L’IA pour la cybersécurité, une adoption nécessaire

Politique de sécuritéSécurité

Face à l’ingéniosité des attaquants et l’adaptation nécessaire des défenseurs, l’IA peut apporter sa pierre à l’édifice. Elle ne fait pas tout, loin de là, et ce n’est pas ce qu’on lui demande.

Des attaquants de plus en plus structurés et « créatifs », des traitements de flux de données en croissance constante, l’IA qui se démocratise rapidement, … autant de facteurs qui démontrent une convergence actuelle entre cybersécurité, traitement de données massives et IA. Mais ce cheminement vers une meilleure intégration de l’IA dans la cybersécurité ne se fait pas sans heurts malgré toutes les opportunités qu’elle amène.

L’IA comme facteur de changement

Là où l’IA est devenue pour les professionnels du marketing et de la relation client un outil incontournable et différenciant, son usage et son intégration demeurent variables parmi les professionnels de la cybersécurité. Les récentes crises auxquelles les entreprises et les États ont dû faire face les ont amenés à s’intéresser fortement aux réponses que l’IA peut apporter ; mais quelques freins demeurent encore à son intégration pleine et entière dans ce domaine.

Tout d’abord le niveau de maturité au sein des entreprises reste contrasté. En effet, celui-ci peut être fort entre certaines entreprises qui commencent à prendre la mesure de la menace cyber et entament leur transformation dans ce domaine, et celles qui ont déjà structuré leur politique de sécurité pour faire face à cette menace. Ces dernières sont donc plus à même d’évoluer naturellement vers un usage de l’IA au sein de leur gouvernance. L’IA y est ainsi vue comme un appui indispensable pour les opérations au sein des SOC (Security Operation Center).

Ensuite, se pose la question de la perception actuelle de l’IA dans cet environnement particulier. Les applications de l’IA sont déjà concrètes et éprouvées dans de nombreux domaines, de la maintenance prédictive dans l’industrie à la connaissance clients pour les plateformes d’ecommerce. La prise de conscience des menaces cyber de plus en plus prégnantes pousse à se réinventer, avec des applications diverses de l’IA : optimisation du travail des analystes, détection de malwares, voire aide à la caractérisation des différents patterns des attaquants.
Pour autant, les applications de l’IA demeurent encore ponctuelles et son intégration pleine et entière au sein des SOC reste encore un vœu pieu.

Enfin, il y a la question de la conduite du changement dans un milieu où la sensibilité des sujets traités tend à ralentir les évolutions trop brutales des process. Heureusement, l’IA devient dorénavant un des piliers des démarches d’innovation au sein des entreprises, et le domaine de la cybersécurité a pris ce virage depuis quelques temps maintenant. L’accélération viendra d’une meilleure adoption et d’une complète compréhension de cet apport.

Évolution des métiers de la cybersécurité

Dans ce contexte, l’IA implique une évolution du métier d’analyste SOC. Chez les prestataires de solutions de sécurité, ces analystes vont être amenés à faire évoluer le périmètre de leurs actions et de leurs compétences. Il peut être envisagé une évolution vers une fonction de « cyber data engineer ». Cela constitue une évolution naturelle dans la mesure où les analystes se doivent d’appréhender tous types de données (business, métiers, IoT…), au-delà du log management.

Ce changement de paradigme passe aussi par une meilleure collaboration entre équipes data science et experts cyber des SOC. Ces derniers ont besoin de comprendre la donnée de chaque métier pour être en mesure de mieux la sécuriser. Dans le cas d’une banque par exemple, des données de fraudes doivent être intégrées à leurs coutils de cybersécurité. Le SOC ne s’inscrit donc plus dans une vision verticale de la sécurité mais dans une approche horizontale prenant en compte toute la donnée (dispersée, diverse dans ses formats), et relance ainsi le débat d’une évolution des SOC vers des Fusion center.

Une telle évolution ne se fait pas en un jour. Il faut laisser le temps à ces deux mondes de se comprendre et de se connaître. La meilleure approche est de commencer par des cas d’usage concrets et par la mise en place de quelques bonnes pratiques. L’IA n’entrera dans les habitudes que si les sujets sont bien identifiés, maitrisés, et surtout s’ils répondent aux besoins des experts en cybersécurité.

Face à l’ingéniosité des attaquants et l’adaptation nécessaire des défenseurs, l’IA peut apporter sa pierre à l’édifice. Elle ne fait pas tout, loin de là, et ce n’est pas ce qu’on lui demande. L’expertise humaine doit demeurer au centre des décisions. Mais elle peut soulager et réinventer les métiers de la cybersécurité tout en apportant de nouvelles pistes de connaissances de la menace.

Auteur
En savoir plus 
conseiller défense et sécurité
Dataiku
Karim Battata est conseiller défense et sécurité chez Dataiku
En savoir plus 

Livres blancs A la Une