L’Intelligence Artificielle, une nouvelle arme pour la gestion de crise cyber
La sécurité absolue n’existe pas, il faut considérer que tout système d’information sera un jour exposé ou compromis. Si l’architecture d’un SI est un élément clé pour sa protection, dans la durée ce sont les systèmes d’alerte et de remédiation qui vont en assurer son intégrité. Ces outils de sécurité doivent répondre à des sollicitations de plus en plus complexes, qui s’étendent souvent sur de multiples plateformes et outils, et génèrent donc une quantité importante d’informations à traiter.
Les facteurs clés pour la remédiation d’une attaque sont les suivants :
- Identifier les signaux et le scénario employé par les attaquants
- Identifier le périmètre concerné par l’attaque
- Appliquer les mesures de conservation de preuves
- Appliquer les mesures correctives et préventives
- Communiquer pendant et après
Comme toute gestion de crise, la coordination et l’efficacité sont de mise pour assurer la meilleure résolution possible. Mais contrairement à un scénario de PCA/PRA qui lui est normé dans son déclenchement et son déroulement (il peut être testé, documenté en amont etc.), la gestion d’une attaque cyber sera toujours très variable en fonction du contexte (vulnérabilités exploitées, type d’attaque, périmètre touché etc.).
Il est donc primordial que les équipes en charge de la sécurité aient la compétence pour agir, mais aussi que la bonne information remonte au bon moment à l’attention du bon interlocuteur.
L’essor récent des technologies d’intelligence artificielle de type LLM (Large Language Model) permet désormais d’envisager une aide précieuse dans les situations de crise.
Cette assistance peut prendre plusieurs formes :
- Faciliter la demande d’informations : plutôt que de devoir formuler une requête complexe ou de mener des recherches poussées, il suffit de poser une question en langage naturel. Par exemple « Explique-moi les risques de l’attaque Sweet32 ».
- Faciliter l’exploration des signaux : « Identifie-moi les acteurs de cette attaque »
- Faciliter la rédaction des communiqués : « Résume-moi le scénario de l’attaque et le périmètre concerné »
Le terme « Faciliter » est important ici car il faudra toujours veiller à vérifier l’information donnée, et c’est d’ailleurs ici un élément clé de l’intégration de tels systèmes dans la réponse aux incidents : elle ne peut pas être totalement automatisée.
L’intervention d’un personnel compétent reste nécessaire, et le sera encore longtemps. C’est aussi pour cela que des outils d’intelligence artificielle (IA) comme Microsoft Copilot intègrent des mécanismes de correction via des retours utilisateurs directement dans l’outil, qui peut alors améliorer son interprétation des signaux d’entrée. Il se pose aussi la question de la confidentialité, car une IA de type LLM doit se baser sur un jeu de données qui dans le cadre de la sécurité peut comporter des informations très sensibles.
Il est donc capital de veiller à l’isolation des données d’entrainement de l’IA : ce qui sert à améliorer l’IA d’une entreprise ne doit pas être réutilisable par une autre entité externe. Ces données sont pourtant très intéressantes pour améliorer un produit globalement, mais les éditeurs doivent veiller à ne pas franchir ce pas.
CONCLUSION
En conclusion, ces nouveaux outils proposent une approche avec une forte valeur ajoutée et leur intégration dans les outils de réponses aux attaques cyber d’une organisation et à considérer sérieusement. Mais comme tout nouvel outil, et particulièrement dans le cas de l’IA, le contrôle et la maîtrise seront primordiaux avant toute utilisation en situation de crise réelle.