Laurent Heslault, directeur des stratégies de sécurité chez Symantec, s’est penché sur le machine Learning et le deep learning, ou comment redéfinir la cybersécurité par l’intelligence.
Cinq grandes entreprises sur six touchées par des cyberattaques dans l’année, plus d’un million de malwares créés chaque jour, des attaques ciblées perpétrées grâce à des vulnérabilités toujours plus nombreuses … les cybercriminels développent en permanence des techniques toujours plus élaborées pour mener des attaques toujours plus persistantes. La protection des entreprises, de leurs données et de celles de leurs clients n’a jamais été aussi complexe ni cruciale, et ne peut plus se contenter d’être partielle. Elle doit adopter une approche holistique et intelligente de la cybersécurité, fondée sur une conjugaison d’un machine learning (ou apprentissage automatique) multidimensionnel et du deep learning (apprentissage profond), et in fine, d’une qualité de données et d’algorithmes qui doivent sans cesse être améliorées
Qu’est-ce qu’une protection contre les menaces intelligentes ?
Il convient de définir tout d’abord à quelles attentes elle doit répondre : le blocage des menaces avancées et des attaques zero day, le durcissement et la prévention des exploits bien sûr, mais également la prévention proactive des attaques en temps réel, des besoins d’identification et de remédiation rapide, sans oublier des performances élevées et des faux positifs les plus limités possibles.
Le machine learning, à condition qu’il soit multidimensionnel et qu’il utilise une télémétrie étendue et étayée, permet de répondre à ces besoins. S’il utilise uniquement des classificateurs tels que des URL ou des fichiers malveillants déterminés, sa performance risque d’être limitée : il ne se fonde ainsi que sur des comportements déterminés par des attaquants, que ces derniers peuvent modifier pour faire évoluer leur technique d’attaque, et que le système ne détectera pas. Pour être efficace, le machine learning doit être véritablement multidimensionnel, à savoir conjuguer le développement traditionnel tel que décrit ci-dessus avec une approche basée sur « la sagesse populaire », dans le Cloud et non uniquement sur les postes de travail, qui calcule la sécurité de chaque fichier de logiciel et de chaque URL d’Internet en analysant les modèles d’adoption de ceux-ci par le plus grand nombre possible d’utilisateurs. Cette « masse » d’utilisateurs doit en outre être catégorisée selon leur profil et géographie afin de permettre l’analyse la plus précise et la plus juste : novices, expérimentés, types de sites visités ou pas, fichiers utilisés ou non, taux d’utilisation, cibles fréquentes d’attaques… toutes ces informations contextuelles et anonymes permettent de dresser un portrait qui échappe à la maitrise des cyber-attaquants. L’aspect multidimensionnel est donc une clé essentielle pour assurer une meilleure protection des systèmes.
Machine Learning + deep learning
Ce machine learning avancé peut être complété par du deep learning. Utilisant des réseaux neuronaux artificiels inspirés par le cerveau humain, il permet d’apprendre d’une manière similaire à la nôtre. Les réseaux de deep learning sont capables de s’abstraire progressivement des données brutes pour les transformer en des concepts plus complexes. Cette capacité de généralisation hiérarchique leur confère des propriétés statistiques robustes et leur permet ainsi d’intégrer des données peu identifiées, de reconstruire des informations parcellaires de détecter des anomalies, même infimes. On devine ici les possibilités offertes dans la détection de signaux faibles de menaces et des techniques complexes et souvent uniques qui caractérisent les attaques ciblées. Cette approche, par essence en évolution et en amélioration permanentes, s’avère donc prometteuse pour une cybersécurité toujours plus précise et efficiente.
L’intelligence artificielle, à travers le machine learning et le deep learning, trouve ainsi des débouchés particulièrement pertinents, nécessaires et utiles pour une cybersécurité… intelligente. Cette intelligence a par ailleurs pour corollaire la volonté de protéger et d’innover qui doit caractériser toute entreprise technologique.