L'IA, arme fatale contre les cyberattaques massives

par Cyril Altmeyer

PARIS (Reuters) - Les spécialistes français de la cybersécurité comme Thales et Capgemini comptent sur l'intelligence artificielle (IA) pour contrer les cyberattaques inédites, renforçant la protection face aux offensives massives de hackers, ont déclaré à Reuters des responsables du secteur.

Après l'électrochoc créé par les attaques retentissantes WannaCry ou NotPetya en 2017, les acteurs du secteur constatent une prise de conscience plus nette des entreprises et des administrations sur la nécessité d'une protection adéquate, avec l'aide du big data pour traquer les signaux faibles sur les réseaux.

Cette année, l'application de la GDPR ("General Data Protection Regulation") en Europe devrait soutenir la tendance, ainsi que la loi de programmation militaire (LPM) 2019-2015 en France, qui visera à renforcer la protection des opérateurs d'infrastructures vitales (OIV) comme EDF ou la SNCF.

"Le concept de 'je vais mettre une protection qui va résister contre tout', cela n'existe plus. On ferme les fenêtres et les volets, la porte d'entrée, et si cela ne suffit pas et qu'il y a une attaque, on est au courant et on réagit", résume Franck Greverie, responsable cloud et cybersécurité chez Capgemini.

Selon la Commission européenne, l'impact économique de la cybercriminalité dans l'UE a été multiplié par cinq entre 2013 et 2017 et pourrait encore quadrupler d'ici 2019. Europol chiffre ces pertes à 265 milliards d'euros par an.

UNE COMMUNICATION SUSPECTE PARMI DES MILLIARDS

Au coeur de la croissance attendue du marché, les centres opérationnels de cybersécurité (SOC) jouent à la fois le rôle de pompiers et de policiers, l'utilisation exponentielle d'internet augmentant les cibles potentielles pour de l'espionnage, du sabotage ou de l'extorsion de fonds via des "ramsonwares" comme WannaCry ou NotPetya.

Mais il est très difficile pour une entreprise de se protéger sur tous les fronts et de retrouver au milieu de milliards d'échanges la communication correspondant à une attaque pouvant durer une seconde ou six mois, soulignent des spécialistes.

"Dans ces conditions, il n'est tout simplement plus possible de demander à un humain de réaliser lui-même la tâche de détection en temps réel", souligne Christophe Jolly, responsable de l'américain Vectra Networks en France.

Identifier par déduction une telle masse d'événements anormaux potentiels est en revanche à la portée des outils utilisant l'intelligence artificielle. Une fois le tri effectué, l'humain peut analyser l'attaque et prendre une décision.

"Le défi n'est pas tellement de savoir détecter en soit les nouveaux types d'attaques mais de le faire vite", observe Thierry Mennesson, consultant au cabinet Oliver Wyman.

L'intelligence artificielle permet aussi de contrer des attaques inconnues ("Zero Day" en anglais), qui vont forcément exploser, avec la multiplication des applications, des systèmes, des machines et des objets connectés, de la montre à la voiture, qui entraîne une prolifération des vulnérabilités.

Car une fois passée l'attaque initiale, les hackers utilisent souvent des modes opératoires similaires, quel que soit l'objet : un scanner pour bloquer un hôpital et un PC chez un fournisseur d'électricité pour accéder aux mécanismes de production d'énergie.

Les cyberattaques de 2017, dont l'une a touché le groupe de matériaux de construction Saint-Gobain, ont sensibilisé les entreprises à la nécessité de surveiller les réseaux, sachant qu'une intrusion est détectée en moyenne au bout de 204 jours, souligne Théo Vrangos, président et cofondateur d'i-Tracing, spécialiste français de la cybersécurité.

Si les grandes entreprises ont les moyens de limiter les dégâts des cyberattaques, les plus petites peuvent devenir des cibles, d'autant plus que pour être efficace leur protection doit à la fois concerner les infrastructures, les applications, les terminaux, les données et la gestion des identités et des accès, estime Franck Greverie, de Capgemini.

"C'est le contraire de la ligne Maginot", résume Marc Darmon, directeur général adjoint systèmes d'information et de communication sécurisés chez Thales.

LA VULNÉRABILITÉ DES ORDINATEURS ANCIENS

Mais même une grande entreprise bien protégée peut avoir un sous-traitant vulnérable, souligne le général Marc Watin-Augouard, directeur du centre de recherche de l'Ecole des officiers de la gendarmerie nationale (CREOGN).

"Cela peut être le maillon faible des grandes entreprises", souligne le général, cofondateur du Forum international de cybersécurité (FIC), dont la dixième édition aura lieu les 23 et 24 janvier à Lille.

Après les entreprises du SBF 120 et du CAC 40, ce sont désormais de grosses PME, des centres de recherche, des ETI, des hôpitaux, des fédérations sportives ou des collectivités locales qui lancent des appels d'offres pour des centres opérationnels de sécurité (SOC), a constaté i-Tracing.

Mais chez certains groupes industriels, des machines conçues à une époque où les entreprises n'étaient pas connectées se retrouvent intégrées dans des systèmes informatiques sans avoir été mises à jour régulièrement et peuvent présenter ainsi des vulnérabilités très anciennes.

Leur protection est donc difficile à garantir, alors même que certaines d'entre elles peuvent avoir un rôle central dans l'entreprise, voire piloter des processus très sensibles ou critiques, souligne Christophe Jolly (Vectra Networks).

"Beaucoup d'entre nous avons des objets connectés dont on a oublié qu'ils étaient connectés", souligne aussi Thierry Mennesson, chez Oliver Wyman, citant l'exemple d'une TV téléchargeant régulièrement des mises à jour en wifi.

Il est donc primordial de protéger les équipements traditionnels parallèlement aux objets connectés innovants, comme les drones, soulignent les spécialistes.

La digitalisation des usines va faire aussi tomber les barrières entre les groupes de la technologie et ceux de l'industrie.

L'équipementier Thales, qui se présentait comme un groupe de la Silicon Valley avant même de faire une offre en décembre sur le spécialiste de la sécurité numérique Gemalto, a mis en place un système de veille des réseaux sociaux permettant d'analyser les tweets, notamment pour repérer des signes avant-coureurs de cyberattaques.

C'est de l'analyse prédictive : des tests de vulnérabilité peuvent être menés dans une gare, un aéroport ou un système de transport urbain par exemple, permettant d'anticiper les risques de cybersécurité avant même qu'ils ne surviennent.

(Edité par Dominique Rodriguez)