L’IA, nouvelle arme des hackers… mais aussi alliée des défenseurs.
Le 7 octobre, lors de la table ronde "IA : votre meilleure arme… ou celle de vos hackers ?", tenue au Salon Cloud & Security, Sacha Hilic a partagé des perspectives clés sur l’utilisation de l’IA dans la cybersécurité, dans un contexte où les technologies avancent plus vite que les menaces elles-mêmes. Voici un résumé des points marquants abordés lors de cette discussion, animée par Fabrice Frossard, avec la participation d’experts comme Hakim Loumi, Jérôme Thémée, Cyrille Barthelemy, Hamid Achraf, et Alexandre Piaugeard.
Miser sur l’IA explicative et la détection proactive
L’explicabilité d’un système d’IA se définit par sa capacité à rendre son processus de raisonnement et ses résultats compréhensibles pour les humains. Or, dans le contexte actuel, les modèles sophistiqués fonctionnent souvent comme des « boîtes noires », masquant les détails de leur fonctionnement. Ce manque de transparence pose plusieurs problèmes : sans une compréhension claire du processus décisionnel, il devient difficile d’identifier, et encore moins de corriger, d’éventuelles erreurs. Par ailleurs, il est compliqué pour les utilisateurs d’accorder leur confiance à une IA qui fournit des résultats sans justification apparente.
Sacha Hilic a souligné l’importance cruciale de l’explicabilité de l’IA dans les dispositifs de cybersécurité modernes. En effet, comprendre pourquoi une alerte est déclenchée et sur quels éléments l’IA base ses décisions est essentiel pour renforcer la confiance des analystes et optimiser la réponse aux menaces.
Pour répondre à cet enjeu, IMS Networks, via sa filiale française Custocy, a conçu une solution NDR (Network Detection & Response) fondée sur une IA explicative. Cette technologie se distingue par sa capacité à détecter des signaux faibles et des attaques sophistiquées, y compris les menaces zero-day, même au sein de flux chiffrés. Mais sa force réside aussi dans sa transparence : elle permet aux utilisateurs de suivre et de comprendre le raisonnement algorithmique à l’origine de chaque détection.
Custocy a ancré cette transparence dès la conception de sa solution, en adoptant une approche dite "explainability-by-design". Concrètement, le NDR s’appuie sur des rapports générés avec la méthode SHAP, qui identifie et explique les éléments pris en compte par les modèles d’IA pour leurs détections. Grâce à cette approche, les analystes peuvent évaluer la pertinence des alertes et gagner un temps précieux dans la gestion des menaces.
La solution repose également sur une approche collaborative et multitemporelle : elle s’appuie sur une communauté d’IA collaboratives, travaillant à différentes échelles de temps et s’échangeant des informations pour affiner la détection des menaces. Cette architecture permet non seulement une détection plus précise, mais aussi une meilleure compréhension des décisions prises par l’IA, renforçant ainsi la confiance et l’efficacité des équipes de sécurité.
Adopter une approche XDR pour une visibilité globale
Sacha a également insisté sur l’importance d’une approche étendue et centralisée de la détection des menaces, capable de croiser en temps réel des milliards d’événements issus de sources multiples : réseau, cloud, endpoints, identités… Cette vision unifiée permet de mieux comprendre la surface d’attaque d’une organisation et d’accélérer la détection et la réponse aux menaces avancées.
C’est dans cette logique qu’IMS Networks, a choisi de s’appuyer sur la plateforme XDR (Extended Detection & Response), enrichie par une Threat Intelligence internationale et alimentée par l’IA : Taegis XDR de Sophos. Cette solution renforce la capacité des équipes à corréler des événements disparates, pour une cybersécurité plus réactive, contextualisée et efficace.
En résumé, l'IA est un levier stratégique pour renforcer la défense, mais elle représente également un défi constant face aux attaques évolutives. La collaboration, l'explicabilité et l'innovation sont les piliers pour réussir à naviguer dans ce paysage complexe.
