Technologies

Les 5 meilleurs cas d'utilisation de l'apprentissage automatique pour la sécurité

Les 5 meilleurs cas d'utilisation de l'apprentissage automatique pour la sécurité
L'intelligence artificielle et l'apprentissage automatique devraient changer radicalement la façon dont la sécurité est faite.
Retrouvez cet article dans le CIO FOCUS n°153 !
Les tops des bonnes pratiques des DSI américains pour éviter les flops

Les tops des bonnes pratiques des DSI américains pour éviter les flops

CIO France traduit régulièrement des articles en provenance de son homologue américain mettant en avant des listes de bonnes pratiques. Ce CIO.Focus réalise une compilation de quelques uns de ces articles tirant des leçons des réalisations des DSI/CIO américains.

Découvrir

L'apprentissage automatique pourrait aussi être la meilleure réponse à la prochaine attaque de type WannaCry.

PublicitéÀ son niveau le plus simple, l'apprentissage automatique est défini comme « la capacité pour les ordinateurs d'apprendre sans être explicitement programmés pour celà ». En utilisant des techniques mathématiques appliquées à d'énormes ensembles de données, les algorithmes d'apprentissage automatique construisent des modèles de comportements. Netflix, par exemple, offre de nouvelles séries télévisées basées sur votre historique de visionnage précédent, la voiture autonome apprend sous quelles conditions un quasi-accident peut se produire avec un piéton.

Quelles sont les applications d'apprentissage automatique en matière de cybersécurité ? En principe, il peut aider les entreprises à mieux analyser les menaces et à répondre aux attaques et incidents de sécurité. Il va automatiser des tâches plus subtiles, auparavant effectuées par des équipes de sécurité étirées et parfois sous-qualifiées. C'est une tendance en croissance rapide. Les analystes d'ABI Research estiment que l'apprentissage automatique en cyber sécurité augmentera les dépenses en big data, en intelligence artificielle et en analytique de 96 milliards de dollars d'ici 2021.

Google et Amazon utilisent l'apprentissage automatique

Plusieurs géants mondiaux de l'IT travaillent sur ce sujet. Google utilise l'apprentissage automatique pour analyser les menaces contre les terminaux mobiles fonctionnant sur Android, ainsi que pour identifier et supprimer les logiciels malveillants des combinés infectés. Amazon a acquis la start-up harvest.AI et lancé Macie, un service utilisant l'apprentissage automatique.

Simultanément, les spécialistes de la sécurité ont travaillé à intégrer l'apprentissage automatique dans leurs produits, nouveaux et anciens, de manière à améliorer la détection des logiciels malveillants. « La plupart des grandes entreprises de sécurité sont passées d'un système basé sur la signature pour détecter les logiciels malveillants, à un système d'apprentissage automatique qui tente d'interpréter les actions et les événements », déclare Jack Gold, président de J. Gold Associates. « C'est clairement la voie à suivre dans le futur. L'intelligence artificielle et l'apprentissage automatique changeront radicalement la façon dont la sécurité est faite ».

Cette transformation ne se produira pas du jour au lendemain. Il faut distinguer l'apprentissage automatique et l'apprentissage profond. Dans sa première phase d'autonomisation de la cyberdéfense, nous voyons principalement les cas d'utilisation évidents permettant d'identifier des modèles d'activités malveillantes sur le point terminal, réseau, fraude ou SIEM, explique Dudu Mimran, CTO de Deutsche Telekom Innovation Laboratories (et également du Cyber Security Research Center de l'université israélienne Ben Gourion). « Je crois que nous verrons de plus en plus de cas d'utilisation, dans les domaines de la défense contre les interruptions de service, l'attribution et la modification du comportement de l'utilisateur. »

PublicitéL'apprentissage automatique en sécurité comprend 5 cas principaux d'utilisation :

1. L'apprentissage automatique pour détecter les activités malveillantes et arrêter les attaques
Les algorithmes d'apprentissage automatique aideront les entreprises à détecter plus rapidement les activités malveillantes et à arrêter les attaques avant qu'elles ne commencent. David Palmer directeur de la technologie de la start-up Darktrace au Royaume-Uni  a récemment aidé un casino en Amérique du Nord lorsque ses algorithmes ont détecté une attaque d'exfiltration de données qui utilisait un « aquarium connecté comme entrée dans le réseau ». La firme assure avoir également empêché une attaque similaire pendant la l'attaque Wannacry.
« Nos algorithmes ont repéré l'attaque en quelques secondes dans le réseau d'une agence NHS (système de santé britannique) et la menace a été atténuée sans causer de dommages à cette organisation, en fait, aucun de nos clients n'a été infecté par  WannaCry, y compris ceux qui n'avaient pas patché contre elle. »

