olly - Fotolia
En sécurité, l’intelligence artificielle a toute sa place
L’application de l’apprentissage machine à la sécurité informatique séduit de plus en plus. Certaines limites méritent d’être prises en compte, mais le débat qui se poursuit dans nos colonnes montre tout l’intérêt du sujet.
Les équipes du MIT et la jeune pousse PatternEx ont récemment développé une plateforme de détection des attaques informatiques à l’efficacité impressionnante. Celle-ci, baptisée AI2, repose sur un modèle d’apprentissage machine supervisé, associant donc des analystes.
Balazs Scheidler, directeur technique et fondateur de Balabit, apprécie l’approche. Dans une tribune pour LeMagIT, il explique que « l’avantage du machine learning est qu’il qualifie automatiquement et en continu les incidents, jusqu’au point où l’analyste humain doit être impliqué. Un point où le machine learning fournit les informations nécessaires pour que l’investigation puisse être aussi rapide que possible ».
Loïc Guézo, expert du Cercle des Assises de la Sécurité, et directeur Europe du Sud de Trend Micro, explique que l’éditeur intègre déjà des éléments opérationnels du machine learning. Alexandre Fernandez-Toro, également expert du Cercle des Assises de la Sécurité, et RSSI d’un groupe du secteur industriel, souligne de son côté comment l’intelligence artificielle permet d’industrialiser l’analyse des événements de sécurité. Avec prudence, Stéphane de Saint Albin, vice-président marketing et développement de DenyAll, relève toutefois qu’il convient de ne pas oublier une réalité : « il n’y a pas de solution miracle entièrement automatisée ».
Une technologie qui pousse à la montée en compétences
Mais Jérôme Saiz, expert du Cercle des Assises de la Sécurité, et consultant sécurité, estime que l’approche retenue par le MIT va dans la bonne direction : « à mon sens l'approche du MIT est la bonne, à savoir utiliser la machine pour non pas prendre une décision, mais simplement faire un tri, isoler l'information pertinente et présenter l'information à l'humain dans un format qui lui permette de "laisser faire" ce que le cerveau humain fait de mieux, c'est à dire "trouver ce qui est louche" (l'intuition). La machine fait quant à elle de son côté ce qu'elle sait faire de mieux : brasser une grande quantité de données et trier.
Il y a certainement de grandes choses à découvrir encore dans le domaine, mais pour l'instant je ne suis pas totalement convaincu par le marketing du site, qui prétend "imiter le cerveau d'un analyste". Car ce n'est pas le rôle de la machine à mon sens - du moins pour l'instant !
L'affirmation selon laquelle la technologie détecte 85% des attaques est certainement vraie, mais trompeuse : il faudrait qualifier ce qu'ils entendent par "attaque". La majorité des attaques actuelles est simpliste et effectivement relativement facile à voir pour un humain qui se donnerait la peine de regarder. Sauf que, évidemment, il revient trop cher pour de nombreuses entreprises d'embaucher le personnel nécessaire. Dans ce contexte-là, la solution a son intérêt. Maintenant, si cela fonctionne réellement aussi bien qu'un analyste junior et que cela se généralise, on peut imaginer à terme que cela poussera les attaquants à élever le niveau. On aura donc besoin d'analystes plus pointus, donc plus chers, jusqu'à ce que la machine s'adapte... et que le cycle recommence ! »
Déjà des bénéfices concrets significatifs
Daniel Dalek, directeur recherche & développement chez NTT Com Security, insiste sur l’enjeu que représente l’étiquetage et la qualification des événements. Mais il explique observer déjà des retours sur investissement concrets et significatifs :
« Le défi, avec l’approche du machine learning, est la précision de l’étiquetage là où il est susceptible de ne pas y avoir suffisamment de détails à disposition de l’analyste au moment de cet étiquetage. Des étiquettes erronées conduisent la machine à apprendre des choses des bêtises et à produire des faux positifs et des faux négatifs.
Chez NTT, nous produisons la majorité de nos étiquettes à partir de nos pots de miel [honeypots, en anglais] et nos bacs à sable [sandbox], où les analystes peuvent accéder à un ensemble complet d’indicateurs avant d’assigner une étiquette. La boucle de rétroaction n’est pas temps réel, dans ce cas, mais garantit des étiquettes plus précises. Le moteur d’analyse continue d’assurer la détection en temps réel. Nous préférons cette approche, mais nous appréhendons clairement cette de l’apprentissage assisté du MIT comme une alternative viable.
L’utilisation de l’apprentissage machine et de l’intelligence artificielle a complètement transformé la manière dont nous améliorons les capacités de détection de notre plateforme. Et nous nous concentrons moins désormais sur des signatures et règles écrites manuellement que sur la modélisation comportementale de menaces à partir de données. A ce jour, nous avons déjà obtenus d’importants retours sur nos investissements dans l’apprentissage machine et l’intelligence artificielle. Nous pensons que c’est essentiel pour rester pertinent sur le marché ».