L’intérêt croissant pour l’intelligence artificielle, et notamment le Machine Learning repousse les limites de la sécurité des entreprises : les RSSI disposent désormais d’une boîte à outils complète, permettant d’identifier les modèles comportementaux des utilisateurs et des objets connectés sur un réseau donné. Ces modèles jouent un rôle important dans le renforcement de l’identification et de la détection des menaces.

Le machine learning renforce l’analyse comportementale, parce qu’il peut constamment surveiller et évaluer des millions d’interactions, en établissant une base de référence du comportement « normal » des utilisateurs et en les associant à des acteurs individuels. Il peut alors apprendre à rechercher et à identifier les déviations inhabituelles et les activités potentiellement suspectes qui pourraient signaler une intention malveillante.

Un challenge croissant pour les entreprises

Si la gestion des identités et des accès a toujours représenté un défi, elle a d’abord tourné autour de l’identification des utilisateurs : salariés, visiteurs, partenaires, fournisseurs et prestataires de services. La mobilité et les technologies émergentes ont mis un grain de sable dans l’engrenage : l’identification des objets dans le cloud.
Du fait de la nature du cloud, un bon nombre de ces objets sont éphémères, pouvant exister pendant quelques secondes seulement, un temps légitimes un temps malveillants.

Grâce à l’analyse comportementale, le comportement de chaque utilisateur/objet est identifié et reconnu par le système. Pour les utilisateurs, un nouveau facteur d’authentification est introduit : un mot de passe (quelque chose que vous connaissez), un code PIN à usage unique (affiché sur un équipement que vous possédez), des empreintes digitales (vous-même) et la façon dont l’utilisateur interagit et utilise les systèmes et les données (ce que vous faîtes), sont combinés afin de garantir votre identification. Il en va de même pour les applications et autres objets. Le comportement dans l’application fournit des indices sur les intentions et la légitimité de l’utilisateur. Il devient donc possible de comprendre l’accès aux données, applications et autres objets, de savoir d’où les utilisateurs s’y connectent, comment et ce qu’ils font sur le réseau. Le nombre de clics de souris, la façon dont la souris se déplace et la façon dont les touches d’un clavier sont enfoncées (temps de maintien), tous ces éléments laissent de minuscules indices d’identification.

Un comportement anormal sera donc remonté aux équipes SI, qui détermineront ensuite s’il s’agit d’une véritable menace. Ainsi, si un objet ressemble à une imprimante, mais se comporte comme un développeur, c’est une cause d’alarme. Mais les malwares les plus récents sont souvent conçus pour contourner ces techniques d’identification des menaces. Un stade en matière de cybersécurité est ainsi atteint : les tactiques de défense traditionnelles sont devenues perméables.
C’est là que le Machine Learning peut apporter une valeur ajoutée. Il permet aux systèmes de sécurité d’apprendre à identifier les menaces sans être explicitement programmé pour le faire. Le Machine Learning peut être utilisé pour examiner des ensembles de données, en déduire des modèles de comportement et les mettre en contexte afin d’identifier les traces laissées par des utilisateurs non autorisés.

À partir de données non structurées, le machine learning peut créer des regroupements à partir de ce qui, à première vue, semble n’avoir aucun sens, mais qui pourrait être révélateur d’identificateurs comportementaux : heure de la journée, rôle de l’utilisateur, lieu d’accès, présence ou absence de comportement instable, pics d’activité.

Malheureusement, le manque de personnel qualifié constitue un défi fondamental pour les opérations de sécurité. Même si l’IA et le machine learning permettent d’augmenter l’efficacité et la productivité, et ainsi d’assurer la continuité d’activité, il est nécessaire de disposer d’équipes qualifiées, qui sachent gérer les résultats issus de l’IA et du machine learning.
Ainsi, avant d’introduire un outil, il est nécessaire de l’évaluer en fonction des avantages qu’il apporte à l’entreprise. L’IA est très prometteuse, elle doit être utilisée à bon escient, afin de réduire les coûts d’exploitation, d’améliorer les performances de continuité d’activité ou de créer un avantage concurrentiel.