2. L'apprentissage automatique pour analyser les points de terminaison mobiles
L'apprentissage automatique est déjà largement répandu sur les appareils mobiles, mais jusqu'à présent, la majeure partie de cette activité a été consacrée à l'amélioration des expériences vocales sur Now, de Google, Siri d'Apple et Alexa d'Amazon. Pourtant, il existe aussi une application pour la sécurité. Comme mentionné ci-dessus, Google utilise l'apprentissage automatique pour analyser les menaces contre les terminaux mobiles.
En octobre, MobileIron et Zimperium ont annoncé une collaboration pour aider les entreprises à adopter des solutions mobiles anti-malware intégrant l'apprentissage automatique. MobileIron a déclaré qu'il intégrerait la détection de menaces basées sur l'apprentissage machine au moteur de sécurité et de conformité de MobileIron et vendrait la solution combinée, qui permettrait de détecter les menaces de périphériques, de réseaux et d'applications et de prendre immédiatement des mesures automatisées.

3. L'apprentissage automatique pour améliorer l'analyse humaine
L'apprentissage automatique en cybersécurité est censé améliorer l'analyste humain dans tous les aspects de son travail : la détection des attaques malveillantes, l'analyse du réseau, la protection des terminaux et l'évaluation de la vulnérabilité. Son meilleur champ d'action porte sur l'intelligence des menaces.
Par exemple, en 2016, le Laboratoire d'informatique et d'intelligence artificielle (CSAIL) du MIT a mis au point un système appelé AI 2, une plate-forme de sécurité adaptative qui a aidé les analystes à trouver « des « aiguilles dans la botte de foin ». En examinant des millions de connexions quotidiennes, le système a pu filtrer les données et les transmettre à l'analyste humain, réduisant les alertes à environ 100 par jour. L'expérience, réalisée par le CSAIL et la start-up PatternEx, a montré que le taux de détection des attaques atteignait 85% avec une diminution par cinq des faux positifs.

4. L'apprentissage automatique pour automatiser les tâches de sécurité répétitives
Le véritable avantage de l'apprentissage automatique est qu'il pourrait automatiser des tâches répétitives, permettant au personnel de se concentrer sur un travail plus valorisant. David Palmer explique que l'apprentissage automatique devrait en fin de compte viser à « supprimer le besoin pour les humains de prendre des décision répétitives et de faible valeur. Laissez les machines gérer le travail répétitif, les humains peuvent libérer du temps pour faire face à des problèmes stratégiques, comme la modernisation de Windows XP. »
Booz Allen Hamilton a emprunté cette voie, utilisant des outils d'IA pour allouer plus efficacement les ressources de sécurité humaine, triant les menaces afin que les salariés puissent se concentrer sur les attaques les plus critiques.

5. L'apprentissage automatique pour fermer les vulnérabilités du jour zéro
Certains croient que l'apprentissage automatique pourrait aider à réduire les vulnérabilités, en particulier les menaces du jour zéro et d'autres qui ciblent des dispositifs IoT en grande partie non sécurisés. Une équipe de l'université d'État de l'Arizona a utilisé l'apprentissage automatique pour surveiller le trafic sur le darkweb afin d'identifier les données relatives aux exploits du jour zéro. Forts de ce type d'informations, les entreprises pourraient potentiellement fermer les vulnérabilités et arrêter les exploits de correctifs avant qu'ils n'entraînent une violation de données.

Il reste des pièges à éviter

Méfiance, l'apprentissage automatique n'est pas une solution miracle. Il y a de nombreux pièges. Les systèmes d'apprentissage automatique rapportent parfois des faux positifs provenant de systèmes d'apprentissage non supervisés où les algorithmes déduisent des catégories basées sur des données. Certains analystes expliquent que l'apprentissage automatique en sécurité peut représenter une solution «boîte noire». Ils sont donc obligés de placer leur confiance et leur responsabilité sur les épaules du vendeur  et des machines.

Autre obstacle, la plupart des inventions d'apprentissage automatique qui ont été présentées ne font pas vraiment d'apprentissage dans l'environnement du client. Il s'agit de modèles formés sur des échantillons de logiciels malveillants dans le cloud d'un fournisseur et sont téléchargés comme des signatures antivirus. Ce n'est pas particulièrement progressif en termes de sécurité. De plus, l'apprentissage automatique est aussi bon que l'information d'entrée que vous lui fournissez. Donc, si vos algorithmes d'apprentissage automatique ne sont pas bien conçus, les résultats ne seront pas très utiles.

Doug Drinkwater / IDG News Service (traduit et adapté par Didier Barathon)

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis