Par Claire Loffler, Security Engineer chez Vectra AI
Il est important de se poser des questions. Lors de l’embauche d’un nouvel employé, nous en posons plusieurs, par exemple sur ses compétences, ses réussites professionnelles passées, ainsi que sa capacité à apporter de la valeur ajoutée au sein du nouveau poste. La même approche doit être appliquée à l'intelligence artificielle. De nouveaux cas d’utilisation autour des chatbots, machine learning, analyse prédictive... sont explorés, en pilote et implémentés à grande échelle.
Les capacités, les limites, les implications et même les motivations de l’IA sont régulièrement discutées dans des forums publics, souvent avec pour effet d'obscurcir ou d'exagérer la vérité. Le terme « IA » lui-même est fréquemment utilisé comme un fourre-tout, en particulier dans le domaine de la cybersécurité, désignant des technologies mystérieuses qui prétendent être le remède à tous les maux de l'entreprise. L’utilisation approximative du terme a donné lieu à un malentendu généralisé. On l'a vu récemment lorsqu'un membre de l'équipe responsable de l'IA chez Google a été licencié pour avoir affirmé que le chatbot LaMDA (Language Model for Dialogue Applications) de la société était pourvu d’une conscience propre.
Pour que l'IA prenne toute sa place dans la cybersécurité, les solutions doivent être capables de faire plus qu'identifier un vecteur ou une méthodologie. Elles doivent être capables de déduire les cibles d'un acteur malveillant et d'anticiper les méthodes d'attaque qui n'ont pas encore été découvertes. Et elles doivent être évolutives sans compromettre les performances. Pour savoir si une solution de cybersécurité prétendument « alimentée par l'IA » tient ses promesses, quatre questions sont finalement à poser au fournisseur :
- Détecteur d'anomalies ou chasseur de menaces ?
Un simple scan d'anomalies risque de submerger les équipes de sécurité si elle n'est pas accompagnée de plus d'informations. La véritable IA s'appuiera sur des renseignements provenant de l'extérieur de l'organisation. Les solutions qui se contentent de détecter les anomalies internes ne sont pas d'une grande utilité, car toutes les anomalies ne se révèlent pas être des menaces, et de nombreuses menaces authentiques prennent le temps de camoufler leur comportement en un comportement autorisé ou inoffensif. Les plateformes d'IA prennent en compte ces questions, tandis que les solutions sans IA créent de nouveaux problèmes en augmentant le flot d'alertes et en faisant peser la charge des investigations sur les équipes de sécurité, tout en négligeant les véritables menaces. Les véritables solutions d'IA examinent les comportements et l'historique pour minimiser le bruit et fournir des alertes plus contextuelles et exploitables.
- Quelle doit être la place de l’IA ?
Si l'IA n'est qu'un complément à une solution et n'est utilisée que pour résoudre des problèmes périphériques, alors son potentiel ne sera pas exploité pleinement. L’IA doit aussi pouvoir répondre à des défis d'exploitation fondamentaux. Elle doit être au cœur de la fonctionnalité et de la gestion d'un système. En bref, il est très important de savoir où l'IA est déployée et où elle opère.
- Qu'en est-il de ses créateurs ?
Un simple coup d'œil à l'équipe qui a conçu la solution d'IA en dit long. Quel est leur savoir-faire en data science, en recherche en sécurité, en psychologie ? De nombreuses disciplines et compétences sont nécessaires pour concevoir une IA qui apporte de la valeur. Examinez également les engagements du fournisseur en matière de support pour vous aider à tirer le meilleur parti de votre investissement ?
- Quelles promesses sont faites ?
Si une solution basée sur l'IA est présentée comme une panacée contre tous les maux, méfiez-vous. L'IA ne voit pas tout et ne fait pas tout. Nous avons récemment vécu une transformation technologique collective majeure. De nouvelles complexités sont apparues : le cloud hybride, le multi-cloud, la prolifération de réseaux tiers opaques et de points d’accès indésirables, et la popularité croissante du SaaS et du PaaS. Tandis que les promesses exagérées ne sont pas une tendance nouvelle, dans ce contexte de pression intense sur la fonction de cybersécurité, la tentation d’y croire s’accroit. La meilleure façon d'avancer est via l'expérience, l'agilité et l’amélioration continue. Au fil du temps, la véritable IA se perfectionnera, tandis que les promesses excessives se briseront sous le poids de la réalité.
Véritable IA : signes distinctifs
Si vous recherchez une véritable IA, vous vous rendrez vite compte que son optimisation pour la cyberdéfense est un art subtil. Cela vous permettra de ne pas être la proie des charlatans qui vantent les mérites de la prochaine grande avancée. Il convient de garder à l'esprit que même une solution basée sur une véritable IA a besoin de professionnels accomplis pour obtenir une valeur ajoutée significative. L'ingéniosité et le jugement humains sont, jusqu'à présent, imparfaitement imités par les machines les plus intelligentes.
Mais une IA appropriée, bien gérée et bien comprise est actuellement l'outil le plus efficace pour identifier les méthodes de menace les plus récentes et les plus astucieuses. La fausse IA nous maintient derrière les hackers et est un fardeau pour les équipes de cyberdéfense. La véritable IA peut nous donner une longueur d'avance.