En sécurité, l’intelligence artificielle a toute sa place

Une technologie qui pousse à la montée en compétences

Mais Jérôme Saiz, expert du Cercle des Assises de la Sécurité, et consultant sécurité, estime que l’approche retenue par le MIT va dans la bonne direction : « à mon sens l'approche du MIT est la bonne, à savoir utiliser la machine pour non pas prendre une décision, mais simplement faire un tri, isoler l'information pertinente et présenter l'information à l'humain dans un format qui lui permette de "laisser faire" ce que le cerveau humain fait de mieux, c'est à dire "trouver ce qui est louche" (l'intuition). La machine fait quant à elle de son côté ce qu'elle sait faire de mieux : brasser une grande quantité de données et trier.

Il y a certainement de grandes choses à découvrir encore dans le domaine, mais pour l'instant je ne suis pas totalement convaincu par le marketing du site, qui prétend "imiter le cerveau d'un analyste". Car ce n'est pas le rôle de la machine à mon sens - du moins pour l'instant !

L'affirmation selon laquelle la technologie détecte 85% des attaques est certainement vraie, mais trompeuse : il faudrait qualifier ce qu'ils entendent par "attaque". La majorité des attaques actuelles est simpliste et effectivement relativement facile à voir pour un humain qui se donnerait la peine de regarder. Sauf que, évidemment, il revient trop cher pour de nombreuses entreprises d'embaucher le personnel nécessaire. Dans ce contexte-là, la solution a son intérêt. Maintenant, si cela fonctionne réellement aussi bien qu'un analyste junior et que cela se généralise, on peut imaginer à terme que cela poussera les attaquants à élever le niveau. On aura donc besoin d'analystes plus pointus, donc plus chers, jusqu'à ce que la machine s'adapte... et que le cycle recommence ! »

Déjà des bénéfices concrets significatifs

Daniel Dalek, directeur recherche & développement chez NTT Com Security, insiste sur l’enjeu que représente l’étiquetage et la qualification des événements. Mais il explique observer déjà des retours sur investissement concrets et significatifs :

« Le défi, avec l’approche du machine learning, est la précision de l’étiquetage là où il est susceptible de ne pas y avoir suffisamment de détails à disposition de l’analyste au moment de cet étiquetage. Des étiquettes erronées conduisent la machine à apprendre des choses des bêtises et à produire des faux positifs et des faux négatifs.

Chez NTT, nous produisons la majorité de nos étiquettes à partir de nos pots de miel [honeypots, en anglais] et nos bacs à sable [sandbox], où les analystes peuvent accéder à un ensemble complet d’indicateurs avant d’assigner une étiquette. La boucle de rétroaction n’est pas temps réel, dans ce cas, mais garantit des étiquettes plus précises. Le moteur d’analyse continue d’assurer la détection en temps réel. Nous préférons cette approche, mais nous appréhendons clairement cette de l’apprentissage assisté du MIT comme une alternative viable.

L’utilisation de l’apprentissage machine et de l’intelligence artificielle a complètement transformé la manière dont nous améliorons les capacités de détection de notre plateforme. Et nous nous concentrons moins désormais sur des signatures et règles écrites manuellement que sur la modélisation comportementale de menaces à partir de données. A ce jour, nous avons déjà obtenus d’importants retours sur nos investissements dans l’apprentissage machine et l’intelligence artificielle. Nous pensons que c’est essentiel pour rester pertinent sur le marché ».