La forte augmentation des attaques confirme le besoin d’une sécurité auto-apprenante pour détecter, enquêter et répondre de manière autonome aux menaces. Et celle-ci passe nécessairement par l’IA.

« Ne tentez plus de comparer les menaces d’hier et celles d’aujourd’hui; laissez l’intelligence artificielle faire le gros du travail ! » Place à la sécurité auto-apprenante ! La réflexion de Valentin Pourrinet, Account Director, Darktrace fait mouche. C’était au cours d’ICT Infra, jeudi 23 mars, au Van der Valck Hotel à Nivelles.

Les cyber-attaques ne cessent d’augmenter en occurrence et en sophistication. Quant au télétravail, il a fait exploser ces risques, constituant une menace existentielle pour les entreprises, les services essentiels et les infrastructures. Au cours du premier semestre 2021, Darktrace a constaté une augmentation de 50 % des actions menées par l’IA, par rapport au second semestre 2020.

IA offensive, IA défensive…

« Il apparaît clairement, soutient Valentin Pourrinet, que la nouvelle génération de cyber-attaques surpasse les équipes humaines et commence à intégrer l’intelligence artificielle pour gagner en efficacité. » Ce que l’on appelle «IA offensive» permettra de plus en plus aux cybercriminels de diriger des attaques ciblées à une vitesse et à une échelle sans précédent, tout en passant sous le radar des outils de détection traditionnels, basés sur des règles et des signatures, et en se fondant dans l’activité «normale» de l’entreprise. Qu’on se le dise : l‘IA sera de plus en plus utilisée contre les entreprises pour faire de l’usurpation d’identité et du «spear-phishing», pour rendre les ransomwares plus efficaces, pour faire de la désinformation et modifier l’intégrité des données, pour perturber les travailleurs à distance en ciblant les réseaux domestiques…

De toute évidence, le défi posé aux entreprises par les nouveaux types d’attaques automatisées n’est que rarement encore résolu par les responsables en charge de la cybersécurité. Darktrace rapporte d’une récente étude que les chefs d’entreprise interrogés indiquent que les cyber-attaques automatisées menacent de dépasser la capacité de réponse managériale et les outils actuels. Leurs arguments ? La réactivité humaine ne peut pas suivre (60 %), les outils de sécurité n’anticipent pas les nouvelles attaques (55 %), le silo des données et des outils rend difficile la compréhension d’une attaque (43 %).

L’IA défensive largement plébiscitée

« Il suffit d’un seul serveur RDP vulnérable pour qu’un cyber-pirate pénètre dans une organisation et se propage pour construire son armée de botnet. Un bot est simplement un appareil infecté qui peut être contrôlé par un tiers malveillant. Une fois qu’un réseau est infiltré, un hacker peut lancer des actions potentiellement dévastatrices. »

Pour combattre le feu par le feu, de plus en plus d’organisations se tournent vers l’IA défensive, qui différencie les activités normales et anormales potentiellement malveillantes, même si elles n’ont jamais été détectées auparavant. L’enquête de Darktrace et du MIT a montré que 96 % des entreprises interrogées souhaitent renforcer leurs défenses grâce à l’IA en prévision d’attaques basées sur l’IA et, qu’en réponse à l’innovation cybercriminelle, l’IA défensive est plébiscitée par la plupart.

Détecter… puis intervenir

« L’IA ne remplace pas l’humain, mais lui permet d’apporter des informations pertinentes, d’interpréter les contenus, entre autres non structurés. Elle permet aussi de détecter les furtivités, les signaux faibles, d’automatiser un grand nombre des actions réalisées avant… ou pas. Et d’apporter les éléments et le temps de se consacrer aux vrais risques à contrer, détourner, au plus près des réalités opérationnelles pour préserver son patrimoine informationnel et celui de ses clients. »

D’une manière générale, l’IA devient un outil robuste de Threat Intelligence travaillant en continu, capable d’analyser en temps réel du renseignement pour caractériser des vulnérabilités et menaces émergentes, non seulement du système d’information classique, mais également de tous les autres endpoints d’une société ou d’un organisme. « Détecter les menaces est une chose, intervenir pour les neutraliser en est une autre. Et c’est là, précisément, que nous faisons la différence, estime Valentin Pourrinet. Darktrace Antigena agit comme l’anticorps du système immunitaire, en prenant des mesures chirurgicales rapides pour enrayer la propagation des cyber-attaques en cours. En même temps, Antigena, laisse aux responsables sécurité le temps critique dont ils ont besoin pour agir, face à un environnement de menaces toujours plus rapides, où certaines attaques automatisées peuvent frapper en quelques secondes seulement… »