Une IA aux deux visages pour la cybersécurité

Tous les éditeurs de solutions de sécurité misent aujourd’hui sur l’IA pour renforcer les capacités de détection et de remédiation de leurs produits de cybersécurité et repenser les interfaces de leurs logiciels. Mais l’intelligence artificielle présente aussi une part plus sombre. Avec ses messages de phishing parfaits, ses deepfakes ou même de la génération de malwares, elle peut aussi œuvrer pour les attaquants. Alors, ange ou démon ?

Bien avant la déferlante de l’IA générative et ses LLM omniscients, l’IA a été peu à peu adoptée dans de nombreux secteurs d’activité. C’est tout particulièrement le cas de la cybersécurité où les masses de données à traiter sont colossales… et les ressources humaines notoirement insuffisantes. Les algorithmes et les réseaux neuronaux sont en production dans la cyber depuis des décennies, mais comme le soulignait le Général Patrick Perrot lors de la conférence d’ouverture du Cyber Show Paris, l’IA représente à la fois une menace et une solution pour la sécurité : « L’IA est un vecteur de transformation pour améliorer nos processus métiers, notamment en ce qui concerne la gendarmerie et la protection individuelle et collective des citoyens. Il faut garder en tête que l’IA a un côté obscur et un côté clair. Elle peut être utilisée à des fins malveillantes, mais aussi offrir des capacités de protection extraordinaires. L’IA doit nous assister sans nous remplacer. C’est à nous, humains, de décider de son usage. L’IA ne prend que la place qu’on lui accorde. »

Le coordonnateur pour l’intelligence artificielle et conseiller IA du Comcyber du ministère de l’Intérieur explique aussi que l’IA a permis l’essor d’attaques cyber « As a Service ». Il existe même un « ChatGPT » baptisé WormGPT qui permet de générer des malwares, des campagnes de phishing… « Cela change le visage de la criminalité, ajoute le Général. À une certaine époque, cette criminalité technologique était dans les mains du crime organisé. Il y avait de grands groupes spécialisés dans le champ cyber, et aussi des geeks. Aujourd’hui ce n’est plus l’affaire de geeks, mais de simples délinquants qui peuvent lancer des attaques, car les technologies sont facilement à leur disposition. L’IA rend les choses accessibles, on n’a plus besoin de maîtriser la connaissance, ce qui pose un véritable défi. »

Le deepfake est sans nul doute l’illustration ultime de l’impact de l’IA sur la cyberdélinquance puisqu’elle est venue réinventer la très classique arnaque au président. C’est ainsi que l’employée d’une entreprise internationale à Hong Kong a été convoquée à une réunion Teams avec son directeur financier basé au Royaume-Uni. À l’exception de la victime, les quatre participants à la visioconférence, dont ce responsable financier, étaient des arnaqueurs dissimulés sous des deepfakes d’employés de l’entreprise. L’employée visée a réalisé une quinzaine de virements sur cinq comptes bancaires pour un montant de 200 M$ de Hong Kong, soit 26 M$ américains.

Au-delà de ce coup d’éclat, la menace « IA » est une réalité protéiforme. Les LLM permettent de générer des messages de phishing dans n’importe quelle langue, sans les fautes de grammaire ou d’orthographe habituelles qui facilitaient leur détection. L’IA permet également de personnaliser ces messages grâce à la collecte de données personnelles sur les réseaux sociaux et autres sources ouvertes (OSINT pour Open Source INTelligence). On attribue même la hausse du nombre de campagnes de phishing constatée en particulier au Japon, à la capacité des LLM à générer des messages dans un japonais parfait, ce qui n’est pas à la portée de tous les attaquants traditionnels, loin s’en faut…

Pourtant, selon Vivien Mura, Global CTO chez Orange Cyberdéfense, l’IA n’a pas encore complètement bouleversé le modèle des menaces : « Les attaquants commencent à utiliser ces outils, un peu comme tout le monde, mais les premières applications visibles restent dans le domaine très connu du phishing. Désormais, il est de plus en plus difficile de distinguer le vrai du faux, même pour les personnes bien formées ou sensibilisées. »

