Vaste sujet que l’intelligence artificielle en cybersécurité. Nous livrons ici une part de notre réflexion autour d’une technologie qui supplante aujourd’hui les outils de défense les plus puissants mais dont la folle influence interroge les risques que nous prenons à trop compter dessus.
À la fois technologie majeure et boîte noire ultime, l’IA subjugue et inquiète. Notre propos n’a pas vocation à réfuter les progrès immenses que l’IA autorise et que nous sommes les premiers à explorer avec beaucoup de curiosité et de passion. Mais il faut rappeler combien l’intervention humaine reste infiniment pertinente, profitable et nécessaire dans ce cadre. Voici le premier volet de ce dossier consacré à l’intelligence artificielle au cœur des procédures et des stratégies de cybersécurité.
Quoi qu’on en pense, nous n’en sommes qu’aux prémices des possibilités de l’IA dans la lutte contre la cybercriminalité. Mais les progrès montrent aussi que plus l’IA se perfectionne pour protéger les systèmes, plus elle peut ouvrir de nouvelles brèches de sécurité.
Il existe chez SCC un département dont l’une des missions est de signaler (très régulièrement) aux cyberassaillants qu’ils sont surveillés, que les systèmes sont protégés et qu’ils ne pourront pas agir librement. C’est une force de dissuasion que nous mettons à disposition de nos clients. L’un de nos procédés consiste à afficher de lourds moyens de lutte, impliquant pour l’assaillant un investissement bien trop élevé au regard du potentiel butin espéré. L’objectif, en quelque sorte, est de pousser un cybercriminel à faire demi-tour avant que ça ne lui revienne trop cher. Rappelons-le, en dehors d’attaques pilotées par un État et motivées par des ambitions politiques ou dogmatiques, la grande majorité des tentatives d’intrusion poursuivent un but financier.
Si l’approche peut sembler singulière, compte tenu des mesures et des outils de cybersécurité disponibles, rappelons-nous que l’ANSSI, l’ensemble des cercles d’études et de réflexion cyber ainsi que nos collaborateurs découvrent chaque jour de nouvelles fragilités dans les systèmes du monde entier auxquelles il faut s’adapter. C’est bien parce que l’Union européenne en est parfaitement consciente que les cadres réglementaires et législatifs de cybersécurité se multiplient et que les méthodes évoluent.
Parmi ces fragilités, il en existe une particulièrement fascinante : l’intelligence artificielle.
Associée à la technique et au savoir-faire, l’intelligence artificielle vient en rempart des tentatives de piratage. Impossible de passer à côté, tous les éditeurs ont maintenant introduit une dose plus ou moins importante d’IA dans leurs solutions de cybersécurité et dans le matériel. L’IA remplace dorénavant des milliers d’analystes, dont le travail était de lire les logs et de repérer les signaux d’une potentielle attaque. Aujourd’hui, certaines IA atteignent des qualités et des taux de détection passablement remarquables.
Toutefois, et à l’évidence, si des éditeurs sont capables de générer une IA destinée à la protection des infrastructures, des organisations sont capables de faire de même dans un objectif délictuel. Ce sont des groupes cybercriminels qui engrangent des milliards de dollars chaque année. Ce peut être certains éditeurs, parmi les mieux positionnés technologiquement, avec des accointances étatiques dont les intérêts peuvent diverger des intérêts européens.
On constatera à l’inverse, avec un relatif dépit, que la France ne dispose d’aucun acteur national à la tête de système de détection et de réponse (XDR), alors même que les solutions les plus performantes développées à l’étranger sont nées de l’esprit d’ingénieurs français. Nous avons en revanche (mais pour combien de temps encore ?) une technologie d’IA générative avec Mistral AI et dont l’introduction dans les systèmes de cybersécurité pourrait se montrer prometteuse… et problématique.
L’IA générative est encore peu exploitée en sécurité informatique. La grande majorité des solutions sur le marché travaillent à partir de données soigneusement sélectionnées. Elles fonctionnent en mode passif et répondent à des scénarios préconfigurés.
L’apprentissage auquel toutes les IA de sécurité prétendent ne se déroule donc que dans le cadre restreint fixé par l’éditeur, cadre hautement verrouillé pour des questions bien évidentes de propriété intellectuelle et de développements propriétaires.
Toutefois, l’introduction de l’IA générative en cyberdéfense n’est plus qu’à quelques encablures de la côte et CrowdStrike, leader du marché de la cybersécurité, vient d’ouvrir le bal avec Charlotte AI. Du strict point de vue d’un SOC managé, l’IA générative présente quelques avantages, à commencer par la création de playbooks sur mesure (des fiches de remédiation par CVE propres à un contexte d’entreprise), impossibles à produire à la main.
Mais au-delà, la question du risque de l’IA générative au cœur des systèmes de cybersécurité se pose aussi, en particulier dans le cas d’une intelligence open source. Si l’on attend d’une IA générative qu’elle effectue les gestes techniques de remédiation en réponse automatique, il faudra compter avec le risque (majeur) qu’un assaillant s’y intègre progressivement et qu’il parvienne à contourner l’ensemble des mécanismes de sécurité traditionnellement associés à ces modèles de langage.
Malgré ces mises en garde, il est à peu près certain que l’IA générative fera son entrée massive dans les systèmes de sécurité, le marché étant ainsi fait, et cela, quelle que soit la faille que ces nouveaux modèles engendreront. Le risque repose sur la confiance qu’on lui accordera.
L’accès à l’IA défensive n’est en outre pas si simple, en particulier pour les PME qui devront multiplier les solutions de sécurité par éditeurs présents sur leur infrastructure et leur parc informatique, et faire le choix des licences souvent les plus coûteuses. En matière d’IA, le prix du ticket d’entrée demeure élevé. Il faut aussi faire confiance à l’éditeur puisque l’IA et ses modèles restent en principe confidentiels et relèvent du secret industriel. La confiance est-elle vraiment l’apanage de la cybersécurité ? Rien n’est moins sûr. N’oublions pas, enfin, que l’intelligence artificielle s’opère quotidiennement et qu’elle a beau permettre un haut degré d’automatisation, elle requiert à ses côtés de fortes compétences techniques qui se monnayent aujourd’hui particulièrement cher quand on les désire en interne.
Entre les budgets réduits des PME et de la plupart de nos services publics et les attaques massives, violentes, aux moyens illimités de certains groupes pirates, le déséquilibre est très net. L’avènement des IA génératives pose alors une question plus grande encore : aura-t-on les moyens techniques de nous défendre contre une intelligence artificielle formée pour entrer dans les systèmes quoi qu’il arrive ?
Ce sera le sujet de notre prochain article.
Lire le prochain article
