Data / IA
Microsoft, Google, Veracode, SentinelOne, IBM et Torq… Des IA génératives au cœur de la cybersécurité
Par Laurent Delattre, publié le 25 avril 2023
Les IA génératives se sont infiltrées au cœur des processus de gestion des entreprises, au cœur des outils collaboratifs, au cœur des chaînes de création de contenus. Désormais, elles expriment leurs talents dans les processus de cybersécurité.
Il y a quelques années déjà que le monde de la cybersécurité a pris conscience que son avenir passerait par la data et la capacité de l’utiliser en conjonction avec du Machine Learing, du Deep Learning et plus généralement de l’IA. Et depuis plusieurs années, le moindre algorithme d’apprentissage vaut à une solution sécu d’être estampillée « boostée à l’IA ». Mais ça, bien sûr, c’était avant… avant ChatGPT…
Si l’on en doutait encore, 2023 s’affirme chaque jour un peu plus comme l’année durant laquelle l’IA générative se sera infiltrée dans l’entreprise… dans tous les pans, toutes les activités, tous les processus, tous les outils de l’entreprise. Après Microsoft 365 Copilot, Google Workspace AI, Dynamics 365 Copilot, Salesforce EinsteinGPT, GitHub Copilot, Google Bard, Bing Chat, voici venir l’IA générative au cœur de la cybersécurité. Ces dernières semaines (pour ne pas dire ces derniers jours) les annonces se sont multipliées. Petit tour d’horizon pour comprendre ce qu’elles peuvent faire, à quoi elles peuvent servir et leur impact à court et moyen terme…
Des IA génératives au service de la sécurité
Les réseaux sociaux et les médias, toujours à l’affut de scénarios catastrophes, ont déjà beaucoup écrit sur les risques des IA génératives et leurs usages malveillants notamment pour générer des emails de phishing. En revanche, leur potentiel en matière de cyber-défense a rarement été évoqué. Sur le papier les IA génératives peuvent être d’un atout précieux pour les cyber-défenseurs. Leurs capacités peuvent être exploitées :
– pour analyser des codes et des scripts (on les sait douer pour expliquer ce que fait un programme),
– pour détecter des vulnérabilités dans les lignes de programmes,
– pour simuler des attaques (et ainsi vérifier des systèmes, des procédures ou former les collaborateurs),
– pour croiser des données et mettre en évidence des failles,
– pour aider à la rédaction de fiches d’instruction ou de rapports,
– pour enrichir le savoir des analystes par des échanges conversationnels avec eux.
À LIRE AUSSI :
Des IA pour discuter avec les analystes
C’est exactement ce potentiel que Microsoft a cherché à exploiter en lançant son Microsoft Security Copilot en début de mois, comme nous l’expliquions >> ici <<. Prenant une nouvelle fois tout le monde de vitesse, la firme de Satya Nadella a développé une IA conversationnelle spécialement pensée pour apporter de l’aide aux analystes cyber. Combinant le modèle LLM GPT-4 à des modèles ‘cybersécurité’ entraînés avec les 65 milliards de signaux captés par ses plateformes, elle se présente sous forme d’un assistant avec lequel les analystes interagissent en langage naturel. L’IA est capable de défricher le terrain dès qu’une alerte est repérée et ainsi permettre une analyse accélérée des jeux de données, la détection de signaux faibles, l’analyse des lignes de code de scripts, etc. Typiquement, un expert peut demander à Copilot d’étudier une série d’emails pour y détecter des signes de compromission, peut lui demander de procéder à du rétro-engineering de menaces ou de vulnérabilités dans du code, de faire des résumés de données disparates, de créer des graphes à partir des données ingérées. Il peut aussi l’utiliser comme système de veille technologique et l’interroger pour enrichir ses connaissances sur une menace, une vulnérabilité, etc.
À LIRE AUSSI :
Dès lors, l’IA générative permet de répondre à trois défis auxquels sont confrontées toutes les entreprises : faire face à la surcharge des menaces, faire face à la complexité des SI et la multiplicité des outils et, enfin, faire face à la pénurie de talents.
