L’IA peut faciliter et compléter le travail des analystes de sécurité dans les entreprises en faisant une première analyse des menaces potentielles et en suggérant des mesures pour y faire face.

Les attaques et le piratage informatiques sont aujourd’hui l’une des principales préoccupations des responsables TI. Les dommages de la cybercriminalité atteignent des montants astronomiques. Globalement, selon le Cybercrime Report de Cybersecurity Ventures, la cybercriminalité coûtait déjà 3 000 milliards de dollars américains en 2015, et ce coût devrait doubler d’ici 2021.

Chaque entreprise touchée par une violation de données doit assumer un coût moyen de plus de 5 millions de dollars canadiens, selon l’édition 2018 de la Cost of a Data Breach Study du Ponemon Institute, commanditée par IBM.

Les entreprises ne sont pas insensibles à ces menaces (même si certaines les sous-estiment probablement). Elles utilisent déjà un arsenal d’outils pour y faire face. Mais les solutions traditionnelles de cybersécurité peinent à s’adapter à l’évolution rapide des stratégies et des tactiques des assaillants.

Comme l’explique dans une entrevue vidéo Kevin Skapinetz, vice-président de la stratégie et du design des solutions de sécurité d’IBM, les solutions traditionnelles souffrent de deux faiblesses :

1- Elles sont basées sur des règles. Or, la forme des attaques évolue constamment pour s’adapter aux nouvelles plateformes et aux procédures de défense des organisations. Les règles de sécurité ne constituent pas un rempart infranchissable contre l’imagination des pirates.

2- L’envergure de leur déploiement est limitée. Or, la surface exposée aux attaques augmente rapidement. En plus des terminaux situés dans l’enceinte de l’entreprise, il faut désormais surveiller les appareils qu’utilisent les employés autant au bureau qu’à l’extérieur (portables, téléphones, tablettes) ainsi que le nombre croissant d’objets connectés au réseau de l’entreprise. En parallèle, les entreprises utilisent de plus en plus des fournisseurs dans le nuage pour héberger leurs données et activer des applications. Ce sont autant de nouvelles brèches que les pirates cherchent à exploiter.

Ainsi, le nombre d’événements que doivent surveiller les équipes de cybersécurité ne cesse d’augmenter. Ce nombre dépasse aujourd’hui largement la capacité d’attention humaine.

C’est pourquoi l’intelligence artificielle est appelée à la rescousse. Elle effectue, très rapidement et sur une très grande quantité d’événements, une préanalyse des menaces potentielles pour identifier les plus sérieuses. L’IA permet ainsi aux analystes humains de concentrer leur intelligence là où elle est la plus utile : décider s’il s’agit effectivement d’une menace et, si tel est le cas, mettre en œuvre des mesures de défense efficaces.

L’IA à la défense de l’organisation

L’exemple le plus concret de contribution de l’IA à la cybersécurité est l’analyse des fichiers journaux.

Ces fichiers gardent une trace de tous les événements liés à l’informatique et aux réseaux de l’entreprise. Afin de la protéger, les analystes de sécurité examinent périodiquement les fichiers journaux pour identifier les événements qui peuvent représenter une menace de sécurité et justifier une enquête.

Chaque jour, un analyste peut examiner de 10 à 20 incidents qui semblent présenter un risque sérieux. Après un examen attentif, seules quelques-unes de ces menaces apparentes s’avèrent constituer une menace réelle qui doit être approfondie et combattue, tandis que la plupart des autres sont des événements non malveillants.

Ce travail de recherche et d’identification des menaces potentielles peut prendre des heures. Il retarde la capacité des analystes à éliminer rapidement les menaces réelles. Or, le volume et la variété de données à examiner rendent très difficile le filtrage des événements de sécurité, d’autant plus que les analystes qualifiés sont une denrée rare.

L’enjeu est important. Toute menace non décelée à ce stade pourrait mener à un incident de sécurité beaucoup plus grave et entraîner un désastre – en permettant, par exemple, à des pirates informatiques de prendre le contrôle de l’infrastructure d’une organisation, de voler des données critiques ou de porter atteinte à la réputation d’une marque.

Watson en renfort

L’intelligence artificielle peut être utilisée pour aider les analystes à identifier plus précisément les menaces et à les résoudre plus rapidement.

Par exemple, IBM a conçu une solution IA intégrant le service d’intelligence cognitive Watson Discovery Service à la plateforme d’analytique de la sécurité QRadar Advisor.

IBM QRadar Advisor avec Watson combine des informations structurées et des données non structurées provenant de blogues, de sites Web ou d’articles de recherche consacrés aux nouvelles tactiques de piratage. Le système peut rassembler des millions d’événements informatiques enregistrés dans les réseaux de l’organisation, et les mettre en contexte avec des rapports d’intrusion non désirée ou de violation de données et avec des directives de meilleures pratiques.

En automatisant l’extraction de connaissances pertinentes sur des attaques de sécurité dans d’autres organisations, cette combinaison facilite la découverte de menaces cachées ou qui passeraient inaperçues lors d’une inspection manuelle. IBM QRadar Advisor avec Watson fournit des données contextuelles sur l’origine de chaque incident, aide les analystes à repérer et à comprendre les menaces sophistiquées, et suggère une stratégie de recherche pour enquêter sur chaque menace.

Les analystes de sécurité peuvent ainsi déléguer à l’IA la tâche fastidieuse de la recherche sur les menaces : l’IA augmente l’intelligence humaine pour aider les analystes à trier de grands volumes de données à une vitesse et à une échelle inégalables par d’autres moyens.

L’exemple de Wimbledon

Cette solution d’IA transforme l’industrie de la cybersécurité en révolutionnant les méthodes de travail des analystes de sécurité. Plusieurs organisations, dont Ernst & Young et le University of Rochester Medical Center, utilisent déjà cette solution.

C’est aussi le cas du célèbre tournoi de tennis de Wimbledon. En 2017, les organisateurs de l’événement ont commencé à utiliser IBM QRadar Advisor avec Watson pour protéger le site Web du tournoi. « Alors que l’étude d’une menace de sécurité aurait pu prendre 60 minutes, un analyste peut le faire en une minute seulement grâce à Watson », explique Martin Borrett, chef de la technologie d’IBM Europe.

Vous considérez lancer un projet d’IA dans votre entreprise? Pour voir comment vous pourriez bénéficier concrètement de l’IA même si votre organisation n’est pas une entreprise de technologie, lisez le livre blanc gratuit Intelligence artificielle : comment débuter un projet d’IA dans votre entreprise.