Est-ce que l’IA est la solution pour lutter contre les cybermenaces ?

La pénurie d’experts en cybersécurité se fait particulièrement sentir au sein des centres opérationnels de cybersécurité (SOC). Là, des veilleurs reçoivent et traitent les alertes issues de l’ensemble des équipements de l’entreprise et doivent être capables de réagir rapidement pour endiguer la menace avant que celle-ci ne devienne incontrôlable.

Hélas, submergés d’alertes peu ou pas priorisées, confrontés à la difficulté de contextualiser la menace globale à travers le prisme d’une simple détection, ils ont de plus en plus de mal à faire leur travail dans de bonnes conditions. Ajoutons à cela la difficulté chronique de recrutement, et la situation au sein des SOC est particulièrement tendue. Pourtant, ces « tours de contrôle » de la cybersécurité des entreprises jouent un rôle essentiel non seulement dans la détection, mais aussi dans la réponse aux attaques.

Pour leur venir en aide, le marché se tourne de plus en plus vers les promesses de l’Intelligence Artificielle. La machine, en effet, est capable, contrairement à l’humain, de traiter d’incroyables quantités de données quasiment instantanément, et de les trier, les prioriser, les enrichir et les présenter de manière claire pour qu’un analyste humain soit en mesure de décider de la suite à donner à une alerte. Grâce à l’IA, la charge de travail des analystes SOC se réduit, ainsi que le risque d’erreur : « Nos solutions à base de Deep Learning – la branche la plus poussée de l’IA – permettent en moyenne aux entreprises de réduire de 25% la quantité d’alertes quotidiennes à gérer, et de gagner jusqu’à 13 heures par jour de temps homme consacré à traiter des faux positifs », explique ainsi Rodolphe Moreno, Deep Instinct.

De son côté, l’éditeur français Vade mise lui aussi sur le Deep Learning pour faire face aux 100 millions d’emails qu’il doit analyser chaque jour afin de détecter les spams. « Nous avons beaucoup travaillé pour créer notre propre méthode et notre propre infrastructure capable d’apprendre massivement et de pouvoir identifier les spams à base d’images. Mais le résultat est là : sur les trois premiers mois de 2021, nous avons bloqué 500 millions de spams par cette méthode », explique Adrien Gendre, Vade.

Il reste cependant un rôle dans lequel l’humain est pour le moment indétrônable : celui de l’analyste. Mais là aussi, l’IA peut venir lui faciliter la vie en préparant le travail : « L’analyste a besoin d’enrichir l’information et de collecter du contexte pour faire son travail. Si l ‘analyse elle-même est une tâche humaine qui donne généralement lieu à une prise de décision, la machine est parfaite pour associer et agréger automatiquement l’ensemble du contexte disponible autour d’un « case » dans le but de faciliter son exploitation. Certaines décisions évidentes peuvent même faire l’objet de réponses automatisées basées sur la collecte de contexte correspondant aux critères d’un playbook écrit par l’analyste. », complète Cyrille Badeau, ThreatQuotient.

Adrien Gendre, Vade : « Il y a eu une amélioration significative des techniques de Computer Vision. La montée en puissance du Deep Learning et de la puissance hardware dédiée a largement contribué à ce phénomène. »

Rodolphe Moreno, Deep Instinct : « Avec le Deep Learning, plus la machine reçoit de données brutes, plus elle comprend intuitivement la signification des nouvelles données. Ses fondements s’inspirent du fonctionnement du cerveau humain. »

Cyrille Badeau, ThreatQuotient : « L’analyse des incidents cyber demeure une tâche majoritairement réservée à l’humain. Cependant,  la machine est bien meilleure pour enrichir automatiquement  l’information afin de faire gagner un temps précieux à l’humain qui peut ainsi lui déléguer les tâches répétitives et les prises de décisions évidentes. »

Poursuivez votre lecture avec nos différents articles sur les sujets du moment en cybersécurité.