Face à la complexité toujours plus grande des réseaux et à la pénurie en ressources humaines, la défense active des réseaux ne peut qu’incomber à des systèmes automatisés… à condition que ceux-ci soient fiables dans la reconnaissance de la menace.
La nécessité d’une analyse comportementale
Le début de l’année 2016 est marqué par la recrudescence des Ransomwares, avec des impacts particulièrement dangereux s’agissant d’établissements de santé. De nombreux hôpitaux, aux Etats-Unis notamment mais aussi en France, ont fait les frais des récentes campagnes de ransomware. Pour certains d’entre eux, les conséquences ont été lourdes : des consultations repoussées, des patients transférés et des ambulances détournées vers d’autres hôpitaux, des séances de chimiothérapie non effectuées… la cybercriminalité n’a jamais aussi directement mis en danger des vies humaines.
Et pourtant, les Ransomwares ne sont pas réputés pour leur furtivité. Après l’infection de l’hôte, la première action du malware est généralement de contacter son serveur maître afin d’obtenir les différents modules constituant le ransomware à proprement parler. Il s’agira ensuite d’en obtenir une clé de chiffrement. Enfin, le ransomware tentera de chiffrer à l’aide de cette clé les fichiers de son hôte, mais aussi de toutes les machines présentes sur son réseau.
C’est dire l’impuissance des solutions antivirales actuelles. L’insuffisance des solutions basées sur la détection de signatures étant déjà avérée depuis un certain temps, la plupart des antivirus actuels embarquent des modules heuristiques (c’est-à-dire s’attachant à l’analyse comportementale). Ceux-ci sont encore loin d’être convaincants. En réalité, les modules heuristiques aujourd’hui les plus fiables sont ceux intégrés à des solutions plus globales, déployées sur l’ensemble du système d’information et s’intéressant également aux flux réseau.
Si ces solutions de sécurité basées sur l’analyse comportementale existent, elles restent encore peu déployées. Elles impliquent un coût important à l’achat mais aussi en temps de gestion. Pour qu’un tel système soit efficient, il est nécessaire de consacrer beaucoup de temps à sa configuration initiale, et lors de chaque évolution du système d’information. Ainsi, nombre de structures qui pourraient en bénéficier font l’impasse sur ce type de solution.
Apports de l’intelligence artificielle et du Machine Learning
L’intelligence artificielle est intéressante principalement pour trois aspects :
- L’apprentissage automatique : une bonne capacité d’apprentissage autonome, susceptible de reconnaitre ce qu’est une action utilisateur légitime, permettrait l’installation d’une solution SIEM qui ne soit pas une lourde charge pour la DSI ;
- La rapidité de réaction : un système automatisé de défense permet un temps de réaction inégalable : le temps qu’un humain réalise l’existence d’une intrusion informatique en cours, il est généralement déjà trop tard ;
- La scalabilité: il est toujours plus aisé d’ajuster les capacités de la machine à la complexité grandissante des réseaux que d’ajuster des ressources humaines.
D’énormes progrès ont été réalisés au cours de la dernière décennie dans le domaine de l’intelligence artificielle et en particulier du Machine Learning, portés notamment par des grands acteurs tels qu’IBM ou Google.
Ces progrès pourraient permettre une démocratisation des solutions de sécurité type SIEM (Security Information and Event Management) à condition que les éditeurs de solutions de sécurité informatique se les approprient.
Cependant, les programmes convaincants d’intelligence artificielle nécessitent des supercalculateurs pour fonctionner. Cela signifie que pour fournir ces capacités à leurs clients, il sera nécessaire pour les éditeurs cyber de les mutualiser dans le Cloud.
![[Forum InCyber Montréal 2023] Penser en grand : sommes-nous en route vers un cadre réglementaire mondial sur la protection des données ?](https://incyber.org/wp-content/uploads/2023/12/iStock-1596127582-480x300.jpg)