Côté défense, Vivien Mura souligne que si beaucoup reste à inventer, des briques d’IA sont déjà intégrées dans de nombreuses solutions de sécurité. « Grâce à l’IA, nous sommes capables de corréler des événements et de classifier des alertes depuis longtemps dans le domaine de la détection. Ce que l’IA générative apporte de nouveau, c’est l’optimisation de certaines pratiques qui soulage quelques métiers. L’automatisation de tâches comme le scoring d’attaques ou la qualification d’alertes dans les SOC (Security Operations Center), joue un rôle de pré-filtrage, ce qui facilite le travail des analystes. Cela leur permet de se focaliser sur des choses plus pointues qui demandent une expertise humaine particulière. »

L’IA vient en renfort des protections existantes

En outre, l’IA commence à générer de manière automatique ou semi-automatique les playbooks, ces suites d’actions à exécuter lorsqu’une attaque est détectée. Elle va ainsi grandement faciliter le travail des analystes et accélérer la réponse aux incidents. Par ailleurs, de nombreuses automatisations via les solutions d’orchestration de type SOAR (Security Orchestration, Automation and Response) existent déjà. Cependant, la notion même de remédiation automatique, c’est-à-dire de laisser l’IA décider automatiquement de certaines actions, fait encore débat. Les entreprises rechignent à laisser à la machine l’initiative d’éteindre les serveurs de production ou d’isoler des pans entiers du système d’information, lorsque celle-ci considèrerait que c’est la solution la plus rationnelle à adopter face à une attaque. « Certaines automatisations existent déjà, note Vivien Mura, mais des progrès restent à faire dans l’orchestration et l’automatisation des SOC et des CERT (Computer Emergency Response Team). Il ne s’agit pas nécessairement que de l’IA, mais d’un axe de travail très intéressant pour gagner en réactivité et libérer du temps humain pour d’autres tâches. »

L’IA va impacter presque toutes les solutions de sécurité, que ce soit pour la détection, la réaction aux incidents ou l’amélioration de la connaissance des systèmes d’information eux-mêmes. Vasco Gomes, global CTO cybersécurité chez Eviden, explique : « L’IA peut grandement aider à identifier et documenter les systèmes d’information, notamment en automatisant la création de diagrammes et en détectant les écarts de configuration des systèmes d’IAM (Identity and Access Management). » En effet, notamment dans les plus grandes organisations, il est complexe de gérer les droits d’accès des utilisateurs sur toutes les applications et sur tous les serveurs. L’IA peut aider en envoyant des requêtes auprès des diverses applications, auprès de l’annuaire d’entreprise et détecter les anomalies pour seconder ces équipes IAM. « À l’arrivée d’un nouveau salarié, il est possible de demander à l’IA d’expliquer les écarts en termes de comportements d’accès de cette personne avec d’autres personnes. Ce sont des investigations qui peuvent demander beaucoup de temps aux équipes. L’IA fournit ici une piste d’investigation très intéressante. »

Enfin, l’IA générative va venir ajouter une couche de langage naturel au-dessus d’un écosystème cyber particulièrement complexe. Les LLM vont littéralement réinventer les interfaces utilisateur de ces outils : « Nous continuerons à utiliser des règles, des graphes et de la reconnaissance, mais tout cela sera piloté par des modèles de langage capables de générer du texte, du code, des instructions », ajoute l’expert qui évoque l’émergence d’agents autonomes dotés d’interfaces en langage naturel et qui piloteront toutes ces IA ultra-spécialisées dans la défense des entreprises.

---

EXPERT – Christophe Menant – Directeur de l’offre cybersécurité Capgemini

« La cybersécurité mise sur le ML et le DL depuis dix ans »

« L’IA générative fait aujourd’hui le buzz, mais bien avant son essor, la cybersécurité a mis en œuvre des modèles de machine learning, puis du deep learning depuis une dizaine d’années. Le machine learning est une arme mathématique qui a reçu un apprentissage sur des patterns, des schémas d’attaque qu’il peut ensuite détecter pour générer une alerte. La plupart des outils de détection mettent aujourd’hui en œuvre de tels algorithmes de prédiction. La mise en œuvre des réseaux neuronaux a été rendue possible par l’accroissement de la puissance informatique disponible. Les défauts de l’approche sont aussi bien connus, avec tous les faux positifs qui peuvent être générés, qu’il faut pouvoir traiter. »

---

EXPERT – Vasco Gomes – Global CTO cybersécurité chez Eviden

« Il n’y a pas eu de véritable disruption à cause de l’IA dans la cyber »

