Warakorn - Fotolia
Sécurité : l’intelligence artificielle, oui, mais pas seule
L’application de l’apprentissage machine à la sécurité informatique séduit de plus en plus. Mais certaines limites semblent encore mériter d’être prises en compte. Le débat continue dans nos colonnes.
Les équipes du MIT et la jeune pousse PatternEx ont récemment développé une plateforme de détection des attaques informatiques à l’efficacité impressionnante. Celle-ci, baptisée AI2, repose sur un modèle d’apprentissage machine supervisé, associant donc des analystes.
Balazs Scheidler, directeur technique et fondateur de Balabit, apprécie l’approche. Dans une tribune pour LeMagIT, il explique que « l’avantage du machine learning est qu’il qualifie automatiquement et en continu les incidents, jusqu’au point où l’analyste humain doit être impliqué. Un point où le machine learning fournit les informations nécessaires pour que l’investigation puisse être aussi rapide que possible ».
Un sujet de recherche et développement
Loïc Guézo, expert du Cercle des Assises de la Sécurité, et directeur Europe du Sud de Trend Micro, explique que l’éditeur intègre déjà des éléments opérationnels du machine learning :
« Nous sommes sur ce modèle depuis 2008. Aujourd'hui, 1200 analystes humains (principalement à Manille) interviennent à la fois en amont et en support d'un système automatisé réparti et interfacé avec nos sondes clients – soit 200 millions de points de contact répartis sur le globe – pour alimenter le Smart Protection Network. […] L'objectif est la classification dans un schéma existant, ou qualification d'une nouvelle menace, ainsi que des dérivés comme le suivi de campagnes de type APT au niveau mondial. Depuis le début de l'année, nous y intégrons les premiers éléments opérationnels de machine learning. […] C’est un sujet de développement interne avec un concours d'innovation en cours, sur la base d'accès à des systèmes externes universitaires ou de recherche, et de partenaires ».
De l’artisanal à l’industriel
Alexandre Fernandez-Toro, expert du Cercle des Assises de la Sécurité, et RSSI d’un groupe du secteur industriel, résume bien l’intérêt du machine learning appliqué à la sécurité :
« L'analyse par l'homme est, par nature, artisanale. L'analyse par la machine est, par nature, industrielle. Elle permet donc d'industrialiser la compilation des événements, le tri de ce qui est le plus significatif, mais aussi des inférences que la machine fera infiniment plus vite que l'homme. Compte tenu de la croissance exponentielle du nombre de journaux à surveiller et des comportements suspects à détecter et modéliser, je ne serais pas mécontent qu'une machine m'aide pour ce travail. Bref, je ne doute pas que la solution du MIT aura de l'avenir ».
Pas de solution miracle
Prudent, Stéphane de Saint Albin, vice-président marketing et développement de DenyAll, souligne toutefois certaines limites :
« Le buzz actuel autour de l’intelligence artificielle ne doit pas faire oublier la réalité. Celle-ci est qu’il n’y a pas de solution miracle entièrement automatisée qui puisse faire face seule aux attaques, quand bien même elles-mêmes sont largement automatisées. Le volume de données et la pénurie de ressources humaines compétentes poussent en effet vers un modèle hybride, où intelligences artificielle et humaine se combinent et s’enrichissent mutuellement. Comme c’est le cas dans les SOCs. Il faut clairement automatiser ce qui peut l’être, pour réduire le bruit notamment. Nous le faisons dans le domaine de la sécurité applicative en combinant threat intelligence (réputation des adresses IP), analyse comportementale et programmation des scénarios de réponse, grâce au workflow de notre pare-feu applicatif de nouvelle génération ».