L’INTELLIGENCE ARTIFICIELLE IA & LA « Threat Intelligence »
L’industrialisation, tendant d’ailleurs vers la professionnalisation, de la cybercriminalité, est désormais un fait. Bien qu’il s’agisse d’une discipline qui date depuis bien longtemps, sa médiatisation à l’échelle nationale et internationale quasi permanente nous laisse percevoir l’ampleur et l’impact de ce phénomène sur nos infrastructures, nos actifs et nos données personnelles.
L’industrialisation, tendant d’ailleurs vers la professionnalisation, de la cybercriminalité, est désormais un fait. Bien qu’il s’agisse d’une discipline qui date depuis bien longtemps, sa médiatisation à l’échelle nationale et internationale quasi permanente nous laisse percevoir l’ampleur et l’impact de ce phénomène sur nos infrastructures, nos actifs et nos données personnelles.
Si nous ne disposons pas d’une armure de cyberdéfense suffisamment robuste, une simple connexion Internet pourra laisser la porte grande ouverte aux cyberattaques de plus en plus sophistiquées et ciblées. En Mai 2021, Joe Biden, président des États-Unis, a déclaré l’état d’urgence suite à la cyberattaque par rançongiciels ou Ransomwares (Bloquant l’accès aux données en les chiffrant est réclamant une rançon contre leur libération) menée par le groupe criminel Darkside sur le Colonial Pipeline, le système d’oléoduc américain qui transporte du Fioul vers le Sud Est des états-unis. Au cours de l’attaque, des Giga Octets de Data ont été extraites des serveurs et le système informatisé a cessé son activité. En juillet 2021, le US House a approuvé un budget de plus de 500M$.
Alors qu’il est déjà mis à mal par le Covid-19, le secteur de la santé n’a malheureusement pas été épargné ces dernières années, des données des patients volées pour être vendues à cher prix sur le Dark WEB, des infrastructures mises à plat et, de fait, la conséquence sur la vie des patients est plus qu’alarmante. Depuis 2020, les centres hospitaliers et les centres de vaccination dans le monde ont été et sont encore victimes de cette pandémie cybercriminelle. En 2021, en moyenne, un incident par semaine est noté, dans l’entité du secteur de la santé en France1. Dans le cadre du Plan France Relance, 136 Millions d’euros ont été d’ailleurs accordés au volet Cybersecurité.
Beaucoup d’autres secteurs, notamment ceux financiers, industriels… ont été les cibles de cette vague de cybercriminalité au cours des dernières années.
C’est pourquoi il est important pour les entreprises de mesurer en amont les menaces de sécurité auxquelles elles doivent faire face, d’adopter un modèle Zéro Trust et de mettre en place plusieurs couches de défense. Parmi les solutions évoquées de nos jours, nous citons, Le renseignement sur les menaces ou « Threat intelligence ». Threat intelligence figure aujourd’hui parmi les solutions de sécurité incontournables que les entreprises devraient adopter pour être en mesure d’analyser les dangers potentiels et leurs tendances, pouvant surgir sur leurs cyberespaces. Cependant, actuellement, traiter une énorme quantité de données (BIG DATA) constitue un réel défi. C’est là qu’intervient l’intelligence artificielle.
threat intelligence
Les renseignements sur les menaces (Threat Intelligence) sont des informations qu’une organisation utilise pour comprendre les menaces qui visent ses ressources. Ces informations sont exploitées pour préparer, prévenir et identifier les cybermenaces qui cherchent à tirer parti de ressources précieuses. Un certain nombre de cybermenaces pourrait mettre une organisation à genoux.
La Threat intelligence peut aider les organisations à acquérir des connaissances précieuses sur ces menaces, à mettre en place des mécanismes de défense efficaces et à atténuer les risques susceptibles de nuire à leurs résultats et à leurs réputations. Après tout, les menaces ciblées nécessitent une protection ciblée, et les renseignements sur les cybermenaces offrent la capacité de se défendre de manière plus proactive.
« Threat intelligence » basée sur l’ia
L’étude de Norton a estimé que la récupération suite à une violation de données courante est à 3,86 millions de dollars et qu’il faut en moyenne 197 jours aux entreprises pour identifier une violation de données et 69 jours pour répondre à un incident. Malheureusement, les entreprises ne sont pas préparées à prévenir, détecter et répondre pleinement au nombre croissant et à la sophistication des menaces.
Considérant que les attaques de rançongiciels se produisent toutes les 14 secondes, selon un rapport annuel officiel sur la cybercriminalité de Cyber Security Ventures, les entreprises devraient se tourner vers les capacités d’intelligence artificielle (IA) et d’apprentissage automatique (ML) pour aider à renforcer la pénurie de main d’oeuvre suffisante d’experts et d’analystes en cybersécurité. Parmi les avantages de l’IA, on peut citer:
La gestion des vulnérabilités
Les organisations ne peuvent pas gérer et hiérarchiser le grand nombre de nouvelles vulnérabilités qu’elles rencontrent quotidiennement. Les techniques conventionnelles de gestion des vulnérabilités ne répondent aux incidents qu’après que les pirates ont déjà exploité la vulnérabilité.
Les techniques d’IA et d’apprentissage automatique (ML) peuvent améliorer les capacités de gestion des vulnérabilités des bases de données de vulnérabilité. De plus, des outils tels que l’analyse du comportement des utilisateurs et des événements (UEBA), lorsqu’ils sont alimentés par l’IA, peuvent analyser le comportement des utilisateurs sur les serveurs et les terminaux, puis détecter les anomalies qui pourraient indiquer une attaque inconnue. Cela peut aider à protéger les organisations avant même que les vulnérabilités ne soient officiellement signalées et corrigées.
