IA et cybersécurité : le combo gagnant ?
août 2024 par Achraf Hamid, Data Scientist chez Mailinblack
L’Intelligence Artificielle s’est immiscée ces dernières années dans de nombreuses technologies, sans que nous en ayons forcément conscience. C’est le cas des solutions de cybersécurité qui l’intègrent déjà depuis une dizaine d’années. Achraf Hamid, Data Scientist chez Mailinblack, nous explique les différents cas d’utilisation de l’Intelligence Artificielle dans la cyber, que ce soit par les cybercriminels ou en entreprise, par les responsables et directeurs des systèmes d’informations.
Qu’est-ce que l’IA peut apporter en matière de cybersécurité ?
Il est tout d’abord important de différencier l’Intelligence Artificielle de l’Intelligence Artificielle générative. En effet, l’Intelligence Artificielle est déjà utilisée depuis de nombreuses années dans la cybersécurité. Elle permet de détecter des menaces connues en étant entraînée pour identifier des types spécifiques de menaces basées sur des données passées. Cela peut inclure la détection de phishing ou de tentatives de compromission des comptes en se basant sur des caractéristiques communes observées dans des attaques similaires précédentes. À cela s’ajoute aussi la détection de tentatives de personnalisation excessive, de liens vers sites web suspects, de modifications dans les habitudes de communication habituelles incluant les tentatives d’automatisation et de propagation à grande échelle, ou encore en analysant les volumes de trafic et les fréquences d’envoi.
Elle permet également une analyse du langage naturel qui peut aider à analyser le contenu des emails pour détecter des indices de fraude ou de manipulation. Par exemple, un ton excessivement enthousiaste, le sentiment d’urgence ou des erreurs grammaticales inhabituelles dans un email professionnel pourrait indiquer un phishing.
L’Intelligence Artificielle générative permet quant à elle d’aider les systèmes de sécurisation de messageries à apprendre les comportements normaux au sein d’une organisation pour détecter des activités suspectes dès leur apparition, réduisant ainsi le temps nécessaire pour répondre à une menace.
Dans quel cadre l’IA est-elle utilisée par les cybercriminels ?
Les cyberattaquants se sont rapidement saisis de cette technologie pour optimiser leurs attaques en les rendant plus personnalisées et en les diffusant à grande échelle. Ils l’utilisent principalement pour réaliser des attaques :
Par compromission des entreprises par courrier électronique (BEC) : cette attaque permet aux cybercriminels d’automatiser la création de courriels frauduleux convaincants personnalisés, augmentant ainsi les chances de succès des attaques BEC. Ces modèles sont capables de produire du texte semblable à celui d’un humain, rendant les emails frauduleux difficiles à détecter.
De phishing : l’IA générative permet aux cybercriminels d’automatiser la création rapide de « Scama » qui sont des pages web de phishing copiant des pages légitimes.
Quelles fonctionnalités de cybersécurité peuvent aujourd’hui intégrer de l’IA ?
On retrouve aujourd’hui des fonctionnalités d’IA dans trois outils principaux :
La détection précoce des menaces : l’IA, notamment sous forme de modèles basés sur des réseaux antagonistes génératifs (GANs), permet de simuler des attaques cybernétiques et des stratégies de défense. Cela aide à identifier rapidement les menaces potentielles qui pourraient échapper aux méthodes de détection traditionnelles.
Le pare-feu réseau : l’intégration de l’IA au sein du pare-feu réseau permet de filtrer le trafic réseau entrant et sortant lié aux communications par email. Les pare-feux peuvent être configurés pour travailler en tandem avec les solutions de sécurité des emails pour bloquer les connexions suspectes provenant de serveurs de messagerie malveillants ou pour filtrer le contenu des emails qui transitent par le réseau et remédier aux activités suspectes sur les comptes de messageries.
Les plateformes SIEM (Security Information and Event Management) : ces plateformes collectent, analysent et corrèlent les événements de sécurité provenant de multiples sources dans un environnement informatique. Cela permet aux équipes de sécurité de surveiller à travers des dashboards ou des alertes les activités suspectes liées aux emails, y compris les tentatives de phishing et les injections de malware via les pièces jointes. Elles peuvent également inclure le partage d’informations sur les attaques détectées avec d’autres outils de sécurité dans l’écosystème.
Nous n’avons pas fini d’entendre parler d’Intelligence Artificielle en cybersécurité. Bien que les cyberattaquants l’exploitent également, sa capacité d’analyse et de détection des risques en font une alliée de taille. Couplée à des solutions de cybersécurité performantes, elle permet de grandement réduire l’exposition aux risques cyber des entreprises.