Les outils de cybersécurité traditionnels sont devenus impuissants face aux nouvelles menaces. Le décor est donc planté pour une longue romance entre des outils de sécurité puissants et efficaces basés sur l'IA et des utilisateurs en détresse.

Avec la numérisation croissante de nos sociétés, la cybersécurité est devenue un enjeu crucial. Cependant, les techniques traditionnelles de défense face à des menaces ne peuvent pas suivre l’augmentation exponentielle du niveau de trafic de données, ainsi que l’inventivité des acteurs malveillants.

C’est là que l’intelligence artificielle entre en jeu : loin d’être une technologie appartenant à la science-fiction, elle équipe déjà les produits d’un grand nombre d’acteurs de la cybersécurité, et a permis aux entreprises qui en ont tiré le meilleur parti de se frayer un chemin vers la domination du marché aux dépens des acteurs traditionnels.

Le Big Data écrase la sécurité

Il est devenu compliqué, voire véritablement impossible, d’aller à contre-courant du développement de la numérisation : les technologies numériques sont déjà devenues omniprésentes, et pourtant leur taux de pénétration a encore beaucoup de chemin à parcourir. Autrefois limitées à des applications de niche, elles se sont d’abord généralisées dans le monde professionnel, avant de connaître une accélération massive dans nos vies personnelles avec l’essor combiné d’internet et des smartphones. Nous avons maintenant atteint un point où même les infrastructures critiques (par exemple, les stations d’épuration des eaux) deviennent d’une manière ou d’une autre connectées à l’internet, alors qu’elles n’ont pas été conçues pour cela. Par conséquent, la quantité de données générées par les activités humaines et les machines et transitant sur les réseaux de communication explose: selon IDC, la création et la réplication de données au niveau mondial ont atteint 64,2 zettaoctets en 2020 contre 6,5 zettaoctets en 2012 ; cette quantité devrait atteindre 181 zettaoctets en 2025, ce qui correspond à un TCAC 2020-25 de 23%. Surtout, alors que la numérisation pénètre progressivement tous les aspects de notre vie, ce Big Data devient également de plus en plus sensible, par exemple, les données médicales ou celles liées à des opérations commerciales confidentielles.

Ce fait n’a pas échappé aux groupes criminels, qui y ont trouvé une opportunité lucrative. Le nombre de cyberattaques augmente donc rapidement, avec une croissance de 15% pour la seule année 2021, et le coût de la cybercriminalité est estimé à plus de 1000 milliards de dollars. Les ransomwares, qui chiffrent les données et ne donnent une clé de déchiffrement qu’en échange du paiement d’une rançon, explosent en popularité grâce à leur relative accessibilité technique et à leur large disponibilité en tant que Ransomware-as-a-Service. Et lorsque les attaques ne proviennent pas de cybercriminels, elles sont lancées par des groupes parrainés par des États (en particulier ceux russes et chinois) pour s’introduire dans des organismes d’État ennemis, comme l’a démontré l’attaque SolarWinds. En bref, des acteurs aux moyens élevés ont un fort intérêt à innover rapidement dans le développement de nouveaux vecteurs d’attaque, ce qui signifie que personne n’est à l’abri.

Ce rythme d’innovation est devenu trop rapide pour les technologies en place. Les services traditionnels de sécurité des terminaux, tels que les logiciels antivirus, qui s’appuient sur une base de données de signatures de menaces pour détecter les attaques, ne sont plus à la hauteur. Le nombre croissant de connexions potentiellement vulnérables (pensez aux millions de machines interconnectées via le cloud) entraîne une croissance exponentielle de la probabilité d’attaque. En outre, ils ne sont guère adaptés à la mobilité et à l’Internet des objets (Internet of Things ou IoT), car leur fonctionnement est gourmand en puissance de calcul. Enfin, ils nécessitent une supervision humaine aiguë pour filtrer les faux positifs, à l’heure où le secteur connaît une forte pénurie de professionnels qualifiés. Un saut technologique est donc ô combien nécessaire pour efficacement combattre les menaces.

