En marge des Assises de la sécurité des systèmes d’information qui se tiennent en octobre à Monaco, DG Consultants – Comexposium organise, quatre fois par an, des débats autour des questions qui animent la profession des RSSI, responsables de la sécurité des systèmes d’information. Jeudi 12 avril 2018, l’intelligence artificielle dans la cybersécurité était le thème de la soirée du Cercle. Un bon moyen de faire la part entre le mythe et la réalité.

D’emblée les participants de la table-ronde réunis ce jour-là s’accordent pour dire que l’intelligence artificielle est devenue médiatique.

Pour le responsable de la sécurité des systèmes d’information, il y a deux volets : la détection de comportements suspects (remontée d’alarme) et la protection (mise en sécurité du système face à des menaces).

L’IA contre les arnaques au président

Thierry Berthier, maître de conférence à l’université de Limoges et chercheur en cyberdéfense et cybersécurité précise ainsi que les apports sont multiples.

Notamment lorsqu’il s’agit de déjouer les arnaques aux faux ordres de virement (Fov).

“La détection peut aller très vite en 5 à 6 minutes, des campagnes peuvent être très vite reconnues et bloquées.”

Pour Vincent Le Toux, adjoint au RSSI d’Engie, la question est de savoir si l’IA va remplacer le RSSI.

Le machine learning existe depuis plus de 15 ans, constate-t-il. Il sert notamment pour reconnaître les noms de domaines bidons.

Il y a plusieurs types d’intelligence artificielle. Celle à laquelle on demande de dire “oui ou non” et celle qui doit simplifier un problème.

Si on entraîne convenablement le système, il pourra détecter. Mais avec quelle précision ?

Le shadow IT au cœur des préoccupations des RSSI

“Les hackeurs essaient de se cacher dans le bruit.” Et l’IA n’est pas prête de remplacer l’homme.

“Le plus gros problème du RSSI aujourd’hui, c’est le shadow IT”, affirme Vincent Le Toux. Comprenez le fait pour les salariés d’utiliser des logiciels ou des plateformes grand public à des fins professionnelles.

“Il faut une véritable approche comportementale du métier. En gros, nous avons 10 % de notre métier sur la technologie et 90 % sur le comportement, la sensibilisation des utilisateurs…”

Il est vrai que les IA sont encore loin de passer le fameux test de Turing.

Dans un article de 1950 (.pdf en anglais), le mathématicien avait imaginé un test permettant de distinguer une intelligence humaine d’une intelligence l’imitant.

Augmenter les capacités de défense de l’entreprise

Pour autant, pour Arnaud Tanguy, RSSI chez Axa Investment Managers, “l’IA permet de renforcer les capacités de défense de l’entreprise, particulièrement dans l’anticipation et l’analyse”.

Yann Girard, RSSI des Réseaux de banque de détail en France de la Société Générale, confirme de son côté les progrès réalisés grâce à l’intelligence artificielle.

Avant le machine learning, il existait déjà des mécanismes de détection de fraude, mais depuis 2 ans, la banque s’est engagée, avec l’aide du doctorant dans la recherche sur le sujet.

La sécurité, facteur d’innovation

“Grâce à des combinaisons de règles nous arrivons à lutter contre le phishing et l’ingénierie sociale.”

La démarche a d’ailleurs valu au groupe de travail un prix de l’innovation en Interne.

“La sécurité a ainsi pu être vue et vécue comme un facteur d’innovation”, se félicite-t-il.

Avec à l’arrivée un retour sur investissement. Un ROI non négligeable puisqu’il y a maintenant une vingtaine de personnes travaillant sur le sujet “dont 10 data scientists”.

Arnaud Tanguy observe de son côté une baisse générale des ressources dans la profession et une tendance à l’automatisation que l’IA peut en partie combler.

L’IA, un outil d’attaque pour les hackeurs

“Le volume de données explose, nécessitant toujours plus de détection et d’analyse” mais ces phénomènes se heurtent à une “montée en gamme des attaquants qui utilisent eux-même l’IA”.

Ce que confirme Thierry Berthier, maître de conférence : “l’IA fournit des outils à la fois pour l’attaquant et pour la défense”.

“Dans certains cas, regrette-t-il, nous n’avons pas assez de données d’attaques et il faut pouvoir créer des données avec de l’IA.”

Et d’évoquer les combats d’IA aux États-Unis.

Toujours l’humain derrière

Pour Yann Girard, l’avancée de l’IA permet à l’humain d’aller plus vite.

“Mais il reste encore beaucoup de faux positifs qui nécessitent de l’humain derrière, nous n’avons pas encore de l’automatisme de bout en bout.”

Alors comment s’assurer qu’il n’y a pas de dérives ?

Pour Vincent Le Toux (Engie), il faut revenir aux fondamentaux du métier de RSSI, c’est-à-dire à l’analyse de risque.