« Il n’y a pas de véritable disruption causée par l’IA dans la cyber, mais un niveau qui s’élève peu à peu. Les e-mails de phishing très bien réalisés étaient l’apanage de certains groupes bien structurés, mais désormais certains malwares très évolués vont devenir accessibles à l’attaquant moyen, voire même à un débutant. Est-ce que le niveau cyber moyen des entreprises va monter aussi vite ? Est-ce que dans les PME qui s’estiment sous le radar ou confrontées à des attaquants de niveau moindre, le déséquilibre des forces désormais en présence ne risque pas de créer une dissymétrie de compétences, au risque de tout voir basculer ?

L’usage facilité de la technologie va sans doute permettre de nouvelles attaques. C’est le cas de la vérification d’identité à distance. Pour lutter contre les nouvelles possibilités de présentation de faux visages qui bypassent les contrôles réalisés lors de la création d’un compte bancaire, par exemple, il va falloir d’abord évaluer rapidement les moyens de contrôle qui ne seront plus suffisants, les faire évoluer ou bien procéder différement. »

---

EXPERT – Olivier Nautet –  CISO group de BNP Paribas

« L’IA Gen aide à la gestion des conformités dans notre secteur qui est très réglementé »

« L’IA intervient aujourd’hui dans trois grandes thématiques pour la cyber chez BNP Paribas. D’une part pour la défense avec de nombreuses solutions sur étagère disposant de capacités d’IA embarquées, par exemple du machine learning ou du deep learning. Ces fonctions apportent des améliorations incrémentales aux solutions existantes, et sont indispensables. En effet, les masses de données générées par nos systèmes sont telles qu’elles ne peuvent plus être appréhendées par des humains. Les algorithmes permettent d’analyser rapidement les informations et aident à la prise de décision. L’IA intervient par exemple sur la première ligne de défense, sur les proxys, pour filtrer les messages de phishing ou les connexions suspicieuses.

Le second volet porte sur la sécurité de ces IA. Nous vérifions le respect par toutes les IA que nous testons et que nous mettons en production de toutes nos exigences afin que les collaborateurs puissent travailler dans un environnement sécurisé. Notre principe fort est que toutes les données de nos clients restent dans notre système d’information et ne peuvent aller dans un cloud public. Nos IA doivent notamment respecter cette contrainte. En outre, les environnements de test et de production doivent être strictement cloisonnés, des bacs à sable ont été mis en place pour tester même les modèles les plus importants.

Le dernier volet porte sur les outils de monitoring de la sécurité. L’arrivée de l’IA générative est un plus. Nous l’utilisons déjà, notamment dans le cadre de la gestion de conformité. Le secteur bancaire est fortement régulé dans le monde et des modèles d’IA nous aident à comparer nos pratiques vis-à-vis des cadres réglementaires locaux. Les corrélations réalisées permettent aussi à nos analystes de SOC de prendre une décision beaucoup plus rapidement, sans devoir interroger différents systèmes. Pour autant, on reste bien loin d’IA capables de faire de la remédiation automatique. »

---

EXPERT – Général Patrick Perrot – Coordonnateur pour l’intelligence artificielle, conseiller IA du Comcyber du ministère de l’Intérieur

« Les délinquants n’ont pas à respecter la réglementation, eux ! »

« Parmi les différences d’approche entre les forces de l’ordre et les délinquants, ces derniers peuvent utiliser l’IA comme une boîte noire, ce n’est pas gênant pour eux. Ils n’ont pas à respecter la réglementation et c’est un atout considérable. Car si l’existence d’une réglementation est essentielle, il faut veiller à ce qu’elle ne crée pas une asymétrie. 

Il y a aussi un changement de nature des cibles. Auparavant, c’était les grandes entreprises, aujourd’hui ce sont les hôpitaux, les mairies, des cibles de basse intensité, mais en grand nombre. On s’aperçoit que cela rapporte tout autant aux délinquants.

Il ne faut pas être trop pessimiste et dire que la bataille est perdue d’avance. Les attaquants sont créatifs, mais on peut anticiper certaines choses. Les gendarmes et les entreprises sont aussi créatifs. Nous faisons beaucoup d’exercices, jouons beaucoup de scenarii d’attaque. Il faut anticiper les nouveaux risques apportés par l’IA. »

---