L’automatisation complète de la cybersécurité n’est pas pour tout de suite

L'intelligence artificielle (IA) et l'automatisation gagnent du terrain ces dernières années dans différents domaines horizontaux et verticaux, et la cybersécurité ne fait pas exception. L'adoption de l'IA peut être très bénéfique pour la cybersécurité d'une entreprise. Elle permet notamment de répondre aux nombreux enjeux auxquels les entreprises sont confrontées aujourd’hui : la complexification et l’extension du périmètre à protéger, le manque récurrent de talents, un nombre trop important d’alertes simultanées, ou encore la difficulté d’anticiper les attaques n’en sont que quelques-uns. Cependant, l’IA n’est pas une solution miracle et se fier aveuglement aux promesses commerciales peut jouer un mauvais tour aux entreprises trop crédules ou pressées.

Tout d’abord, l’IA ne pourra pas fonctionner efficacement si une entreprise ne l'alimente pas avec des données de qualité. La plupart des entreprises ne disposent pas à ce jour de données propres, unifiées et cohérentes pour le faire. Ainsi, les entreprises devront préparer les données pertinentes à leurs cas d’usage, voire construire une plateforme de données fournissant une vue consolidée des données, avant de procéder à tout projet d’IA ou d’automatisation pour la cybersécurité. Il s'agit notamment de collecter des données provenant de différentes sources (antivirus, pare-feu, bases de données, cloud, endpoints) et, si nécessaire, de les transformer dans un format pouvant être utilisé par un modèle de machine learning et d'IA. Cette étape peut nécessiter beaucoup de ressources et de temps, ce que certaines entreprises ne pourraient pas se permettre.

La cohérence des données est aussi un enjeu important, car les champs de métadonnées des logs peuvent différer d'un logiciel de cybersécurité à l'autre. Comme l'IA est plus efficace lorsqu'elle est déployée sur l'ensemble de la surface d'attaque, une entreprise doit s'assurer de l'interopérabilité d’une solution d'IA avec les solutions de cybersécurité existantes, faute de quoi elle risque de ne pas pouvoir exploiter pleinement le potentiel des données et d'avoir des angles morts, non couverts par l'IA. En même temps, l’implémentation de l’IA comme toutes les technologies consommatrices de données peut nécessiter des mesures sur la collecte et le traitement des données pour répondre aux exigences réglementaires, comme celles du GDPR.

De plus, l'utilisation de l'IA n’enlève pas l'expertise humaine. Qu'une entreprise opte pour une solution sur mesure ou prête à l'emploi, une intervention humaine sera nécessaire pour adapter la solution au contexte de l'entreprise et pour assurer son fonctionnement dans la durée. Pour cela, il est important d'éviter les modèles en boîte noire car un cyber expert doit être en mesure de comprendre comment et à partir de quelles données le modèle détecte une menace. Comme les tactiques et techniques d'attaque évoluent constamment, la surveillance du fonctionnement et d’apprentissage des algorithmes est indispensable, et les spécialistes de la cybersécurité devront se tenir au courant de l’évolution du paysage des menaces et prévoir quel impact cela peut avoir sur le modèle d'IA et ses capacités de détection.

Par ailleurs, les acteurs malveillants, eux aussi, recourent de plus en plus à l'IA pour renforcer et accélérer leurs attaques. Ces logiciels malveillants basés sur l'IA peuvent être extrêmement dangereux car ils permettent de développer des attaques très avancées. Par exemple, une IA offensive vise à apprendre les mécanismes du fonctionnement des outils d'IA défensifs pour pouvoir les détourner. Elle peut aussi chercher à compromettre l'ensemble des données d’entraînement de l’IA défensif de telle sorte que le système n'apprenne pas comme prévu ou pour y introduire des objets externes de sorte que celui-ci ne les reconnaisse pas. Il est donc important de s'assurer que les systèmes pilotés par l'IA suivent un cycle de vie de développement sécurisé, de l'idéation au déploiement et à la surveillance post-commercialisation, y compris la surveillance et l'audit de l'exécution.

Dans tous les cas, l’IA utilisée dans les solutions de cyber sécurité aujourd’hui est une lA faible (Narrow AI), qui est centrée sur des tâches spécifiques, par exemple, la détection des « patterns » ou des anomalies dans les flux de trafic réseau, les activités des applications ou le comportement des utilisateurs. Et même si certaines solutions de cyber sécurité portent le label "autonome", cette affirmation doit être prise avec des pincettes, car ces produits nécessitent toujours l'intervention d'un expert dans des cas inédits. Aujourd’hui, le marché de la cyber sécurité ne propose pas de produits matures, basés sur une IA forte, capable de répondre à tout un spectre de problèmes avec intelligence et sensibilité. L’arrivée de ce type de solutions dans un avenir proche semble difficilement imaginable.

Par conséquent, si l'utilisation de l'IA dans la cybersécurité est de plus en plus indispensable, il s'agit surtout d'une synergie entre les intelligences artificielle et humaine. En effet, les outils autonomes pilotés par l'IA peuvent permettre aux équipes de cyber sécurité de se débarrasser des tâches répétitives et de prendre des décisions mieux informées.