Publié le 30/03/2021
L’intelligence artificielle accouchera-t-elle d’un super-défenseur capable de déjouer toutes les attaques ? Non, selon Frédéric Guihéry, on en est loin. Mais le responsable R&D et innovation chez AMOSSYS voit dans l’IA une aide précieuse à la cybersécurité : pour accélérer la décision, tester la robustesse, leurrer les attaquants… Entretien.
Frédéric Guihéry. AMOSSYS existe depuis 2007. Nous intervenons sur un large spectre de la cybersécurité : l’audit, le conseil, l’évaluation de produits de sécurité, la recherche et développement dont je gère l’activité. Et ceci dans de nombreux domaines -énergie, transports, industrie, banques, santé, défense- et pour le compte de PME ou de grands groupes aussi bien que des administrations ou des OIV, les opérateurs d’importance vitale.
Nous sommes actuellement 70 personnes. Mais nous visons de passer à 80 ou 90 collaborateurs dès la fin de l’année ou début 2022. Nous sommes sur une dynamique de croissance continue et maîtrisée.
Frédéric Guihéry. Historiquement, c’est un sujet de recherche académique. L’idée est d’utiliser l’IA pour automatiser certaines tâches habituellement confiées à un humain. Mais dans le domaine de la cybersécurité, ça a rarement donné des résultats probants. À ma connaissance, il n’existe pas d’exemple d’intelligence artificielle qui soit capable de détecter une attaque inédite ou une nouvelle variante d’attaque. Les algorithmes de Machine Learning, par exemple, sont faits pour apprendre de situations connues. Mais ils ne savent pas réagir face à une situation très complexe et totalement nouvelle.
Je pense qu’il est illusoire de vouloir remplacer l’expert en cybersécurité. Par contre, cet expert a besoin d’outils de plus en plus sophistiqués. Et c’est là où l’intelligence artificielle peut intervenir.
Frédéric Guihéry. Pour protéger un système d’information, on essaie d’automatiser tout ce qui peut l’être. Les outils permettent de contextualiser et d’enrichir les données lorsqu’une requête parvient à un serveur : l’IP, la localisation géographique, le degré de confiance, l’analyse automatique de pièces jointes… Tout ça peut être géré par des outils traditionnels. Mais en cas d’attaque, l’intelligence artificielle va apporter un supplément d’aide à la décision. Par exemple indiquer à l’expert quelles sont les meilleures contremesures à mettre en place face à une attaque afin de faciliter et accélérer la défense du système d’information.
On peut aussi utiliser l’intelligence artificielle non pas pour défendre mais pour attaquer. C’est ce que nous faisons chez AMOSSYS afin d’automatiser nos tests de vulnérabilité et de détecter des faiblesses éventuelles dans les produits que nous sommes chargés d’évaluer.
Frédéric Guihéry. Tout à fait ! Pour tester la robustesse d’un produit, il faut théoriquement essayer toutes les attaques possibles. Ce qui engendre une combinatoire très importante et contraint à opérer des choix. L’intelligence artificielle a une capacité d’apprentissage à la fois sur les différents scénarios d’attaque et les différents systèmes d’information, ce qui permet de capitaliser sur la durée et, au final, de gagner du temps en réalisant les tests les plus pertinents. Nous développons actuellement une solution de test basée sur l’IA qui pourra être mise à disposition de nos partenaires et de nos clients.
Nous avons également mis au point ce qu’on appelle un Honeypot, un pot de miel chargé d’attirer les attaquants afin d’observer et comprendre leurs modes opératoires. Le pot de miel simule une partie du système d’information avec de faux serveurs, de faux postes clients, de faux échanges de mails, de la navigation sur internet… Il faut que l’attaquant qui se connecte au pot de miel ait l’impression d’être sur un vrai poste de travail, et c’est une intelligence artificielle qui nous permet d’atteindre ce niveau de réalisme. Notre honeypot appelé BEEZH Platform a été récemment récompensé deux fois, au FIC 2020 et lors du challenge IA & Cyber de l’European Cyber Week.
Frédéric Guihéry. J’identifie trois catégories de limites, notamment associées au Machine Learning. La première est une limite opérationnelle. Pour fonctionner correctement, une intelligence artificielle doit parfaitement connaître l’environnement protégé : le système d’information, les serveurs, les postes, les applicatifs. Mais le problème, c’est que l’environnement évolue inévitablement au fil du temps : on ajoute un sous-réseau, on change d’applicatif… Ce qui impose de recommencer l’apprentissage de l’IA sur le nouvel environnement. C’est un point dur récurrent.
La seconde est une limite d’efficacité des algorithmes d’intelligence artificielle : comme je l’ai déjà dit, les solutions IA ont du mal à détecter des attaques ou des variantes inconnues.
Quant à la troisième limite, c’est un problème de robustesse. Imaginons un mécanisme antivirus qui se base sur l’apprentissage au fil de l’eau pour détecter si une pièce jointe est valide. L’attaquant peut envoyer des pièces jointes avec différents degrés de malveillance pour mieux connaitre l’algorithme de défense. Puis dans un deuxième temps tromper le processus d’apprentissage avec de fausses pièces jointes qui seront vues comme légitimes. De cette façon, il crée progressivement une brèche pour lancer ultérieurement une attaque.
Frédéric Guihéry. Exactement. Il n’existe pas de solution magique. Il faut sans cesse davantage d’expertise et sans cesse de meilleurs outils.
Photo fournie par AMOSSYS : Frédéric Guihéry présente la plateforme BEEZH