Secu
Comment l’IA s’est imposée dans la sécurité des endpoints
Par Alain Clapaud, publié le 17 décembre 2024
En quelques années, l’IA a su devenir incontournable pour sécuriser les endpoints. Les EDR ont littéralement ringardisé les antivirus traditionnels et l’IA est désormais indispensable pour lutter contre les ransomwares et les e-mails de phishing, aujourd’hui parmi les risques majeurs qui pèsent sur les organisations.
En cybersécurité, il y aura eu un avant et un après Covid. La grande vague de ransomwares qu’ont connue les organisations lors de la crise sanitaire a poussé de nombreux responsables à muscler la sécurité de leurs endpoints. Car en visant notamment les collaborateurs en télétravail, les attaquants ont sans cesse renouvelé leurs attaques, ce qui a pris en défaut les antivirus traditionnels dont le fonctionnement est basé sur la notion de signature. Or si le malware envoyé ne correspondait pas exactement à une signature existante, celui-ci n’était pas détecté.
C’est du côté du machine learning et du deep learning que des solutions sont apparues. En premier lieu grâce à la mise en œuvre d’algorithmes comportementaux pour détecter tout fonctionnement anormal sur un serveur ou un PC, notamment lors du déclenchement d’un cryptolocker (ou cryptoverrouilleur en français) qui chiffre les données du disque dur avant de demander une rançon. L’IA a aussi permis de faire progresser énormément la lutte contre les arnaques scam et le spam. Benjamin Mercusot, ingénieur avant-vente cybersécurité chez Sophos, explique ainsi le recours au NLP (Natural Language Processing) afin d’analyser les textes des messages, quelle que soit la langue utilisée. « Quand l’utilisateur reçoit un message, nous sommes capables de nous appuyer sur le contexte du message et de ne pas déclencher une alerte seulement à partir des mots-clés. Cela permet de détecter les messages malicieux où l’attaquant change des lettres dans les mots pour passer les filtres anti-spam. »
L’essor fulgurant des EDR
Rapidement, les entreprises et les institutions se sont dotées en masse de solutions de protection endpoint de nouvelle génération, les fameux EDR (Endpoint Detection and Response). Ces solutions se composent d’un agent installé sur la machine à protéger et surtout d’un service cloud où sont exécutées des IA qui analysent le comportement des machines. Adrien Merveille, expert en cybersécurité chez Check Point, souligne leur rôle croissant dans la détection des menaces : « Beaucoup de moteurs de prévention sont basés sur l’IA. Chez Check Point, nous en comptons plus d’une soixantaine. Chacun de ces moteurs va jouer sa partition, par exemple l’analyse de macros ou de fichiers exécutables, l’utilisation détournée du DNS (Domain Name Server)… » Ces moteurs IA se retrouvent aujourd’hui dans de nombreuses briques de sécurité de l’éditeur, notamment sa solution de « sandboxing » qui permet de tester un fichier dans un environnement isolé pour observer son comportement réel en toute sécurité. Ils sont aussi présents pour protéger la messagerie, les mobiles ou dans une brique de protection aujourd’hui très en vogue dans les grandes organisations, à savoir les NDR (Network Dectection and Response) qui exploitent ces IA pour l’analyse du trafic réseau. Adrien Merveille ajoute : « Une de nos technologies s’appelle Zéro Phishing. Son objectif est de protéger les utilisateurs contre les sites de phishing qui ne sont pas encore connus et référencés. La solution se charge d’analyser les pages web au moment où l’utilisateur va cliquer dans des champs présents sur la page suspecte (login/mot de passe, numéro de carte bancaire…). S’il y a une anomalie, par exemple une ressemblance avec un autre site malicieux, elle va alors empêcher l’utilisateur de rentrer le moindre caractère. »
Dans une démarche analogue, l’éditeur Bitdefender a récemment présenté un outil de détection des escroqueries qui fait appel à l’IA. Baptisé Scamio, ce logiciel est un chatbot qui permet d’obtenir un deuxième avis fiable sur un e-mail, un SMS, une image, un lien ou un QR code suspicieux. Il délivre à l’utilisateur ses recommandations sur les mesures à prendre face à de potentielles tentatives de fraude. Razvan Costache, directeur de la division Business to consumer innovation chez Bitdefender, explique le pourquoi de ce développement : « L’accès de plus en plus facile aux IA fondées sur les LLM a changé la donne en faveur des cybercriminels, et nous avons pu constater une évolution rapide du paysage des menaces. Les escrocs diffusent en masse des malwares contre lesquels nous luttons aujourd’hui, mais cherchent aussi à convaincre les utilisateurs de dévoiler des informations financières et personnelles. » Bitdefender a d’ailleurs rejoint la GASA (Global Anti-Scam Alliance). Cette alliance compte aussi Amazon, Google, Mastercard, Meta et Trend Micro parmi ses fondateurs.
