Insight announcements Utiliser l’IA en cybersécurité pour combattre le feu par le feu
Par Doug Quail / 31 Oct 2024
Les solutions de cybersécurité ont évolué continuellement dans un secteur en perpétuelle transformation.
Cependant, l’IA présente une durabilité notable. Particulièrement parce que les acteurs malintentionnés exploitent de plus en plus cette technologie.
L’IA a une valeur notable en tant que solution de sécurité.
À titre d’exemple, il existait autrefois une solution nommée Security Orchestration, Automation, and Response (SOAR). Elle impliquait la mise en quarantaine d’un système et l’exécution de scripts de correction lors de la détection de logiciels malveillants sur un poste de travail. Cependant, la solution SOAR tend à disparaitre et est progressivement remplacée par l’IA générative.
Dans de nombreuses PME, le personnel informatique prend souvent connaissance d’une attaque survenue pendant le week-end… le lundi matin. À ce moment-là, les dégâts peuvent déjà être considérables. Certaines organisations n’ont pas encore constaté l’importance de l’externalisation de cette fonction, permettant ainsi une surveillance continue des opérations et une réaction rapide aux incidents. L’IA joue un rôle crucial dans cet objectif, en faisant partie intégrante des services de sécurité gérés — MSSP Alert a d’ailleurs classé Insight au 11e rang de sa liste des 250 principaux fournisseurs de services de sécurité gérés de 2024.
Souvent, un comportement anormal peut être un indicateur. Par exemple, si je suis administrateur système et que je ne me connecte habituellement pas le week-end, une connexion effectuée avec mon compte pendant cette période devrait déclencher une alerte. Une enquête immédiate peut ainsi être lancée sans attendre le lundi. Si ce cas d’utilisation est automatisé dans l’environnement des opérations de sécurité, l’IA pourra alors prendre des mesures pour geler le compte concerné et mettre le poste de travail en quarantaine. Ensuite, il informera la personne de garde par courriel.
Cette méthode est plus avancée que simplement suivre un script, car l’IA peut faire des jugements éclairés sur les actions à entreprendre. Il existe également des entreprises qui utilisent l’IA pour automatiser les tests d’infiltration avec des produits conçus pour reproduire le comportement d’un attaquant. Ces simulations suivent les étapes typiques d’une attaque, soit identifier les adresses IP exposées à Internet, vérifier les ports ouverts et déterminer le type d’appareil pour ensuite identifier les vulnérabilités exploitables.
L’intelligence artificielle générative peut aussi assister un analyste du centre des opérations de sécurité (SOC) dans une enquête. Vous pourriez poser à l’agent d’IA sur un poste de travail quelques questions assez ouvertes avec votre voix. Il pourra même parler et répondre. Ainsi, le temps et les efforts nécessaires pour analyser les comportements anormaux au sein de votre environnement sont considérablement réduits.
La course à l’IA
L’IA se distingue des autres solutions qui n’ont pas perdurées. Elle est à l’origine d’un changement généralisé dans notre approche de divers domaines, y compris la sécurité. L’IA offre la possibilité de découvrir des éléments que l’intellect humain pourrait ne pas déceler, que ce soit par l’analyse des données ou par une capacité d’apprentissage plus rapide que celle d’une personne. Les personnes les plus touchées par l’IA - notamment ceux et celles risquant de perdre leur emploi, sont souvent celles qui ne l’adoptent pas. Il en va de même pour les entreprises qui ne tirent pas parti de l’IA pour se protéger contre les cyberattaques automatisées.
Cela ressemble à une course aux armements. Les premiers à utiliser l’IA sont les auteurs de menaces. Il est donc essentiel de répondre adéquatement à cette menace. Nous mettons en œuvre l’IA pour améliorer la détection, la réponse et la remédiation grâce à l’automatisation.
Autre fait remarquable : l’hypertrucage peut faire des choses assez étonnantes en quelques secondes ou quelques minutes. Par exemple, les cadres supérieurs peuvent se faire extorquer avec des images « compromettantes » hypertruquées. Au lieu d’informer la sécurité, ils pourraient craindre que ces images fuient sur Internet, même si ce n’est pas eux sur la photo. Les acteurs malveillants peuvent également utiliser la voix d’un individu pour donner une commande. De nombreux cadres supérieurs, en particulier ceux et celles des entreprises cotées en bourse, laissent des empreintes vocales lors des appels annuels avec les actionnaires. Si vous obtenez un très bon échantillon vocal de la voix de quelqu’un, vous pouvez créer une réplique assez incroyable d’eux.
