux défenseurs. Il est toutefois possible d’imaginer qu’elle constituera une assistance incontournable pour les acteurs de tous les bords : des campagnes de spear-phishing et de faux enregistrements plus vrais que nature contribueront à rendre le cyberespace plus incertain, tandis qu’une vision plus exhaustive de l’état du réseau combinée à la détection d’anomalies techniques ou comportementales permettra aux responsables informatiques de mieux sécuriser leur environnement. Par ailleurs, si l’usage de l’IA est voué à se démocratiser dans tous les secteurs d’activité, se posera irrémédiablement la question de la sécurisation des différents jeux de données et des IA elles-mêmes, pour éviter autant que possible tout incident.
Entre la promesse d’un cyberarmageddon généralisé et celle d’un avenir radieux promis par les zélotes des dernières évolutions technologiques, il y a donc fort à parier que le cyberespace de demain empruntera en partie à chacune ces deux extrémités. L’utilisation de l’IA par l’ensemble des acteurs en présence aboutira vraisemblablement à une complexification de l’environnement informationnel des organisations et pourrait nécessiter de maitriser de nouveaux métiers, alliant science des données, compréhension de l’IA et maitrise des risques cyber. Autre certitude qui découle de ce constat : ce sont bien des humains en chair et en os qui seront toujours aux commandes de ces systèmes de plus en plus évolués, qui nécessiteront plus que jamais une analyse et une intuition humaines pour mener à bien les opérations demandées et assurer la sécurité des infrastructures et des organisations.
Natasha Alkhatib 