Au-delà des EDR, les XDR
Cette protection du endpoint s’est aujourd’hui élargie avec les XDR (pour eXtended Detection and Response). L’idée consiste ici à ne plus limiter les algorithmes à l’analyse des données d’un serveur ou d’un desktop, mais de rassembler toutes les données des autres briques de sécurité dans des entrepôts dédiés. L’objectif est de se donner une vision beaucoup plus large sur le système d’information. Il s’agit aussi de détecter les attaquants qui opèrent des mouvements latéraux, se déplaçant de machine en machine pour infecter progressivement des pans entiers du système d’information. « Très tôt, nous avons décidé de mettre en œuvre des techniques de data lake, mais nous sommes allés plus loin en migrant nos clients EDR vers notre plateforme XDR, explique Benjamin Mercusot. Les métadonnées remontent aussi bien de l’infrastructure que de la protection endpoint. Nous avons aussi étendu notre périmètre et ajouté des sources de produits tiers en dehors de ceux de Sophos. Cela permet d’avoir une vision plus large des événements dans l’infrastructure et de mettre en place une réponse coordonnée. »
Les éditeurs ont ré-architecturé leurs plateformes en conséquence
Comme on le sait, et ce dernier exemple le démontre amplement, la matière première des IA, c’est la donnée, en très grande masse afin de pouvoir mener les apprentissages qui vont les rendre efficaces. De ce fait, tous les géants de la cyber ont été contraints ces dernières années de revoir l’architecture de leurs solutions afin de constituer ces data lakes où stocker ces énormes volumes de data. « Beaucoup de nos solutions utilisent déjà de l’IA, par exemple pour la détection des bots ou l’analyse des comportements suspicieux, afin de réagir de façon proportionnée, explique Arnaud Lemaire, expert en cybersécurité chez F5. Mais pour aller plus loin, comme dans tout projet d’IA d’ailleurs, il faut poser les socles d’une architecture solide pour stocker et traiter des quantités massives de données. Cela s’appelle une “IA data fabric”. C’est le chantier sur lequel nous travaillons depuis plusieurs mois et qui permettra ensuite de développer des nouveaux services. » On retrouve aussi cette démarche chez Fortinet : l’éditeur a constitué une plateforme baptisée Fortinet Security Fabric, qui correspond au modèle de sécurité défini par le Gartner sous le nom de Security Mesh. Une chose est certaine, l’IA a bel et bien poussé l’ensemble du secteur à réinventer la protection des endpoints.
EXPERT – Romain Basset – Directeur des services client Vade, groupe Hornetsecurity
« L’analyse sémantique des messages permet de contrer le spear phishing »
« Nous mettons en œuvre du machine learning supervisé depuis une dizaine d’années, et ce fut longtemps l’un de nos points différenciants d’avec nos concurrents. Nous avons aussi développé des technologies de computer vision pour la reconnaissance visuelle du logo des marques avec du deep learning. Par ailleurs, avec le NLP, nous nous attachons à mener des analyses sémantiques des messages, ce qui permet de contrer les attaques de spear phishing (hameçonnage ciblé) ou les usurpations d’identité.
Un élément important est de disposer d’un corpus d’apprentissage, c’est-à-dire de données qui permettent d’entraîner les modèles. Leur efficacité vient de cette utilisation des millions d’e-mails de phishing, de spams et de malwares que nous voyons transiter. Le spear phishing était plus problématique, car ces messages ciblés sont en très faible volume. L’IA générative nous a apporté la solution puisque nous partons d’un e-mail de spear phishing pour le décliner en de multiples versions, le traduire en de multiples langages pour réaliser l’apprentissage de nos IA. »
EXPERT – Philippe Nault – System engineering director chez Fortinet
« Tous nos produits sont bâtis sur un OS commun et interagissent en cas d’attaque détectée »
« L’IA a été intégrée sur l’ensemble de nos produits, à commencer par la protection des e-mails avec des réseaux de neurones pour analyser les messages et fichiers attachés. Nous l’avons aussi mise en place sur les WAF, ces firewalls dédiés aux environnements web. Aujourd’hui tous nos produits, bâtis sur un OS commun, utilisent l’IA. Ils sont capables d’interagir, si bien que si une attaque est détectée, celle-ci est remontée, analysée et la solution est distribuée sur l’ensemble des solutions de sécurité. Suite à ces premiers cas d’usage, nous avons lancé très récemment notre IA générative FortiAI destinée aux équipes SecOps et NetOps. »
EXPERT – Benjamin Mercusot – Ingénieur avant-vente cybersécurité chez Sophos
« Nous avons déjà développé 64 modèles d’IA pour nos produits »
« Les cas d’usage de l’IA sont multiples dans la protection des endpoints. Nous avons développé à ce jour plus de 64 modèles que nous utilisons à différents niveaux. Nous avons notamment des LLM entraînés spécifiquement afin d’analyser une ligne de commande. L’IA va chercher à comprendre sa finalité, en analysant comment celle-ci peut être exécutée par un attaquant, même si elle est obfusquée (*), par exemple, en transformant les noms des variables pour qu’ils deviennent incompréhensibles. Nos IA travaillent aujourd’hui sur l’ensemble de la télémétrie remontée par nos agents sur les terminaux ou au niveau des infrastructures. »
(*) Rendue illisible et/ou incompréhensible
À LIRE AUSSI :