L’intelligence artificielle: la solution idéale

Comme nous l’avons mentionné plus haut, les logiciels de défense traditionnels s’appuyant sur des bibliothèques de signatures sont par nature des technologies réactives : pour identifier une menace, il faut savoir où chercher, comme un organisme vivant qui combat une maladie. Logiquement, cela implique d’avoir une idée de ce à quoi ressemble l’ennemi, ce qui peut fonctionner assez bien pour différentes variantes d’une même menace, mais nécessite une période d’adaptation lorsqu’il s’agit de se défendre contre de nouveaux types de vecteurs d’attaque. Au cours de cette période d’adaptation, beaucoup de dommages peuvent être causés, une fuite de données n’étant en moyenne détectée qu’au bout de 287 jours. Les cybercriminels se sont bien sûr adaptés et utilisent désormais des techniques de camouflage pour masquer leur signature et échapper à la détection. Et dans certains cas, ces systèmes sont tout simplement aveugles aux attaques, par exemple lorsque les attaquants utilisent des logiciels malveillants sans fichier ne laissant aucun code s’exécuter au sein du système d’exploitation.

C’est là que l’intelligence artificielle (IA) se présente en sauveur. Les systèmes intégrant cette technologie fonctionnent en effet à une échelle transversale: la machine fait tourner localement un logiciel de télémétrie très peu gourmand en ressources, tandis que tout les calculs complexes sont effectués à distance sur un serveur central. Cela permet à ces outils de fonctionner sur pratiquement tous les types d’appareils, offrant ainsi une vue panoramique en temps quasi-réel d’une grande variété de menaces potentielles, ainsi qu’une réaction instantanée dès qu’une nouvelle menace est détectée. Mais la véritable percée vient de l’analyse comportementale avancée, qui propulse les techniques de défense dans une toute nouvelle catégorie.

Au lieu de cibler des signatures, l’IA permet d’analyser les comportements. Comme dans la vie de tous les jours, le comportement des utilisateurs au sein d’un réseau ou le comportement des processus sur un appareil suit généralement une sorte de routine, par exemple, se connecter depuis les mêmes lieux géographiques aux mêmes nœuds de réseau, ou accéder à une quantité définie de ressources spécifiques. Grâce à l’apprentissage automatique (Machine Learning) et à des techniques telles que les bases de données orientées graphe, qui stockent les données sous forme de nœuds et de relations entre les points de données, les outils d’IA analysent de grandes quantités de données pour établir des modèles d’activité normaux. Les comportements légitimes pouvant évoluer dans le temps, le système est suffisamment souple pour en tenir compte ; toutefois, lorsqu’un changement soudain est détecté (par exemple, un utilisateur périphérique occasionnel demandant soudainement à accéder à des giga-octets de données confidentielles stockées dans une base de données centrale), la connexion est automatiquement bloquée et un signal d’alarme est levé pour permettre une analyse plus approfondie. Ces techniques permettent ainsi de détecter un large éventail de menaces contre lesquelles les outils traditionnels seraient impuissants (par exemple, les menaces internes avec des informations d’identification légitimes, telles que des employés mécontents).

Ces outils permettent de faire gagner un temps précieux à des professionnels très occupés. Les équipes IT s’appuient en effet sur l’examen de journaux d’évènements (log analysis) pour effectuer leurs analyses et prendre des décisions. Ces journaux sont générés par tout événement considéré comme anormal selon un ensemble de règles prédéfinies, ce qui implique un grand nombre de faux positifs, qui doivent être minutieusement identifiés comme tels. Les outils d’IA permettent donc un haut degré d’automatisation, permettant aux équipes informatiques de se concentrer sur les menaces réelles.

