Intelligence artificielle et cybersécurité : une réalité dès aujourd’hui
Les technologies de l’intelligence artificielle connaissent de nouveaux développements concrets depuis le début des années 2010, avec l’essor toujours plus important des puissances de calcul et l’accès de plus en plus facile aux données, mais aussi avec de nouveaux algorithmes. La cybersécurité n’en est pas absente, avec de nombreuses promesses, mais aussi quelques inquiétudes sur les usages que peuvent développer les attaquants.
Les recherches en intelligence artificielle visent à reproduire par l’outil numérique certaines fonctions cognitives humaines, notablement la perception, le langage et la décision. C’est-à-dire l’appréhension et la compréhension de l’environnement, les interactions avec cet environnement et avec des êtres humains, mais aussi la prise de décision pour commander des actions. Toutes ces directions de recherche peuvent apporter un plus en matière de cybersécurité, qui vise à la fois à maîtriser des risques variés, techniques et humains, à envisager des menaces et à les détecter, puis à y apporter des réponses, si possible dans un temps le plus rapproché possible du début des attaques. On évoque ainsi souvent la détection des attaques comme apport de l’intelligence artificielle en cybersécurité, mais on peut aussi imaginer des évolutions intéressantes dans la compréhension et la maîtrise des systèmes complexes que l’on cherche à protéger (la découverte d’un réseau, le référencement des données à protéger), la construction de règles adaptées à cet environnement, la définition en temps réel des mesures à mettre en œuvre au moment d’une attaque pour protéger tous les équipements d’un réseau, etc. Et, bien entendu, l’interaction avec l’humain sera essentielle, pour comprendre les actions normales des utilisateurs, détecter leurs erreurs ou les comportements qui s’écartent de la norme, interagir avec eux pour vérifier ces incidents ou les informer de mesures à prendre, en particulier les équipes chargées de traiter les incidents.
REPÈRES
Selon une étude publiée en juillet 2019 par Capgemini, 28 % des entreprises interrogées utilisent des solutions de cybersécurité incluant une forme d’intelligence artificielle, avec des fortes perspectives de développement. La sécurité des réseaux et des données est en tête des préoccupations lorsque de telles solutions sont déployées. Même si de tels chiffres doivent être pris avec précaution, toutes les solutions déclarant mettre en œuvre de l’intelligence artificielle n’étant pas comparables, cette tendance est encourageante.
L’IA en attaque comme en défense
On voit que les utilisations potentielles de l’IA en cybersécurité sont nombreuses ; il est donc indispensable de s’y intéresser et d’y investir (notamment dans la recherche) et, pour l’utilisateur final qui cherche à protéger son système d’information, il sera de plus en plus nécessaire d’en comprendre les potentialités, les contraintes, mais aussi les limites. Les premières implémentations ne vont évidemment pas encore aussi loin que les perspectives le promettent et c’est du côté des techniques de classification des événements et donc de détection des incidents que les premiers résultats sont rencontrés. Ainsi, un important gestionnaire de courrier électronique (Gmail) annonçait l’an dernier avoir considérablement amélioré sa lutte contre les spams grâce à l’apprentissage automatique. Mais on est encore loin d’une défense complètement automatisée grâce à l’intelligence artificielle.
Une autre raison de s’intéresser à l’intelligence artificielle est que les attaquants exploitent d’ores et déjà ses capacités. Les exemples les plus médiatiques sont ceux liés aux deepfakes, générés par les récents algorithmes de réseaux antagonistes génératifs, ces enregistrements audiovisuels permettant de faire dire n’importe quoi à une personne, à partir d’enregistrements précédents – technique qu’aurait pu utiliser l’escroc qui s’est fait passer pour le ministre des Armées en 2015. Et donc l’inquiétude qui s’ensuit concerne la possibilité de contourner les systèmes de contrôle d’accès biométriques. Un éditeur de sécurité s’est essayé en juin 2019 à imaginer plusieurs utilisations de l’intelligence artificielle par les cyberdélinquants : des vers informatiques avec une fonctionnalité d’évasion des algorithmes de détection en faisant varier leur forme ou leur comportement sur le réseau, ou des virus pouvant tromper les moteurs antivirus qui reposent sur un apprentissage automatique (machine learning) en leur apprenant à ignorer certains fichiers malveillants. Des chercheurs ont ainsi présenté DeepLocker à la conférence Blackhat 2018, un démonstrateur reposant sur des technologies d’intelligence artificielle capable d’échapper aux techniques de détection et de ne se déclencher que dans un système cible bien précis.
Mais les risques liés à l’intelligence artificielle sont encore plus immédiats pour ceux qui souhaitent en déployer dans leurs projets. Ainsi, de nombreuses études ont montré des biais liés aux algorithmes eux-mêmes ou aux jeux de données utilisés pour l’apprentissage ; c’est évidemment un risque important lorsque l’IA remplit une fonction de sécurité. Les recherches récentes portent justement sur des méthodes permettant de détecter ces biais ou de les minimiser.
“Les exemples les plus médiatiques sont ceux
liés aux deepfakes.”
Définir une stratégie collective de lutte
Pour finir, le point clé de l’intelligence artificielle par apprentissage est la qualité de la donnée. Que le projet d’IA développé au sein de l’organisation relève de la cybersécurité ou d’autres applications, il convient d’avoir une véritable stratégie pour sécuriser les données collectées : de la collecte au stockage, il faut s’assurer à la fois de la qualité et de l’exhaustivité des données (pour éviter les biais et garantir la qualité de l’apprentissage), mais aussi de l’intégrité de ces données pour éviter qu’elles ne soient elles-mêmes manipulées par un attaquant pour organiser une cyberattaque ultérieurement (ou le détournement de l’application de l’IA quelle qu’elle soit). Le rapport Villani sur l’intelligence artificielle « Donner un sens à l’intelligence artificielle » consacre un focus sur les questions de défense et de sécurité, recommandant une prise en compte par la recherche souveraine et les moyens de l’État. Plus généralement, on ne peut que recommander que l’écosystème français et européen se saisisse pleinement des questions liées à l’intelligence artificielle en cybersécurité ; il en va de l’avenir de notre sécurité numérique. Et bien évidemment tous les chefs de projet numérique et les RSSI qui les appuient doivent comprendre les risques nouveaux liés à l’intelligence artificielle, tout en s’appropriant rapidement ces outils pour les opportunités nouvelles qu’ils promettent dans la sécurisation des systèmes.