L’IA va-t-elle bientôt bouleverser définitivement le monde des menaces ? Pas tout à fait, mais cette technologie joue un rôle crucial pour les organisations qui tentent de faire face au tsunami croissant des menaces classiques. C’est à l’IA de s’assurer que le pauvre informaticien survive.
« La façon dont nous avons mis en œuvre la sécurité depuis dix ans n’est plus supportable. » C’est la conclusion de Patrick Commers, évangéliste chez Fortinet en Belgique. « Il existe une tension entre les menaces et la protection, due aux nouvelles technologies et à la transformation numérique rapide. En bref, la surface d’attaque est beaucoup plus grande. Il existe de nombreux autres points d’entrée. »
Faux sentiment de sécurité
Cette situation est désormais habituelle, mais cela ne la rend pas moins ennuyeuse. Pendant des années, la norme en matière de sécurité était une approche best-of-breed, où les entreprises choisissaient la solution la plus appropriée pour chaque problème. Il s’ensuit un problème majeur. Commers : « Aujourd’hui, une organisation dispose facilement de trente à quarante « point solutions ». Les entreprises investissent beaucoup d’argent dans la protection, mais achètent surtout un faux sentiment de sécurité. Ils voient toutes leurs solutions et pensent qu’elles sont sûres. »
Aujourd’hui, cette approche ne fonctionne plus. « Avec toutes ces solutions différentes, il n’est pas surprenant qu’il faille en moyenne 221 jours à une organisation pour se rendre compte qu’elle a été piratée. » Selon Commers, toutes les solutions individuelles génèrent tellement de journaux et d’alertes, répartis sur tellement de tableaux de bord, qu’on ne peut pas s’attendre à ce que toute personne raisonnable soit capable de tout surveiller. Vous ne pouvez pas vous protéger contre une menace que vous ne voyez pas. Il existe une alternative qui s’impose à nous.
Un pour tous et tous pour un
Pour beaucoup, un SIEM est la solution magique, dit Commers. SIEM, abréviation de Security Information and Event Management, est une solution qui regroupe toutes les données générées par les point solutions (séparées). « Cela peut fonctionner pour les grandes organisations matures disposant d’un SOC bien équipé », pense Commers, « mais pour les petites organisations, le tableau de bord du SIEM est comme un arbre de Noël qui commence à clignoter. Si l’on pouvait ouvrir les fenêtres, l’équipe informatique qui y est confrontée sauterait collectivement par la fenêtre. »
Si l’on pouvait ouvrir les fenêtres, l’équipe informatique sauterait collectivement par la fenêtre.
Patrick Commers, évangéliste Fortinet Belgique
Selon Commers, un SIEM ne représente qu’une point solution supplémentaire pour la pile, et donc de l’argent gaspillé. « Cela vaut pour trop d’organisations. L’idée est de parvenir à une actionable security », sait-il. « Cela n’est possible que lorsque les équipes informatiques ne doivent plus tout regarder manuellement. » Et voilà que nous nous retrouvons avec l’IA.
Gartner et mesh
Commers s’éloigne d’abord un peu du sujet et renvoie à un rapport antérieur de Gartner. Le cabinet Gartner y recommande une autre façon d’assurer la sécurité : adieu les points solutions, vive l’architecture dite mesh. Selon cette philosophie, en tant qu’entreprise, il ne faut pas opter pour le best of breed, mais pour un fournisseur qui propose autant de solutions interconnectées que vous le jugez important. Ces solutions peuvent ensuite être mises en œuvre comme un tout.
Il ne le montre pas, mais nous soupçonnons que Commers, comme la plupart de ses collègues de Fortinet, a une copie encadrée du rapport accrochée dans sa chambre. Après tout, le point de vue de Gartner est un écho de ce que Fortinet lui-même a vanté pendant des années sous le nom de Fortinet Security Fabric.
L’IA par nécessité
Une telle architecture mesh prépare le terrain pour l’intégration de l’IA. Selon Commers, l’intelligence artificielle fonctionne à deux niveaux. Le premier est le plus important. Il fait référence à Fortinet lui-même et plus particulièrement à Fortiguard, la branche de détection des menaces du spécialiste de la sécurité.
