En 2021, plus d'une entreprise française sur deux a subi au moins une cyberattaque, d'après le Baromètre publié par le Club des experts de la sécurité de l'information et du numérique (Cesin). Face à la menace, l'éditeur de logiciel CUSTOCY a développé sa solution Network Detection & Response. Elle regroupe plusieurs IA appliquées à la cybersécurité et à la détection d'intrus sur le réseau. Explications avec Sébastien Sivignon (directeur général) et William Ritchie (directeur technique) de CUSTOCY.

Qu'est-ce qui vous a poussé à développer une solution qui détecte les intrusions au sein des réseaux ?

Sébastien Sivignon : Quand un hôpital, une collectivité ou une entreprise se fait attaquer, en réalité, l'infection initiale n'est pas récente. Une attaque rapportée n'en est que le résultat visible, mais elle s'est produite plusieurs semaines, voire plusieurs mois avant. D'après IBM Security, il se passe 212 jours entre l'intrusion initiale, l'infection de l'organisation et le résultat observable. Pendant ce temps, le cyber-malfaisant se balade dans le réseau de l'entreprise, notamment pour trouver où sont stockées les données.

La force de CUSTOCY est de détecter ces mouvements à l'intérieur du réseau, pour repérer le cyber-malfaisant et le mettre hors d'état de nuire. Un travail possible grâce à 30 % de docteurs et doctorants qui, chaque jour, ajoutent de l'intelligence artificielle à notre solution NDR (Network Detection & Response). Notre cible concerne par ailleurs les ETI et les grands groupes. CUSTOCY s'étend pour le moment en France et en Europe, mais nous espérons atteindre les États-Unis, qui représentent 60 % du marché.

En quoi l'intelligence artificielle contre-t-elle les cyberattaques ?

William Ritchie : Si auparavant, les attaques étaient le fait d'experts techniques, elles sont désormais à la portée de tous. Des attaques complexes s'achètent à moindre prix sur le Dark web, et les cyber-malfaisants savent comment contourner des protections telles que les pare-feux. Il suffit d'une faille de sécurité d'un seul logiciel pour pénétrer dans le système entier. L'IA est efficace, car sans elle, impossible de détecter les attaques Zero Day (les nouvelles attaques). Nos IA apprennent de leur observation de comportements malveillants et s'adaptent, si bien qu'elles ne peuvent pas être contournées.

S.S : Il existe une grosse polarisation du marché autour de la protection des terminaux. Elle passe par les logiciels EDR (Endpoint Detection and Response). Auparavant, il était commun de penser que c'était suffisant pour préserver les données et le bon fonctionnement d'une organisation. Toutefois, les récentes attaques sur de gros acteurs et sur le tissu industriel ont prouvé que ce n'est pas suffisant. Les attaques sophistiquées et persistantes passent forcément par le réseau à un moment ou un autre. La détection au sein même du réseau est donc indispensable.

D'ordinaire, comment sont-elles appréhendées ?

W.R : Deux grandes tendances se détachent en matière de cybersécurité. D'une part, il y a les acteurs qui ont recours aux modèles supervisés, avec des données étiquetées (trafic malveillant ou trafic normal). Dans ce cas, il faut apprendre à une IA ce qui est normal, et ce qui ne l'est pas. Une intervention humaine est donc nécessaire.

D'autre part, il y a la détection d'anomalies, qui caractérise déjà tout ce qui est normal ou non. Elle n'a pas besoin d'être supervisée par quelqu'un : le trafic se présente sous la forme de gros nuages de points, et si l'un d'eux apparaît à l'extérieur de ce nuage, alors ce phénomène est considéré comme anormal. L'IA dira qu'il s'agit possiblement d'une attaque.

Les méthodes supervisées ont toujours été décriées, car elles ne permettent pas de détecter les attaques Zero Day. En effet, il est impossible d'entraîner une IA sur ce qui est déjà connu, et d'identifier ce qui n'est pas encore connu. Ce problème peut être réglé grâce au détecteur d'anomalies.

