Comment les entreprises peuvent-elles exploiter l’IA pour sécuriser leurs terminaux? Pour nos lecteurs, les réponses de Matthieu Jouzel, Solutions Engineer chez BeyondTrust, spécialiste en cybersécurité.
La sécurité des endpoints a connu une transformation révolutionnaire ces dernières années. L’intégration de l’IA et des technologies d’apprentissage automatique a permis une détection des menaces plus rapide et plus précise, renforçant et rationalisant les défenses contre les cybermenaces. Néanmoins, il est important d’examiner comment les solutions basées sur l’IA remodèlent le paysage de la sécurité des identités et modifient la façon dont les organisations détectent et répondent aux menaces sur les endpoints.
Comment les entreprises peuvent-elles exploiter l’IA pour améliorer les mécanismes de renseignement et de réponse aux menaces afin de sécuriser leurs endpoints ? Quels sont les aspects éthiques et pratiques du déploiement de l’IA dans un environnement de sécurité ? Dans quelle mesure des systèmes impliquant l’humain sont-ils nécessaires ?
L’IA transforme la sécurité des endpoints
La sécurité des endpoints nécessite une approche multidimensionnelle, l’IA et le Machine Learning (ML) jouant un rôle clé pour aider les équipes SecOps. En particulier, les outils d’IA peuvent fournir une aide sous la forme de :
- Une analyse prédictive
Elle permet de prévoir les menaces potentielles avant le lancement d’une attaque. À l’aide d’algorithmes et de modèles ML, un modèle d’IA apprend à partir de données historiques et de renseignements actualisés sur les menaces pour identifier les tendances et le comportement des utilisateurs. Une fois que les modèles prédictifs ont été formés, ils peuvent analyser de nouvelles données et faire des prédictions précises sur les résultats potentiels en s’appuyant sur des informations concrètes. De plus, une fois que les capacités prédictives du modèle sont suffisamment développées, il peut également répondre à la saisie manuelle des données.
- Une analyse du comportement et détection des menaces
Le nombre de vulnérabilités dans un réseau IoT augmente de manière exponentielle à chaque ajout d’un nouvel appareil, ce qui nécessite des protocoles de sécurité qui protègent tous les appareils de manière presque préventive. Les outils d’IA automatisent les tâches et processus de sécurité de routine pour en accroître l’efficacité et répondre à ces menaces croissantes. Cependant, leur véritable avantage réside dans l’analyse avancée du comportement et la détection des menaces. Les modèles d’IA peuvent notamment analyser le trafic réseau et le comparer aux données historiques et aux valeurs de référence quotidiennes. Ces analyses détaillées permettent d’identifier avec précision tout comportement inhabituel lié à une activité malveillante. Grâce à la surveillance humaine, le processus de détection des menaces par l’IA peut être encore affiné pour inclure moins de faux positifs.
- Des économies de coûts
La sécurité des endpoints est souvent une question de rapport coût/risque, et de nombreuses entreprises ont du mal à investir dans les technologies adaptées pour faire face à l’évolution des menaces sans que cela ne coûte trop cher. Cela est particulièrement vrai pour les petites entreprises. Heureusement, l’intégration d’outils d’IA peut entraîner des économies de coûts. Des recherches indiquent qu’une violation de données coûte 40 % moins cher lorsque l’IA est impliquée dans la sécurisation des données (source Techopedia).
- Une surveillance continue
La surveillance continue des endpoints nécessite une observation 24h/24 et 7j/7 de tous les endpoints d’un réseau pour identifier et atténuer les menaces en temps réel. La surveillance basée sur l’IA signale presque instantanément toute activité inhabituelle, bloquant ainsi tout accès non autorisé ou l’exécution de programmes malveillants. L’IA et ses capacités d’automatisation ont permis d’améliorer considérablement la surveillance des endpoints ces dernières années. Nous pouvons citer comme exemples les plateformes avancées de protection des endpoints (EPP) et les systèmes de détection et de réponse étendus (XDR). De telles avancées permettent aux équipes de sécurité d’avoir une observabilité maximale de tous les appareils et systèmes d’un réseau, tout en facilitant la gestion de tout nouveau déploiement.
Les aspects éthiques et pratiques du déploiement de l’IA dans la sécurité des endpoints
En raison de divers problèmes éthiques et pratiques, le scepticisme à l’égard de l’IA dans la sécurité des endpoints persiste.
- Tout d’abord, l’IA alimentée par les LLM collecte de grandes quantités d’informations, y compris des données sensibles. Des inquiétudes surgissent quant au pipeline et au stockage de ces données. Les lois concernant les violations de la vie privée induites par l’IA sont au mieux ambiguës, et les entreprises hésitent à en révéler les détails.
- Deuxièmement, la formation des modèles de détection des menaces par l’IA et leurs processus de prise de décision sont souvent peu connus de la plupart des personnes au sein d’une organisation. Cela a un impact sur la responsabilité et la transparence des systèmes de cybersécurité. Pour y parvenir, il faut encore un niveau considérable de collaboration humaine, d’idéation et de contrôle ultérieur.
- De plus, il est difficile de connaître les détails des logiciels basés sur l’IA, car le code est propriétaire. L’outil utilise-t-il une API légitime ? Est-il sécurisé ? L’API est-elle à jour ? Où sont situés les serveurs ? Sont-ils sécurisés et protégés par les lois en vigueur ?
- De nombreux outils et plateformes basés sur l’hébergement de serveurs GPU ou sur des centres de données vulnérables peuvent présenter des risques externes. Ces problèmes de sécurité supplémentaires constituent une menace importante pour la sécurité des endpoints d’une organisation, mais cette fois sous un angle différent.
- Enfin et surtout, la supervision humaine reste essentielle pour une utilisation éthique de l’IA dans la cybersécurité. Elle garantit que les bonnes pratiques sont employées et que les processus sont conformes aux cadres réglementaires et aux normes du secteur.
Les cybermenaces évoluent à un rythme alarmant. Il est donc pratiquement impossible de collecter manuellement des informations sur les menaces au sein d’un réseau vaste et complexe, et d’agir en conséquence. L’IA est donc en mesure de fournir une protection efficace et continue, en détectant et en atténuant les menaces en temps réel. Cependant, la détection des menaces par l’IA doit être réalisée en collaboration avec les équipes de cybersécurité humaines afin de garantir la responsabilité et la transparence nécessaires pour garantir une solution viable qui réponde aux directives réglementaires et sectorielles. Sans processus impliquant l’intervention humaine, une erreur algorithmique mineure ou une défaillance du système peut laisser une organisation largement exposée aux attaques.