Trois défis qui ont aussi guidé Google qui vient d’annoncer une nouvelle plateforme unificatrice – Cloud Security AI Workbench – surplombée d’une IA conversationnelle et générative dénommée Sec-PaLM (s’appuyant sur le LLM PaLM spécialement paramétré et entraîné pour les cas d’usage de la cybersécurité). Les analystes peuvent échanger avec l’IA sur les vulnérabilités, les malwares, les signes de compromissions, les comportements suspects pour obtenir réponses et recommandations, analyser du code ou le fonctionnement de scripts, générer des résumés sur les différents risques repérés par les outils Google Cloud, etc.
Sec-PaLM ajoute également de l’IA à VirusTotal pour analyser les codes suspicieux fournis, à Mendiant Breach Analytics for Chronicle pour contextualiser, prioriser et répondre aux alertes, à Chronicle pour explorer les données en langage naturel à la recherche de signaux, etc.
Mais il n’est pas nécessaire de s’appeler Microsoft ou Google pour incorporer une telle IA au cœur de sa plateforme de sécurité. Cette semaine, SentinelOne a également lancé son IA conversationnelle dénommée Purple AI qui sert d’interface en langage naturel au-dessus de sa plateforme Songularity Skylight. Elle permet aux analystes de poser des questions telles que « telle vulnérabilité ou tel code est-il présent dans l’environnement ? », « y a-t-il des traces de déplacement latéral ? », etc. L’IA permet d’accélérer les phases de recherches de menaces grâce à ses capacités d’analyse et de résumé. SentinelOne est persuadée qu’à terme son IA deviendra l’interface par défaut de son outil d’exploration et d’analyse des données de sécurité.
Des IA pour sécuriser les développements
On le sait, ces IA génératives savent générer du code, comprendre ce que fait un code et repérer des anomalies. Des capacités que Veracode a décidé d’exploiter. L’éditeur a lancé la semaine dernière sa propre intelligence artificielle « Veracode Fix ». Jusqu’ici la plateforme Veracode repérait les vulnérabilités dans le code et suggérait aux développeurs des corrections très génériques qu’il devait adapter à son code et son contexte. Veracode Fix va plus loin dans son analyse du code et propose une ou plusieurs solutions de correction contextualisées et directement implémentables dans le code source. S’appuyant sur GPT et des modèles entraînés par Veracode, l’IA fait gagner un temps considérable aux développeurs mais rend aussi la correction des failles beaucoup plus accessibles aux développeurs les moins aguerris.
Des IA pour automatiser
Pour IBM, « les IA sont désormais assez matures pour avoir un impact réel sur les opérations de sécurité ». L’éditeur vient d’annoncer « IBM Security QRadar Suite », une nouvelle plateforme SaaS unifiant tous ses outils QRadar (XDR, Log Insights, SIEM, SOAR) et offrant une interface analytique unique. « Conçue pour maximiser la productivité des analystes de sécurité et accélérer leur réponse à chaque étape de la chaîne d’attaque », la plateforme s’appuie sur une douzaine d’IA et automatisations. Les deux concepts étant ici intimement liés. L’une des IA trie et hiérarchise les alertes tout en fermant automatiquement celles sans réelle urgence. Une autre génère tout un ensemble de tâches d’investigations automatisées sur les menaces repérées afin de simplifier le travail des analystes et rendre l’investigation d’une attaque moins chronophage. D’autres IA mettent en évidence des attaques furtives et des indicateurs de compromission. Grâce à ces IA pilotant des automatisations, IBM Managed Security Services a automatisé plus de 70 % des clôtures d’alertes et a réduit ses délais de triage des alertes restantes de 55 % en moyenne !
Dans un même ordre d’idée, la startup Torq vient de lancer une plateforme « d’hyperautomatisation » de la sécurité visant à automatiser par l’IA les tâches de sécurisation d’infrastructure les plus complexes. Préfigurant une nouvelle génération de plateformes SOAR, la plateforme utilise Trams, Slack, Discord, Zoom ou les interfaces en ligne de commande pour discuter avec son IA « GPT » et automatiser des workflows de sécurité toujours plus nombreux.
On le voit, l’IA Générative est en passe de transformer le quotidien des analystes sécurité, des RSSI et des développeurs et par voie de conséquence de jouer un rôle actif et génératif dans la cyber-résilience des entreprises. Une aide plus que bienvenue dont il va être difficile de se passer mais dont il va aussi falloir appréhender les limites et s’assurer qu’elle ne viole pas vos règles de confidentialité et de conformité. Un sujet transverse à toutes les IA génératives.
À LIRE AUSSI :
