Les experts en sécurité exhortent les cyber-leaders à faire évoluer leurs opérations d’une surveillance réactive vers une protection autonome en temps réel.
Le métier de la cybersécurité est à l’aube d’un changement radical et les professionnels de la sécurité doivent commencer à maîtriser les outils d’IA pour lutter contre les menaces émergentes en créant des protections plus autonomes et en temps réel.
Les panélistes d’experts lors d’une récente session de conférence DTX à Manchester, intitulée « Bot vs Bot : survivre à l’ère de la cyberguerre autonome », ont souligné comment intégrer l’IA dans la pile de sécurité sans affaiblir les fondamentaux de la sécurité est devenu essentiel pour un centre d’opérations de sécurité (SOC). Ils ont également souligné l’importance de maintenir une surveillance humaine sur ces systèmes.
Bien que puissantes, les technologies d’IA ne sont pas une panacée pour les architectures de sécurité d’entreprise immatures, et elles ne peuvent être appliquées avec succès qu’une fois que les principes fondamentaux de la cyberdéfense sont bien couverts, ont soutenu plusieurs panélistes praticiens de la sécurité. Cette couche fondamentale, ont-ils déclaré, comprend le renforcement du système, les correctifs, le contrôle d’accès, la surveillance, etc.
Darren Kimuli, responsable de la sécurité de l’information chez la société de réassurance Canopius Group, a déclaré aux délégués que les déploiements d’IA doivent répondre aux attentes de l’entreprise, y compris la manière dont une organisation respecte ses obligations réglementaires.
« Je suis plus préoccupé par la pertinence de l’IA que par ce qu’elle remplace », a déclaré Kimuli.
Changer de rôle
Divine Uzodinma, analyste en cybersécurité chez Radius, fournisseur de services gérés et de télécommunications, a déclaré que les systèmes d’IA aident les analystes en sécurité à corréler et à trier les journaux de sécurité, une tâche traditionnellement exigeante en main-d’œuvre.
« L’IA peut analyser et corréler les journaux et trier les alertes pendant que les analystes poursuivent leur enquête », a déclaré Uzodinma.
Muhammad Khan, responsable de la cybersécurité chez Bridgewater Finance Group, a ajouté que les outils de sécurité basés sur l’IA minimisent la fatigue des alertes – un problème récurrent dans le secteur et l’une des principales causes d’épuisement professionnel du personnel.
L’utilisation plus répandue des systèmes d’IA signifie que le rôle des analystes de sécurité a évolué au-delà de la surveillance et de la réponse à la « validation des entrées » et à l’évaluation du risque d’hallucination des modèles d’IA.
Selon le cabinet de conseil en cybersécurité Secarma, les entreprises doivent tester la résilience des systèmes de sécurité basés sur l’IA contre les voies d’attaque modernes, telles que celles menées contre les applications et le cloud, ainsi que contre l’accès des fournisseurs et le phishing.
George Rees, consultant senior en cybersécurité chez Secarma, a noté que l’IA redéfinit déjà les cyberrègles dans des domaines tels que la gestion des risques et la résilience.
Le champ de bataille du cyberespace redessiné
Le panel de la conférence DTX a également discuté de la manière dont les outils d’attaque autonomes changent le paysage des menaces.
L’environnement des menaces d’entreprise évolue vers un champ de bataille machine contre machine, ce qui signifie que les RSSI et autres professionnels de la sécurité doivent conduire le changement au sein de leur organisation, sinon ils risquent d’être désespérément débordés par des adversaires qui utilisent davantage les technologies d’IA pour monter des attaques.
De plus, il faut clarifier les rôles et la surveillance des cyber-équipes lorsque l’automatisation est utilisée pour prendre des décisions.
Les rôles des cyber-professionnels doivent être redéfinis pour garantir que les humains peuvent interpréter et superviser les décisions de sécurité de manière autonome, selon les panélistes.
Ces rôles changeants signifient que des compétences telles que l’ingénierie rapide et l’analyse des risques deviennent de plus en plus importantes pour les professionnels de la sécurité et les responsables du recrutement, selon Rees.
« L’IA crée des opportunités pour davantage d’embauches GRC (gouvernance, risque et conformité) » car l’ensemble des compétences est bien adapté au nouvel environnement de menace, a ajouté Rees.
Rees a comparé l’ampleur et le rythme du changement annoncé par l’IA à la période des années 1970 et 1980, lorsque les entreprises sont passées de la dépendance aux machines à écrire à la gestion d’une entreprise utilisant des ordinateurs.
La discussion tombait à point nommé, car les entreprises sont de plus en plus confrontées à des opérations de reconnaissance, de phishing et de développement de logiciels malveillants accélérées par l’IA plutôt qu’à des attaques purement humaines.
Les leçons de la guerre de Microsoft contre les fraudeurs
« Les premiers utilisateurs – en général – ont l’avantage », a déclaré Bissell.
Ici, selon Bissell, les attaquants en matière de cybersécurité prennent le dessus car ils peuvent ignorer les règles et réglementations telles que les lois sur la protection de la vie privée, mais les défenseurs peuvent récupérer un avantage sur d’autres fronts.
« En raison de l’ampleur des données que nous traitons chez Microsoft, nous pourrions utiliser des techniques d’apprentissage automatique pour identifier les tendances comportementales », a expliqué Bissell.
Par exemple, Microsoft a développé un réseau neuronal capable d’identifier les domaines typosquattés créés avant les attaques d’usurpation d’identité avec des taux de faux positifs très faibles. « Notre mission était de faire pression sur les gangs de robots » et de contrecarrer leurs activités, a déclaré Bissell.
Selon Bissell, les RSSI appartiennent à l’un des trois camps suivants : praticiens axés sur la conformité, axés sur les packages ou praticiens d’élite.
« Les praticiens d’élite adoreront utiliser l’IA pour améliorer leurs opérations », a déclaré Bissell, ajoutant que les technologies d’IA devraient être introduites via un processus similaire à un cycle de vie de développement logiciel avec des tests d’intrusion approfondis et des garde-fous avant d’être laissées à proximité des systèmes de production.
