Cybersécurité : Watson a fini sa phase d’apprentissage

C’est la fin d’une première aventure et le début d’une autre. IBM vient d’annoncer que son intelligence artificielle Watson est commercialement disponible et sortie de sa phase d’apprentissage après l’ingestion de « plus d’un million de documents de sécurité ». Selon le groupe, « Watson peut désormais aider les analystes en sécurité à analyser des milliers de rapports de recherche ne langage naturel qui n’avaient jamais été accessibles auparavant aux outils de sécurité modernes ».

Déjà début 2015, Agnieska Bruyere, directrice de la division sécurité d’IBM France, indiquait au MagIT que le groupe réfléchissait à l’opportunité de mettre Watson au service de la cybersécurité. Un peu plus d’an plus tard, l’intelligence artificielle commençait à découvrir cet univers et à en apprendre les spécificités.

Pour l’entraînement de son intelligence artificielle, IBM a travaillé huit universités en Amérique du Nord, dont le célèbre MIT. Les données de renseignement sur les menaces recueillies par la division X-Force d’IBM, et cela alors même qu’il s’agissait encore d’ISS – fondé en 1994 et racheté par Big Blue en 2006 –, ont servi de base à l’alimentation de Watson, sans compter les données non structurées issues entre autres de sources ouvertes.

Des acteurs privés – une quarantaine de clients d’IBM à travers le monde – ont également été mis à contribution, dont Sopra Steria en France. Récemment, Antonin Hily, directeur MSSP de la SSII, expliquait ainsi que Watson épaule les analystes pour la compréhension, et donc la prise de décision sur les incidents détectés : « il nous aide à modéliser les incidents de sécurité en fonction d’informations qui ne sont pas forcément à notre disposition, parce que, par exemple, des règles de corrélation trop statiques nous laissent dans le noir ». Comme une forme d’intuition numérique, forte de volumes de connaissances déjà considérables, « Watson nous a permis de découvrir que l’incident que l’on étudiait, sur un cas réel, n’était en fait qu’un effet d’un incident beaucoup plus grave qui avait lieu à un autre endroit, selon une autre méthodologie. Mais il se produisait sur un bout d’infrastructure peu verbeux, avec des règles de corrélation très basiques. Grâce à Watson nous avons pu comprendre l’intégralité de l’incident en quelques minutes ».

Le recours à l’intelligence artificielle d’IBM passera par le module Advisor with Watson de QRadar, le système de gestion des informations et des événements de sécurité (SIEM) du groupe. Celui-ci sera effectivement disponible à la fin du mois de février. Et QRadar pourra profiter d’une visibilité accrue sur l’infrastructure grâce au module de surveillance des postes de travail (EDR) BigFix Detect. Jusqu’ici, les outils de Carbon Black étaient mis à contribution pour croiser les données d’activité des points de terminaison avec les bases de données des vulnérabilités connues. Ceux de BigFix n’intervenaient que pour la remédiation. Le module Detect intègre notamment des capacités d’analyse comportementale.

IBM va plus loin, suggérant d’intégrer l’ensemble à la plateforme de réponse aux incidents de Resilient, racheté en début d’année dernière, pour industrialiser la remédiation.

Parallèlement, IBM indique avoir ajouté à son X-Force Command Center des outils cognitifs, dont un assistant virtuel basé sur Watson, pour l’interaction avec les clients de ses services de sécurité managés. Le groupe prépare également un assistant vocal de sécurité, exploitant les capacités conversationnelles de Watson, pour accompagner les analystes de sécurité. C’est le projet Havyn.