Quelle relation entre le ML et la cybersécurité ?

Quel pourrait bien être le lien entre le Machine Learning (ML) et la cybersécurité ?  Une anecdote prenant racine dans le monde réel pourrait nous aider à le saisir : En 2011, la ville de Santa Cruz aux États-Unis a été la première à se doter d’un algorithme de prédiction policière, PredPol, pour prédire où et quand un crime a le plus de chances se produire. Cet outil digne d’un roman de science-fiction, pourtant bien réel, repose sur des modèles mathématiques et statistiques adossés à une base de données recensant les infractions passées. L’objectif consiste à diriger les officiers de police vers les zones où un crime est susceptible de se produire, avant même qu’il ne soit commis.

Pour les experts en cybersécurité, cette démarche semble répondre à un vrai besoin dans la mesure où ce domaine repose essentiellement sur la détection d’anomalies, c’est-à-dire des comportements plus ou moins suspects susceptibles d’indiquer une intention malveillante. Or, comme l’illustre le cas des algorithmes de prévision policière, le ML offre un ensemble d’outils statistiques qui permet, entre autres, d’identifier des anomalies, soit en alimentant l’algorithme avec des exemples normaux et anormaux (apprentissage supervisé), soit en détectant des valeurs aberrantes par rapport à un comportement usuel (détection de valeurs aberrantes), comme nous le verrons dans la section suivante.

Les applications pratiques des technologies de ML au domaine de la cybersécurité constituent depuis plusieurs années un champ de recherche et d’expérimentation établi avec des travaux reconnus au sein d’institutions universitaires et de laboratoires de recherche, publics comme privés. Cet intérêt est notamment dû à l’émergence de nouvelles problématiques stratégiques et technologiques liées à la digitalisation croissante de nos sociétés et au poids de plus en plus conséquent accordé au traitement et à la sécurisation des données numériques.

La rencontre de ces deux disciplines – cybersécurité et ML – est porteuse d’enjeux liés à des problématiques de « souveraineté numérique », exposées notamment dans le rapport de Cédric Villani sur l’intelligence artificielle [CVI] ; la maitrise de ces deux disciplines est vue par les états et les grands groupes privés à la fois comme un moyen et une condition indispensable à la création de valeur des économies de demain, et à la préservation de l’intégrité économique des organisations.

Le ML constitue pour plusieurs raisons une piste de travail incontournable dans le domaine cyber, dans la mesure où il est susceptible de renforcer considérablement l’appareil défensif. Mais ne nous y trompons pas : les attaquants veillent et s’intéressent eux aussi aux possibilités offertes par les technologies. Alors que le nombre, la complexité et la dangerosité des attaques cyber ne cessent de progresser. Ainsi, le cabinet Accenture, dans un rapport intitulé « Securing the Digital Economy » [SDE] paru en janvier 2019, a estimé que les cyberattaques pourraient générer des pertes s’élevant à plus de 5000’000’000’000 (5000 milliards) de dollars d’ici 2024 dans le monde, soit le PIB cumulé de la France, de l’Espagne et de l’Italie…

La première raison attestant de la pertinence du ML dans ce domaine est simple : la cybersécurité est avant tout une affaire de détection d’anomalies, techniques ou comportementales. Le ML pourrait par conséquent permettre un meilleur respect des politiques et des règles de sécurité relatives aux systèmes d’information. Ainsi, l’une des nombreuses applications possibles de ces algorithmes consiste à endosser un rôle de superviseur alertant les utilisateurs d’un comportement pouvant favoriser ou indiquer l’exploitation d’une faille de sécurité. Une autre manière d’influer positivement sur le niveau de sécurité, complémentaire au premier, a trait au caractère automatisable du traitement d’importantes quantités de données et à la hiérarchisation des messages d’alertes. Face à l’élévation qualitative et quantitative de la menace, le ML pourrait donc permettre d’éviter aux responsables informatiques d’être confrontés à une surcharge d’informations.

Dans tous les cas, alors que nous disposons déjà de systèmes de détection d’attaques automatisés (SIEM, SOC, etc.), l’apport principal du ML est lié à sa capacité d’apprentissage, voire, diront certains, d’anticipation. Cette capacité d’apprentissage permet de générer des modèles d’analyse complexes censés favoriser la détection d’anomalies. Surtout, par son apprentissage, le ML pourrait à terme permettre de réagir plus rapidement à des schémas d’attaques inédits, même si cela pose des questions importantes relatives à l’explicabilité des algorithmes utilisés [JDI]. On voit en effet difficilement comment une logique de boite noire pourrait satisfaire les exigences de transparence et de compréhension nécessaires aux professionnels de la sécurité informatique pour prendre leurs décisions.

On compte actuellement plusieurs cas d’usages du ML dans le domaine de la cybersécurité, relatifs à la détection d’anomalies et déjà documentés :

  • La détection de fraude, à partir de règles métiers prédéfinies et les corrélations établies sur la base de différents évènements. Par exemple, dans le cas de la fraude bancaire, le recoupement d’informations relatives au lieu des différentes opérations, de leur fréquence ou de leur nombre peut permettre d’aboutir à des niveaux de probabilité de fraude et contribuer à limiter les risques.
  • La détection de vulnérabilités, à partir de modèles prédictifs ayant pour but d’identifier les vulnérabilités d’un site web ou d’une application avant que celles-ci ne soient exploitées par un attaquant.
  • La détection d’intrusions, à partir d’analyses statiques (propriétés d’un fichier) et dynamiques (études du comportement : connexion à un réseau, accès aux clés du registre, relations avec d’autres composants informatiques…)
  • La détection d’exfiltration de données, à partir d’algorithmes développés afin de retrouver sur internet ou le dark/deep web des données qui auraient été volées ou qui auraient « fuité » par accident.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

%d blogueurs aiment cette page :