![L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-2160x735.jpg)
L’IA en cyber threat intelligence : un apport contrasté
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
Amélioration mais pas révolution, tel est sans doute un des principaux enseignements de la table ronde intitulée : « L’IA réinvente les fondamentaux de la CTI », lors du Forum InCyber 2024. Les experts présents sont unanimes : l’IA, ou plus précisément le machine learning, est une occasion importante pour le renseignement sur la menace. Parmi ses nombreux apports, Ivan Kwiatkowski, analyste chez Harfang Lab, note par exemple que l’IA permet de travailler plus rapidement, notamment en matière d’analyse de code. Selon lui, ChatGPT offre ainsi de bons résultats quand il s’agit de déterminer à quoi sert une portion de code dans un malware.
Selon Nicolas Quintin, Senior CS Manager chez Filigran, l’IA est un game changer au regard du temps qu’elle libère pour l’analyse. Libérés de tâches répétitives et à faible valeur ajoutée, les analystes peuvent en effet se concentrer sur le cœur de leur métier : la production de renseignement. Mais selon les experts présents, c’est surtout en matière de traitement des données que l’IA se révèle la plus utile. Celle-ci va en effet permettre d’analyser rapidement, et à moindre coût, d’importants jeux de données. Harfang Lab a ainsi utilisé l’IA pour traduire des milliers de documents « leakés », appartenant à un prestataire du renseignement chinois.
En revanche, Ivan Kwiatkowski avance que l’IA n’offre aucune capacité nouvelle. Si le machine learning rend en effet le travail de l’analyste plus aisé, il ne révolutionne pas la production du renseignement par des techniques jusqu’alors inconnues. En outre, l’apport de l’IA doit être évalué à l’aune des risques et menaces qu’elle induit, ainsi que ses limites en tant qu’outil. Tout d’abord, comme le note Mark Van Staalduinen, de la Dutch Blockchain Coalition, l’IA commet des erreurs, au même titre que les experts. Elle doit donc être traitée comme une source d’information parmi d’autres.
Rôles complémentaires
À ce titre, Alexandre Cabrol-Perales, Head of Managed Detection & Response chez Sopra Steria, note qu’en matière de détection, les approches reposant uniquement sur l’IA se sont révélées des échecs en production en raison d’un trop grand nombre de faux positifs. L’ensemble des participants s’accordent dès lors sur la complémentarité du rôle des analystes et de l’IA. Si cette dernière pourrait permettre d’employer des collaborateurs moins compétents ou expérimentés, les experts présents mettent en garde contre une éventuelle tentation de remplacer les équipes de threat intelligence par du machine learning.
En outre, l’IA n’est pas uniquement utilisée par les équipes de threat intelligence. Celle-ci est utilisée par de nombreux attaquants, pour rédiger des mails de phishing ou développer des scripts malveillants. Ivan Kwiatkowski rappelle d’ailleurs, au sujet d’un prestataire du renseignement chinois, que celui-ci utilisait l’IA non pas afin de compromettre ses cibles, mais pour traiter les données dérobées dans ses campagnes d’espionnage.
Et en réalité, le principal enjeu en matière d’IA et de renseignement est certainement celui de la donnée elle-même. Entraîner un modèle de machine learning nécessite en effet d’importants jeux de données. Et, pour être efficaces, les outils doivent bénéficier en continu de nouvelles données puisque, comme le note Mark Van Staalduinen. Les cyberattaquants s’adaptent, nécessitant d’entrainer régulièrement les modèles utilisés par les défenseurs.
Or selon Alexandre Cabrol-Perales, il existe une asymétrie entre les informations directement accessibles et exploitables par les attaquants et celles dont ont besoin les équipes de détection ou de CTI. Cybercriminels et services de renseignement étrangers n’ont en effet pas les mêmes contraintes juridiques lorsqu’il s’agit d’utiliser des informations disponibles en sources ouvertes ou issues de fuites de données.
Par ailleurs, les données utiles pour entrainer une IA en matière de renseignement sur la menace ne sont pas forcément disponibles en sources ouvertes. Ces données concernent les tactiques, techniques et procédures des attaquants, leurs outils, les incidents passés. Or ces éléments ne sont parfois pas partageables ou partagés, voire ne sont accessibles que dans un cadre commercial.
Enfin, même quand les jeux de données sont disponibles, encore faut-il qu’ils soient fiables, c’est-à-dire qu’ils n’aient pas été altérés par exemple par… Une IA. En effet, comme le rappelle l’Anssi, « si le jeu de données est biaisé, alors la phase d’apprentissage se retrouve faussée et les prédictions fournies par l’algorithme d’Intelligence Artificielle (IA) ne sont pas fiables ».
Si l’IA peut avoir un apport indéniable en matière de CTI, encore faut-il pouvoir accéder aux données nécessaires pour pouvoir l’entraîner et ce dans la durée. L’IA redevient ainsi une source qu’il convient de qualifier et interroger dans le temps afin de s’assurer de sa pertinence et de son efficacité, soit le travail quotidien d’un analyste en renseignement. Dès lors, comme l’explique Nicolas Quintin : « La question est peut-être plus : qu’est-ce que peut apporter la CTI à l’IA ? plutôt que l’inverse. »