L'IA, arme à double tranchant des entreprises

Le whaling, aussi appelé fraude au président, ne date pas d'hier. Le principe consiste à lancer un phishing ciblé visant les dirigeants et cadres dirigeants des entreprises dans le but de les convaincre de réaliser un virement bancaire, en usurpant, par exemple, l'identité d'un fournisseur. L'imagination sans limite des cybermalveillants explique en partie que le phénomène continue de faire d'innombrables victimes. Mais c'est surtout le recours massif à l'intelligence artificielle qui fait entrer ces pratiques dans une nouvelle ère : des moteurs autoapprenants scannent en permanence le Web, le darknet, les réseaux sociaux, l'activité des entreprises et de leurs collaborateurs pour, au bout du compte, intervenir avec le scénario le plus pertinent.

Vers une adoption massive ?

Cette évolution inquiète les dirigeants. Une étude publiée en début d'année par le spécialiste des solutions de cybersécurité Darktrace, avec le concours du MIT Technology Review Insights, indique que l'IA défensive est désormais largement plébiscitée par les entreprises. 60% des dirigeants déclarent que, face à des attaques rapides, les stratégies fondées uniquement sur des réponses humaines échouent. Ils sont 96% à renforcer leurs défenses grâce à l'IA, en prévision d'attaques s'appuyant sur l'IA. Il y a un an encore, ce taux était de 80%. Sébastien Jardin, directeur Business Development au sein d'IBM Security France, constate que "les solutions intelligentes sont déjà largement présentes en cybersécurité. 2016 a été l'année d'un début de démocratisation en la matière. Les organisations les plus matures dans le domaine de la cybersécurité sont aussi les plus attaquées, comme les banques, les assurances."

Parmi les demandes fréquentes, du côté des clients, figurent souvent les études comportementales, ainsi que les solutions de détection d'usurpation d'identité. Les usages de smartphones, les flux de transits sur des réseaux ont aussi vocation à être fréquemment passés au crible. "Il en va de même pour l'investigation, c'est-à-dire les suggestions du système sur des éléments à surveiller, des processus à vérifier: celles-ci peuvent concerner des pistes d'infection parallèles possibles, observées chez d'autres entreprises clientes sur des schémas similaires. L'analyste bénéficie alors de conseils et recommandations. Il est invité à effectuer des recherches complémentaires, voire à se tourner vers des solutions de protection plus adaptées. Toutes les typologies d'entreprises s'intéressent aujourd'hui à ces offres", souligne Sébastien Jardin.

Les nombreuses transformations technologiques actuelles créent un contexte favorable aux remises en question des politiques de cybersécurité. "Les déploiements de l'industrie connectée, impliquant de l'IoT, de nombreuses communications réseaux (Wi-fi, Bluetooth...) font en sorte que les dirigeants s'intéressent de près à ces enjeux. Il en va de même avec l'essor de la mobilité professionnelle, du travail à distance", estime Jennifer Boisseau, directrice du pôle audit et sécurité au sein du cabinet de conseil spécialisé Akerva.

Vigilance et réticences

Du côté de BlackBerry, Florent Embarek, Regional Sales Director Southern & Eastern Europe Spark au sein de l'entreprise, remarque également une démocratisation galopante du recours à l'IA dans les démarches de sécurisation: "La délégation de cette activité à des acteurs comme nous, par le biais d'offres packagées, est toujours plus fréquente. Mais on observe aussi des réactions d'organisations qui ne veulent pas souscrire à des solutions intégrant de l'IA, sous prétexte que les cybercriminels l'utilisent, alors que, justement, le postulat minimal demande de se défendre au moins à armes égales, et donc de ne pas avoir de réticences sur ce plan."

Pour Hani Attalah, président de la société de conseil en cybersécurité iViFlo, il y a "une forte vigilance à avoir à l'égard des stratégies des attaquants qui vont cibler des données en entrée du système d'information, pour que le machine learning de l'entreprise intègre d'emblée des données compromises dans son autoapprentissage. Objectif : ne pas être détecté par la suite." En ce sens, l'IA peut effectivement jouer le rôle d'un allié qui sert, en réalité, de cheval de Troie. Mais "c'est également elle qui sera le plus à même de déceler les anomalies par une surveillance permanente des réseaux, de l'amont à l'aval."

L'humain, pierre angulaire des garanties de sécurité

Une approche fondée sur l'EDR (Endpoint Detection Response) s'avère intéressante, dans la mesure où elle permet de collecter l'intégralité des pratiques sur chaque machine. L'IA aide ensuite à déterminer si ces multiples actions ont un caractère critique ou non. "Adossée au machine learning, elle représente une assistance précieuse, car elle permet de se débarrasser des faux positifs qui sont très fréquents avec des pratiques uniquement humaines", explique Jennifer Boisseau.

En plus de l'EDR, se doter d'un SIEM (Security Information and Event Management) qui procède au même travail de détection, mais au niveau du système d'information central est également important. Les deux aspects apportent une approche globale combinant les détections locales et centrales. "Mais encore faut-il accompagner la technologie d'études approfondies de ces données par une équipe de collaborateurs dédiés, en l'occurrence au sein d'un SOC (Centre opérationnel de sécurité), qui assure un suivi permanent. L'IA n'a pas de sens si l'humain n'est pas présent de façon constante au coeur des activités pour garantir un circuit de décisions pertinent", affirme Dominique Verdejo, expert indépendant en sûreté et cybersécurité, membre du réseau Comatch.

Les technologies avancées permettent d'avoir des spécialistes augmentés. "Il existe actuellement une pénurie d'expertise. Par ses caractéristiques, l'IA change les manières de travailler. Elle est une aide, une assistance qui accélère les traitements, multiplie les vérifications. Mais les analystes continueront, bien sûr, à jouer un rôle majeur. Ce sont eux qui connaissent le contexte, les configurations, le niveau de risques", explique Hani Attalah.

De la gouvernance pour de bonnes pratiques

Les droits d'autorisation relatifs aux différents outils logiciels et leur durée doivent s'inscrire dans des nécessités réelles et constatées. Toutes les typologies de personnels n'ont pas à avoir accès à l'ensemble des scripts. L'IA peut fournir en permanence des règles d'usage et d'accès, des scénarios permettant de faire la part des choses entre ce qui souhaitable et non souhaitable, afin de réduire les portes d'entrée potentielles pour des cyberattaques. La formation et la sensibilisation occupent une place essentielle dans ce domaine, notamment à l'attention des collaborateurs en dehors des DSI. "C'est d'autant plus vrai dans un contexte où les projets digitaux touchent tous les services, tous les profils. Les formations doivent aussi concerner l'acceptabilité de l'intelligence artificielle dans les applications dans l'entreprise, l'éthique qui s'y rattache. C'est un vaste changement culturel et un domaine dans lequel l'acquisition de la confiance est délicate", précise Hani Attalah.

À l'image d'Akerva, certains acteurs proposent des modules de microformation aux bonnes pratiques originaux : des jeux de questions sont organisés. En fonction des réponses, d'autres questions sont soumises au collaborateur en se fondant sur son niveau de maturité et de connaissance. Les informations sont ainsi mieux adaptées aux interrogations, et l'approche est personnalisée.