Est-ce que l’IA est la solution pour lutter contre les Cyber menaces ?

Avec sa capacité de traiter et de prioriser de grandes quantités de données, l’IA est-elle le compagnon idéal des spécialistes humains noyés sous trop d’alertes quotidiennes ?

Branche la plus puissante de l’IA, le Deep Learning se classe plusieurs échelons au-dessus de l’apprentissage automatique. Il est actuellement utilisé dans le domaine de la cybersécurité via la création de réseaux neurologiques « entraînés » à partir d’échantillons de données brutes renfermant des millions de fichiers étiquetés à la fois malveillants et bénins. Au fil du temps, le réseau apprend à identifier instinctivement le code malveillant.

IA : un allié pour se concentrer sur l’essentiel des alertes cyber ?

La pénurie d’experts en cybersécurité se fait particulièrement sentir au sein des centres opérationnels de cybersécurité (SOC). Là, des veilleurs reçoivent et traitent les alertes issues de l’ensemble des équipements de l’entreprise et doivent être capables de réagir rapidement pour endiguer la menace avant que celle-ci ne devienne incontrôlable.

Hélas, submergés d’alertes peu ou pas priorisées, confrontés à la difficulté de contextualiser la menace globale à travers le prisme d’une simple détection, ils ont de plus en plus de mal à faire leur travail dans de bonnes conditions. Ajoutons à cela la difficulté chronique de recrutement, et la situation au sein des SOC est particulièrement tendue. Pourtant, ces « tours de contrôle » de la cybersécurité des entreprises jouent un rôle essentiel non seulement dans la détection, mais aussi dans la réponse aux attaques.

Pour leur venir en aide, le marché se tourne de plus en plus vers les promesses de l’Intelligence Artificielle. La machine, en effet, est capable, contrairement à l’humain, de traiter d’incroyables quantités de données quasiment instantanément, et de les trier, les prioriser, les enrichir et les présenter de manière claire pour qu’un analyste humain soit en mesure de décider de la suite à donner à une alerte. Grâce à l’IA, la charge de travail des analystes SOC se réduit, ainsi que le risque d’erreur : « Nos solutions à base de Deep Learning – la branche la plus poussée de l’IA – permettent en moyenne aux entreprises de réduire de 25% la quantité d’alertes quotidiennes à gérer, et de gagner jusqu’à 13 heures par jour de temps homme consacré à traiter des faux positifs », explique ainsi Rodolphe Moreno, Deep Instinct.

De son côté, l’éditeur français Vade mise lui aussi sur le Deep Learning pour faire face aux 100 millions d’emails qu’il doit analyser chaque jour afin de détecter les spams. « Nous avons beaucoup travaillé pour créer notre propre méthode et notre propre infrastructure capable d’apprendre massivement et de pouvoir identifier les spams à base d’images. Mais le résultat est là : sur les trois premiers mois de 2021, nous avons bloqué 500 millions de spams par cette méthode », explique Adrien Gendre, Vade.

Il reste cependant un rôle dans lequel l’humain est pour le moment indétrônable : celui de l’analyste. Mais là aussi, l’IA peut venir lui faciliter la vie en préparant le travail : « L’analyste a besoin d’enrichir l’information et de collecter du contexte pour faire son travail. Si l ‘analyse elle-même est une tâche humaine qui donne généralement lieu à une prise de décision, la machine est parfaite pour associer et agréger automatiquement l’ensemble du contexte disponible autour d’un « case » dans le but de faciliter son exploitation. Certaines décisions évidentes peuvent même faire l’objet de réponses automatisées basées sur la collecte de contexte correspondant aux critères d’un playbook écrit par l’analyste. », complète Cyrille Badeau, ThreatQuotient.

Les experts cyber nous donnent leur point de vue :

Adrien Gendre, VADE :

« Il y a eu une amélioration significative des techniques de Computer Vision. La montée en puissance du Deep Learning et de la puissance hardware dédiée a largement contribué à ce phénomène. »

Rodolphe Moreno, DEEP INSTINCT :

« Avec le Deep Learning, plus la machine reçoit de données brutes, plus elle comprend intuitivement la signification des nouvelles données. Ses fondements s’inspirent du fonctionnement du cerveau humain. »

Cyrille Badeau, THREATQUOTIENT :

« L’analyse des incidents cyber demeure une tâche majoritairement réservée à l’humain. Cependant,  la machine est bien meilleure pour enrichir automatiquement  l’information afin de faire gagner un temps précieux à l’humain qui peut ainsi lui déléguer les tâches répétitives et les prises de décisions évidentes. »

Partager cet article

Nos billets d’humeur les plus lus

74 % des RSSI se disent prêts à payer le prix fort pour travailler avec des fournisseurs qu’ils considèrent comme des influenceurs

L’influence joue un rôle fondamental dans les choix des RSSI : 97 % d'entre eux utilisent…

Cybersécurité : quel rôle pour la presse et le contenu d’influence ?

55 % des professionnels de la cybersécurité consacrent 1 à 3 heures par semaine à la…