L’identification des menaces
Les outils conventionnels de sécurité utilisent des signatures ou des indicateurs d’attaque pour identifier les menaces. Cette technique peut facilement identifier les menaces découvertes précédemment. Cependant, les outils basés sur les signatures ne peuvent pas détecter les menaces qui n’ont pas encore été découvertes. En fait, ils ne peuvent identifier qu’environ 90 % des menaces.
L’IA peut augmenter le taux de détection des techniques traditionnelles jusqu’à 95 %. Le problème est qu’ on peut obtenir plusieurs faux positifs. La combinaison d’IA et de méthodes traditionnelles serait la meilleure solution. Cette fusion entre le conventionnel et l’innovant peut augmenter les taux de détection, minimisant ainsi les faux positifs.
des applications de l’ia en threat inetelligence
L’analyse des terminaux mobiles
Zimperium et MobileIron ont annoncé une collaboration pour aider les organisations à adopter des solutions anti-malware mobiles intégrant l’intelligence artificielle. L’intégration de la détection des menaces basée sur l’IA de Zimperium avec le moteur de conformité et de sécurité de MobileIron peut relever des défis tels que les menaces de réseau, d’appareil et d’application.
D’autres fournisseurs proposent des solutions de sécurité mobile basées sur l’IA dont on peut citer Skycure, Lookout et Wandera.
Détection des menaces basées sur l’IA
Le négociant en matières premières ED&F Man Holdings a connu un incident de sécurité il y a plusieurs années. Une évaluation indépendante a indiqué que l’entreprise devait améliorer ses méthodes et outils de cybersécurité.
L’entreprise s’est tournée vers Cognito, la plateforme de détection et de réponse aux menaces basées sur l’IA de Vectra qui collecte et stocke les métadonnées du réseau et les enrichit avec des informations de sécurité uniques. Il utilise ces méta-données, ainsi que des techniques d’apprentissage automatique, pour détecter et hiérarchiser les attaques en temps réel.
Cognito a aidé ED&F Man Holdings à détecter et à bloquer plusieurs attaques de type « man-in-the-middle » et à arrêter un programme de cryptominage en Asie. De plus, Cognito a trouvé des logiciels malveillants de commande et de contrôle qui se cachaient depuis plusieurs années.
Détection des cyber-attaques sophistiquées
Energy Saving Trust est une organisation qui s’efforce de réduire les émissions de carbone au Royaume-Uni de 80 % d’ici 2050 en cherchant une technologie de cybersécurité innovante pour renforcer sa stratégie globale de cyberdéfense. Celle-ci comprend la défense des actifs critiques de l’entreprise, y compris la propriété intellectuelle et les données sensibles des clients contre les cyberattaques sophistiquées.
Enfin, la société a décidé de se concentrer sur le système immunitaire d’entreprises de Darktrace. La plate-forme de Darktrace est basée sur la technologie d’apprentissage automatique. Elle modélise les comportements de chaque appareil, utilisateur et réseau, pour apprendre des modèles spécifiques, identifie automatiquement tout comportement anormal, et alerte l’entreprise en temps réel.
Energy Saving Trust a été en mesure de détecter de nombreuses activités anormales dès qu’elles se sont produites et d’alerter l’équipe de sécurité pour mener des enquêtes plus approfondies, tout en atténuant tout risque posé avant que des dommages réels ne soient causés.
Utilisation de l’Intelligence Artificielle dans le SIEM
Le SIEM (Security Information and Event Management) est un système centralisé qui permet de surveiller, de détecter, et d’alerter concernant des incidents de sécurité en temps réel.
En donnant au SIEM un accès continu à un ou plusieurs flux de renseignements sur les menaces, des sources IP malveillantes…, les technologies d’apprentissage automatique vont avoir la main pour utiliser les informations fournies par les renseignements sur les menaces. Au fur et à mesure de l’apprentissage, on arrive à analyser efficacement les alertes issues des comportements malveillants au-delà de leur entrée initiale de données. L’utilisation de la threat intelligence et de l’intelligence artificielle perfectionne ainsi le processus décisionnel du SIEM, ce qui assure le renforcement des couches de sécurité.
en guise de conclusion
Threat intelligence ou CTI(Cyber threat Intelligence) et aussi « Threat hunting » (chasse proactive et itérative aux cybermenaces) sont des disciplines de cybersécurité de plus en plus indispensables qui permettent d’anticiper les incidents critiques et d’envergure comme celles d’APT(Advanced Persistent Threat), attaques sophistiquées et persistantes engagées par des groupes APT contre une cible spécifique.
Étant donnée la complexité et le volume croissant des cyberattaques, l’intelligence artificielle (IA) ne peut qu’aider les analystes sous-équipés à garder une longueur d’avance sur les cybermenaces.
Mais la course ne risque pas de s’achever aussitôt puisque l’IA est désormais aussi au service des cybercriminels ( Deepfake vocal, Spear phishing, détection automatique de vulnérabilités…). Alors selon vous, qui sortira vainqueur de cette compétition acharnée entre pirates et experts en sécurité, entre IA offensive et IA défensive ?
Rédigé par :
Eya Mallat : EQUIPE SECURINETS