Une brève histoire de l’intelligence artificielle appliquée à la cybersécurité

Le Club des experts de la sécurité de l’information et du numérique (Cesin) vient d’ouvrir son 11^e congrès annuel sur le thème de la « cyberdéfense à la vitesse de l’IA ». L’occasion de revenir sur la manière dont l’intelligence artificielle a su graduellement convaincre des DSI et RSSI initialement réticents jusqu’à la multiplication des agents conversationnels dans les outils de cybersécurité. 

C’est en 2015 que l’intelligence artificielle fait une entrée en fanfare dans le monde de la cybersécurité, avec notamment l’émergence d’une multitude de jeunes pousses promettant d’appliquer l’apprentissage automatique, le fameux machine learning, à l’identification d’anomalies comportementales. Sont alors concernés les utilisateurs et leurs comptes, avec l’UBA ou User Behavior Analytics, ainsi que les hôtes du système d’information, ou endpoints, avec l’UEBA, pour User and Endpoint Behavior Analytics. À cela s’ajoute l’analyse du trafic réseau, ou NTA, pour Network Traffic Analysis.

Mais ces technologies sont d’abord accueillies avec une réserve certaine. En 2016, une étude réalisée par l’institut pour la valeur d’entreprise (Institue for Business Value, IBV) d’IBM avec Oxford Economics auprès de 700 RSSI dans 35 pays, fait ressortir une petite frange de RSSI prêts à recourir à une forme d’intelligence artificielle pour renforcer leur posture de sécurité : 22 % de l’échantillon qui, notamment, « pensent qu’ils emploient une approche plus mature des pratiques de sécurité »

En 2017, Art Coviello, ancien président exécutif de RSA, qui entrevoyait déjà en 2013 des systèmes de sécurité auto-adaptatifs, n’en est pas moins convaincu : pour lui, l’avenir de la cybersécurité passe par l’intelligence artificielle. 

Mais beaucoup ne sont toujours pas convaincus. Pour les 410 experts en sécurité interrogés par Carbon Black entre la fin décembre 2016 et le début du mois de janvier 2017, il est, en substance trop tôt pour faire confiance à l’intelligence artificielle en cybersécurité. 

Près des trois quarts estiment que ces solutions comportent encore des défauts : taux de faux positifs élevés, recours trop important à l’intervention humaine pour la prise de décision, ou encore ralentissement des opérations de sécurité. Et c’est sans compter avec la capacité des attaquants à berner les algorithmes, mentionnée par 70 % des sondés.

Un an plus tard, pour certains, l’intelligence artificielle a toutefois déjà fait la démonstration de son efficacité dans certains domaines d’application liés à la cybersécurité. C’est ce qu’estime notamment Gérôme Billois, de Wavestone, ou encore Bertrand Méens, alors secrétaire adjoint du Clusir Nord-de-France.

Fin 2018, aux Assises de la Sécurité, les témoignages commençaient à apparaître. Nicolas Fernandez et Paul Lemesle, alors respectivement directeur de la cybersécurité de Saint-Gobain et responsable de son SOC, s’exprimaient ainsi sur leur déploiement des outils de Vectra, spécialiste de l’analyse comportementale réseau. 

Mais l’analyse comportementale devait, en partie au moins, disparaître… pour mieux s’immiscer un peu partout, notamment à grand renfort de rachats, d’un côté, et d’extension de périmètre d’offre de l’autre. 

Dès 2018, Gartner l’anticipait : l’UEBA arrivait à maturité, « devenant plus robuste » et profitant d’une « adoption plus large dans les entreprises avant-gardistes ». Du coup, l’UEBA s’est trouvée intégrée dans de nombreux outils et contrôles : systèmes de gestion des informations et des événements de sécurité (SIEM), systèmes de prévention/détection d’intrusion (IDS/IPS), passerelles d’accès cloud sécurisées (CASB), gestion des identités et des accès (IAM), ou encore détection des menaces sur les postes de travail (EDR).

D’ailleurs, pour Balazs Scheidler, ancien directeur technique de Balabit, avant son rachat par One Identity en 2018, « considérer l’UBA comme un segment de marché était une erreur ».

Aujourd’hui, l’heure est à l’IA générative. C’était même la grande vedette de l’édition 2023 de la conférence Black Hat USA.

L’éventail d’agents conversationnels utilisant l’IA générative dans le domaine de la cybersécurité est d’ailleurs déjà étendu, au-delà même de ceux embarqués dans les solutions de sécurité propriétaires. 

La différence, par rapport à 2015, c’est que, du côté des fournisseurs de solutions de cybersécurité, c’est un peu la course à celui l’intégrera à ses produits le premier. Mécaniquement, la diffusion sera plus rapide. Reste à savoir ce qu’il en sera de l’adoption effective et des résultats qu’elle produira.