Commers : « Environ 500 chercheurs travaillent à Fortiguard, mais ils doivent analyser 100 milliards d’événements par jour, reconnaître des modèles et examiner des échantillons. Même 500 experts ne peuvent pas le faire. Il y a dix ans, Fortiguard a donc créé une plate-forme d’IA pour son propre usage. » Cette plate-forme utilise l’apprentissage automatique et un réseau neuronal avancé pour traiter les données entrantes. Le système prend ses propres décisions pour générer des résultats précis.
Une décennie de données
L’IA de Fortinet se fonde sur plus d’une décennie de données provenant de ses propres sources, sur une collaboration avec ses pairs dans le cadre de la Cybersecurity Coalition et sur de bonnes relations avec Interpol et l’OTAN, entre autres. « Les résultats d’un système d’IA sont aussi bons que les données d’entrée le permettent », souligne Commers.
Le résultat est un algorithme qui peut reconnaître rapidement les nouveaux logiciels malveillants, même s’ils sont déguisés et qu’aucune signature n’existe encore. En 24 heures et parfois même en quelques heures, Fortiguard peut déployer une mise à jour de sécurité contenant une menace nouvellement découverte, grâce à l’IA, à l’ensemble de la base d’installation dans le monde entier. Les sandbox, IPS, pare-feu et autres sont immédiatement informés du nouveau risque.
L’IA en boîte
Aujourd’hui, en revanche, l’IA est également présente dans les appareils eux-mêmes. Par exemple, les algorithmes formés sur le réseau neuronal de Fortiguard sont capables de reconnaître une menace au niveau de l’entreprise et, via l’architecture mesh, d’alerter immédiatement les autres dispositifs de sécurité avec une signature générée de manière impromptue.
Selon Commers, l’IA joue un rôle essentiel dans la détection et la réaction, tout simplement parce qu’il est impossible pour un humain moyen d’interpréter le tsunami d’alertes et de journaux à temps. « Et aujourd’hui, la sécurité consiste principalement en une détection et une réponse largement automatisées », déclare Commers. Il ne veut pas pour autant minimiser le rôle de la protection.
IA pour les méchants
L’IA est donc utile pour contrer les menaces d’aujourd’hui, et elle est indépendante des attaques possibles à venir. Commers ne craint pas pour l’instant les menaces spéciales générées par l’IA. « Les cybercriminels examinent effectivement l’IA, mais principalement pour trouver comment tromper celles des spécialistes de la sécurité. » Cela s’inscrit dans le cadre du jeu classique du chat et de la souris auquel les spécialistes de la sécurité et les attaquants semblent se livrer depuis toujours.
Commers ne craint pas immédiatement les attaques menées par l’IA. « Une plate-forme d’IA nécessite des connaissances, une expertise, de l’argent et beaucoup de données de qualité. Pourquoi un pirate se compliquerait-il la vie en construisant une telle plate-forme ? Il existe encore un nombre infini de systèmes non corrigés et autant de pauvres types qui cliquent sur tous les liens qui arrivent dans leur boîte aux lettres. Il n’est pas du tout difficile d’entrer dans un réseau. »
L’IA résout les problèmes d’aujourd’hui
« Il ne faut pas effrayer les gens avec des menaces futuristes imaginaires », conclut Commers. « Cela les découragerait. Mais il est important de sensibiliser les gens. Quelles sont les tendances ? Comment réduire le risque ? Une plate-forme où tout se communique et où l’IA prend en charge une partie de la charge de travail est essentielle ici aujourd’hui. »
L’IA dans la cybersécurité n’est pas une arme futuriste pour contrer des menaces tout aussi futuristes. Cette technologie fait cruellement défaut aux entreprises qui veulent faire face aux menaces actuelles, relativement classiques, mais extrêmement nombreuses. L’exécution manuelle de cette tâche à l’aide de points solutions est une folie et il faut en moyenne plus de six mois pour découvrir qu’un attaquant a franchi le pare-feu.