Pas une question de quand, mais de qui

L’utilisation de l’intelligence artificielle en cybersécurité est loin d’être futuriste, puisque de nombreux acteurs ont déjà déployé cette technologie dans des produits opérationnels, ou du moins le prétendent. La tête d’affiche de cette technologie est CrowdStrike, une entreprise active dans la sécurité des terminaux et fondée en 2011, mais qui néanmoins a rejoint le premier rang sur le segment des entreprises en 2021, une ascension fulgurante réalisée au détriment de noms connus comme McAfee ou Symantec (racheté en 2019 par le mastodonte des semi-conducteurs Broadcom), et construite sur la grande supériorité de sa solution sur ses concurrents. D’autres nouveaux noms à forte visibilité tels que SentinelOne ou Darktrace pourraient être mentionnés, mais un autre exemple intéressant est celui de Microsoft, qui a réussi à construire avec succès une activité cybersécurité et a transformé son logiciel Defender, qui était sujet à bien des moqueries, en une alternative plus que sérieuse dans le segment des consommateurs (bien que sûrement aidé par le fait d’être livré avec chaque système Windows). Les technologies de l’IA ont également permis l’émergence d’une nouvelle génération de pares-feux, capables d’effectuer une inspection approfondie du trafic sans aucune dégradation de service pour les utilisateurs, et avec une sécurité et une flexibilité bien supérieures à celles des pares-feux traditionnels basés sur un système de règles prédéfinies.

La popularité croissante des technologies d’IA n’allait pas de soi, car les équipes informatiques pouvaient légitimement se sentir menacées par un outil qui avait le potentiel de les remplacer. D’autres craignaient que donner les clés du royaume à des machines ne soit extrêmement dangereux. Finalement, c’est loin d’être le cas: les professionnels ont compris que de tels outils avaient le pouvoir non seulement de leur simplifier la vie mais aussi de leur donner une profondeur d’analyse dont ils n’auraient jamais osé rêver. Le succès de telles applications en appelle d’autres par effet boule de neige, et conduira inévitablement à une popularisation croissante de la technologie. Cela ouvrira à son tour la porte à des opportunités d’investissement intéressantes, car une nouvelle génération d’acteurs défiera les anciens leaders incapables de s’adapter à la nouvelle réalité. Notre exposition à la cybersécurité, intégrée au thème de Security & Space, cible précisément les acteurs ayant effectué ce pivot (par exemple, CrowdStrike, notre plus grande position) dans des sous-segments tels que la sécurité des réseaux, des terminaux et du cloud, et nous surveillons attentivement le secteur pour détecter et tirer parti de nouvelles opportunités d’investissement.

Catalyseurs

Rattrapés par la réalité. Les technologies traditionnelles s’essoufflent, ce qui entraîne des risques commerciaux et de réputation pour les entreprises qui ne renforcent pas leurs cyberdéfenses. Lorsqu’elles prendront conscience des conséquences importantes de leur retard, ces entreprises devront changer de cap, et rapidement.

La réglementation. Les autorités réglementaires et les gouvernements renforcent les normes de sécurité pour faire face au nombre et à l’importance croissants des menaces. Les entreprises n’auront d’autre choix que de suivre.

Passage au cloud. Les entreprises se tournent de plus en plus vers les services cloud pour des raisons de coût et pour s’adapter au nouveau paysage technologique. Les outils d’IA sont parfaitement adaptés à un tel cadre.

Risques

Le gagnant rafle tout. Les outils d’IA bénéficient de l’effet de réseau. Les acteurs disposant d’une énorme base d’utilisateurs pourraient s’emparer de la majeure partie du marché.

Point de basculement coût-bénéfice. Les solutions alimentées par l’IA ne sont pas bon marché en raison de la lourde infrastructure nécessaire pour les alimenter. Cela pourrait retarder leur adoption.

Adaptation des menaces. La cybersécurité est un jeu du chat et de la souris sans fin entre attaquants et défenseurs. Les premiers finiront par trouver un moyen de vaincre, au moins partiellement, les outils d’IA.