Il deviendra de plus en plus ardu de distinguer le vrai du faux. Divers algorithmes mathématiques peuvent être appliqués à la reconnaissance vocale. Des institutions, telles que les banques, tentent d'assimiler la cadence, le ton, et la manière dont un individu prononce son nom. Cependant, il est possible d'entraîner une intelligence artificielle pour qu'elle imite efficacement une personne. Nous atteignons un stade où il n'est plus possible de faire des hypothèses, notamment si les individus ne suivent pas les processus commerciaux standards.
Par exemple, si un supérieur appelle et demande d’acheter 10 cartes-cadeaux de 1 000 $ chacune et d’envoyer les codes à un numéro spécifique, cela devrait éveiller des soupçons. Pourtant, il est facile de trouver des exemples de travailleurs qui se font berner. Les gens le font, parce qu’ils pensent que c’est le PDG. C’est d’ailleurs tout naturel de suivre les instructions d’un gestionnaire dans un contexte professionnel. Néanmoins, les demandes inhabituelles doivent toujours être vérifiées. Si une situation semble anormale et qu’il y a une pression ou une urgence accrue exercée par la personne qui fait la demande, cela doit être interprété comme un signal d’alerte.
Adopter une approche hybride de la cybersécurité
Les statistiques montrent que 90 % des violations de données commencent par l’hameçonnage. Par exemple, un cabinet d’avocats client d’Insight a subi une attaque par hameçonnage qui a introduit un rançongiciel dans son environnement et compromis environ 700 appareils. Avec l’aide d’Insight, qui vient d’être nommé partenaire de l’année 2024 de Cisco au Canada dans la catégorie défense et protection, le client a retrouvé des fonctionnalités commerciales sans avoir à payer la rançon de plusieurs millions de dollars. Donc, les rançongiciels sont toujours un gros problème. Nous voyons des incidents sur une base hebdomadaire. S’aligner avec un fournisseur de réseau et de sécurité qui reste à jour et tire parti des mises à jour de la communauté est toujours une bonne stratégie.
L’hameçonnage est une forme d’ingénierie sociale où des individus malveillants essaient de vous convaincre de répondre à leurs sollicitations. Ils ne cherchent pas seulement à vous inciter à cliquer sur un lien malveillant pour récolter vos identifiants sur un site Web. Je pense que cela va amener les victimes à faire de plus en plus d’autres choses. Pour se protéger :
- Utiliser des solutions comme l’authentification multifacteur,
- S’assurer que les processus sont en place et suivis.
Cela peut sembler assez peu technologique, mais il est important d’éduquer les employés sur ces sujets et de leur indiquer qu’ils ne doivent pas être gênés si cela leur arrive. Ils devraient contacter les bonnes personnes pour obtenir de l’aide. C’est le travail de ces gens d’aider… et d’aider l’entreprise par la même occasion.
Si vous avez cliqué sur un lien ou un exécutable suspect sur votre ordinateur portable et qu’il a déclenché quelque chose à laquelle vous ne vous attendiez pas, vous appellerez probablement les TI. Ils vont mettre l’appareil en quarantaine, et pourraient éventuellement vous fournir un nouvel ordinateur portable, mais ce n’est qu’un incident de cybersécurité. C’est ainsi que les gens doivent regarder l’IA générative et les hypertrucages. Nous assisterons à de plus en plus de choses de ce genre. Pour traiter correctement ces cas d’utilisation, il faut sensibiliser et mettre en place des processus avec l’IA.
En assurance cyberresponsable, la barre est de plus en plus haute. Avoir un simple antivirus ne suffit pas; une protection avancée des terminaux ou des capacités de détection et de réponse étendues (XDR) sont nécessaires pour identifier automatiquement les comportements anormaux de l’utilisateur final, isoler les appareils et corréler les environnements. Sans cela, il sera difficile d’obtenir une assurance et vous risquez davantage de subir une attaque. Face à des attaques de plus en plus sophistiquées, les organisations doivent s’adapter et être mieux préparées pour tout ce qui va suivre dans le monde en constante évolution de la cybersécurité.
Doug Quail
Architecte principal de la sécurité, Insight Canada
Doug est un leader en informatique chevronné, fort de plus de trente ans d’expérience en conseil de gestion, développement de stratégies, architecture d’entreprise, cybersécurité et opérations informatiques. Il excelle dans l’architecture de solutions et la réalisation de projets dans divers secteurs tels que l’énergie, les services publics, les télécommunications et le secteur public.
