En quelques années, l’IA s’est imposée comme une boîte à outil absolument incontournable dans la protection Cyber d’une entreprise. Les algorithmes sont partout, tant du côté des défenseurs que de celui des attaquants.
Depuis de nombreuses années, la cybersécurité a fait appel aux algorithmes d’intelligence artificielle pour accroître ses capacités de détection. C’est le cas des solutions de protection endpoint qui ont rapidement mis le Machine Learning à l’œuvre afin de repérer un comportement anormal sur un poste. Les algorithmes comportementaux ont permis de détecter des attaques que les antivirus traditionnels s’appuyant sur leurs bases de signature n’avaient pas détectées, ils sont aussi mis en œuvre dans le Cloud pour détecter des accès inhabituel sur les données, mais aussi sur l’IAM pour repérer les attaques sur les credentials, etc.
Les algorithmes d’IA ont conquis les SOC pour la capacité des algorithmes à traiter d’énormes volumes de données et extraire les signaux faibles, déceler les mouvements latéraux de attaquants dans le système d’information. Aujourd’hui plus une seule solution EDR/XDR et MDR ne pourrait fonctionner sans ces algorithmes d’IA. Par ailleurs, l’IA est notamment mise en œuvre pour classer la criticité des données dans le cadre du DLP (Data Loss Prevention) ou encore classer les vulnérabilités par niveau de dangerosité en fonction de l’entreprise et de son exposition.
L’arrivée des IA génératives est en train de faire entrer la Cybersécurité dans une nouvelle ère. Les capacités rédactionnelles de ChatGPT en font une menace car elles représentent une aide majeure pour les attaquants qui veulent lancer des attaques de phishing bien plus crédibles en de multiples langues. De même, ceux-ci peuvent exploiter les LLM pour développer rapidement des variantes de leurs malwares et compliquer la détection. En défense, les capacités de synthèse des données d’un chat GPT peuvent aider l’analyste à comprendre une situation suspecte. Celui-ci peut avoir un échange en langage naturel avec le logiciel du SOC pour demander à l’IA des détails complémentaires et pourquoi elle considère l’événement comme suspicieux. L’IA peut aussi participer à l’automatisation de la réponse à incident et écrire des scripts répondant à des cas de figure simples et répétitifs.
Si l’IA a fait franchir à la Cyber un pas en avant considérable dans les capacités de détection et d’analyse, les algorithmes ne sont pas infaillibles et les attaquants disposent de multiples techniques pour les leurrer ou les aveugler. Dans le domaine de l’IA, la lutte entre le glaive et le bouclier n’est pas prête de s’achever.