Comment en êtes-vous arrivés au modèle de cybersécurité de CUSTOCY ?

W.R. : Nous empruntons quelques traits au modèle supervisé, tout en entraînant nos IA sur ce que nous connaissons déjà des attaques. Nous les laissons également apprendre le comportement normal d'un réseau. Notre originalité, c'est bien le mélange de 13 IA, empilées les unes sur les autres (staking), qui rend la détection d'anomalies extrêmement efficace.

S.S : CUSTOCY repose sur une sonde réseau ! À vrai dire, nous plaçons une ou plusieurs sonde(s) à l'intérieur du réseau, en fonction de l'architecture du client. Cette sonde duplique le trafic réseau et envoie ses métadonnées dans le Cloud, où se trouve notre plateforme d'intelligence artificielle. Elle prend ensuite le relais pour détecter les phénomènes anormaux dans le réseau, et les caractériser comme des menaces ou des attaques potentielles.

W.R : Chaque IA travaille à une échelle de temps spécifique. Par exemple, une IA observe les temps d'arrivée des paquets (à la milliseconde), et une autre observe les flux réseau (comme pat exemple le protocole utilisé ou la durée totale d'un échange). Cette analyse est ensuite dézoomée pour obtenir des échelles à l'heure ou à la semaine. Des comportements peuvent même être observés sur un mois entier ! Un maître de l'IA (le "Metalearner"), pioche des informations pour analyser le comportement dans la milliseconde ou à la semaine, et ainsi prendre une décision.

Votre solution est donc aussi pensée pour soulager les analystes de sécurité...

S.S : Notre but est bien d'essayer de leur simplifier la vie. Être analyste en cybersécurité est un métier très engageant, puisqu'ils défendent les actifs numériques des sociétés. Il est difficile, pour un seul individu, de corréler des éléments survenus sur un réseau à des moments différents pour comprendre qu'il s'agit d'une vraie attaque. De plus, ils se sentent dépassés par la volumétrie et la sophistication des cyberattaques. Notre aide est donc la bienvenue, dans un contexte où ils sont victimes de burn-out et où leur marché, très tendu, connaît un turn-over de 30 %.

De plus, n'oublions pas que le besoin global en ressources de cybersécurité aura doublé d'ici 2025. Donc la moitié des analystes seront de jeunes débutants d'ici là. CUSTOCY entend donc leur apporter un support avec des IA explicables et une interface intuitive, pour les aider à évoluer, à se former dans ce monde en constant changement.

W.R : L'IA gère autant d'actions que possible. Au lieu de laisser de multiples alertes apparaître à la suite sur l'interface (pour des courbes de trafic, pour informer du type de protocole généré...), c'est à l'IA d'observer les comportements et de prendre une décision. Elle alerte seulement l'utilisateur en cas de traces significatives d'attaques. Ainsi, l'interface n'est pas inondée de spams. Quand une attaque est avérée, l'information est condensée : il suffit de cliquer dessus pour découvrir le déroulé de l'attaque, voir comment les IA ont fonctionné, et pourquoi elles ont pris leur décision.

Comment CUSTOCY est-elle amenée à évoluer ?

S.S : Nous avons intégré un programme de six mois proposé par l'accélérateur suisse Tech4Trust, spécialisé dans la cybersécurité. L'objectif : rencontrer des investisseurs et des sociétés avec qui réaliser des tests, et changer d'échelle rapidement en s'ouvrant à d'autres marchés et d'autres pays.

Nous avançons en effet en gardant en tête notre principal concurrent qui lui, est américain. Nous avons toutefois un avantage : notre approche de l'IA s'attaque aux points faibles de leur méthode, qui a tendance à générer beaucoup de faux positifs. Or, comme nous l'avons dit plus haut, CUSTOCY additionne plusieurs IA complexes, ce qui est la meilleure solution pour éviter ce problème et réduire la charge cognitive chez les analystes de sécurité.

1 / Lien de l'étude menée par IBM Security : https://www.ibm.com/reports/data-breach