Dans ce deuxième volet de notre parcours autour de l’IA défensive, nous explorons la façon dont elle peut être amenée à desservir nos intérêts, en particulier quand nous attendons d’elle plus que ce qu’elle est en mesure de donner.
Dans ce deuxième volet de notre parcours autour de l’IA défensive, nous explorons la façon dont elle peut être amenée à desservir nos intérêts, en particulier quand nous attendons d’elle plus que ce qu’elle est en mesure de donner.
Jusqu’à présent, la France se défend bien, même très bien, contre tous les acteurs opérant « à la main ». Dit autrement, pour s’infiltrer dans les infrastructures et rançonner, les cyberattaquants doivent encore taper au clavier, ce qui nous donne une longueur d’avance. Mais si demain quelqu’un entraînait une IA avec l’ensemble des tactiques disponibles sur le web, la rendait suffisamment intelligente pour appliquer la bonne tactic au bon endroit et pivoter quand il le faut, lui offrant la possibilité d’entrer, quelle que soit la défense en place, que se passerait-il et comment nous en protégerions-nous ?
À ce jour, soyons très clairs, personne n’est en mesure de dire si cette IA existe déjà et encore moins d’apporter de solution de protection optimale dans cette situation. Si nous n’avons pas reçu de signaux en ce sens pour l’instant, nous savons en revanche que des groupes cybercriminels ont les moyens (et le temps) d’entraîner ce type d’IA.
C’est après tout le fond du travail d’un pentesteur que de réussir à entrer dans un système et les faiblesses d’une IA défensive sont bien connues des gens du métier. La méthode d’attaque traditionnelle consiste à gagner la confiance de la technologie en progressant très lentement, sur plusieurs mois voire plusieurs années et à s’intégrer à l’infrastructure en se faisant légitimer petit à petit. C’est la raison pour laquelle même les systèmes de type AirGap, dédiés notamment à la sécurité des sauvegardes, sont loin d’être infaillibles, compte tenu des durées de rétention généralement trop courtes.
À l’évidence non, et aucun acteur de la cybersécurité sérieux ne dira jamais le contraire. Par ailleurs, la cybersécurité est une question de moyens. Selon la taille de son organisation et sa place dans l’écosystème industriel, économique et public, on cherchera à protéger les systèmes contre un certain type d’acteurs, pas tous, ce serait bien trop coûteux.
Nous nous laissons leurrer par la médiatisation de certaines attaques visant des CHU et de grands services publics, et croyons souvent que la sphère publique est une cible plus courue que le secteur privé. Mais les entreprises n’ont pas d’obligation de déclaration en dehors d’une alerte à la CNIL si des données personnelles sont concernées. En réalité, le milieu économique est de loin le plus attaqué, avec comme premier objectif l’argent.
Le hacker évoluant dans l’objectif de rançonner ou de revendre des données est certainement le plus courant, mais pas nécessairement le mieux doté. Contre lui, les systèmes de cybersurveillance à base d’intelligence artificielle telle qu’on la trouve chez Microsoft, par exemple sont, à défaut d’équipes sécurité étoffées, une solution acceptable, commode, et efficace dans un grand nombre de cas basiques.
Face à un acteur étatique, c’est évidemment une autre paire de manches. Si l’intelligence artificielle peut venir en appui des moyens de défense, il faudra d’autant plus la surveiller que le risque qu’elle se transforme en boîte noire est grand. L’être humain doit toujours se méfier de ses travers et de son penchant à trop compter sur la technologie pour faire le travail à sa place. En conséquence de quoi, s’il doit exister des moyens véritablement efficaces, rappelons-nous qu’ils sont humains, pas technologiques.
Puisque l’efficacité défensive est d’abord humaine, c’est une mauvaise nouvelle pour la France qui ne compte qu’un nombre restreint d’experts (lesquels se connaissent tous très bien dans ce si petit milieu qu’est la cybersécurité). Tous ou presque (certains sont chez SCC) gravitent dans quelques grandes organisations françaises, principalement des opérateurs d’importance vitale (OIV). Nous accusons au moins une dizaine d’années de retard dans la formation et l’éducation à la cybersécurité (en particulier vis-à-vis des États-Unis et quelques pays européens). Ce n’est que récemment que nous entrevoyons une amélioration des savoir-faire dans la police ou la gendarmerie et chez les enquêteurs.
Or, la stratégie à grande échelle à laquelle nous assistons relève de schémas militaires et de moyens de contournement de plus en plus opérants, en attaque comme en défense. Cette forme d’escalade des moyens requiert toujours plus d’êtres humains pour rester aux commandes des solutions mises en œuvre et peut avoir tendance à desservir nos intérêts. En effet, chaque innovation de la défense est une source de connaissances supplémentaires pour les assaillants. Souvenons-nous : alors qu’en défense, il faut être bon à longueur de temps, en attaque, une fois suffit.
Nous ne voudrions pas être accusés de faire un mauvais procès à l’intelligence artificielle. Elle rend d’incomparables services et allège la charge des équipes dans de nombreux cas, en matière d’ingénierie sociale notamment.
Les intelligences artificielles « lisent » les mails que nous échangeons, analysent les liens hypertextes, les images et les pièces jointes et réduisent ainsi de beaucoup la capacité de nuisance des pirates (au détriment, cela dit, de la confidentialité). L’analyse comportementale pallie les multiples erreurs des utilisateurs, s’oppose aux actions même de bonne foi, comme dans les cas courants d’arnaque au président. Dans une grande organisation, il est très simple pour un hacker d’endosser le rôle d’un administrateur, par téléphone ou en visio. Qui mettrait en doute une demande d’installation d’un logiciel quand elle est formulée avec aplomb ? L’entreprise est si grande, on ne connaît pas tout le monde, n’est-ce pas ?
L’IA exécute presque sans failles le travail des opérateurs de niveau 1 et des analystes de niveau 2. C’est bien pourquoi aujourd’hui la technologie est vendue comme une panacée. Elle saura en effet détecter un scan réseau illégitime à l’autre bout de l’infrastructure et donner l’alerte. Mais elle sera bien incapable de réagir si l’attaque est directement menée sur site, avec un simple câble et un téléphone. Encore aujourd’hui, les meilleures techniques pour contourner la surveillance des organisations les plus sécurisées sont les plus primitives.
Ne commettons pas l’erreur de penser que l’intelligence artificielle, même créatrice, suffit. L’escalade est en cours et à ce jour, nous ne voyons pas ce qui pourrait freiner cette progression. Nous devrons attendre d’en avoir atteint l’apogée pour retrouver un équilibre des forces.
Parce que l’IA n’est qu’un outil, parce que les assaillants la maîtrisent aussi bien que nous, parce que l’expertise est rare, parce que nous dépendons trop de solutions hors les murs de l’Europe, d’autres méthodes s’imposent.
Les solutions EDR et XDR, qu’elles soient ou non assistées par IA, sont très efficaces contre le ransomware. Le peuplement de solutions de sécurité est donc une bonne stratégie d’entreprise pour se prémunir contre le chiffrement de la donnée.
On observe d’ailleurs une baisse significative du nombre d’entreprises rançonnées sur 2023. En revanche, le vol et la fuite de données sont en augmentation, l’exfiltration préalable représentant une garantie de revenus par la revente du contenu volé.
Lire le prochain article
