Nous suivre Industrie Techno

L'IA, un allié pour détecter les intrusions en cybersécurité

Kevin Poireault

Sujets relatifs :

L'IA, un allié pour détecter les intrusions en cybersécurité

© © Ecole polytechnique

L'éditeur français de logiciels ITrust a invité des professionnels de la cybersécurité en entreprise pour leur montrer l'intérêt de l'intelligence artificielle dans la détection des cyberisques. Et leur présenter Reveelium, son outil d'analyse comportementale à destination des systèmes d'information.

Pour détecter les cybermenaces qui pèsent sur les entreprises, les spécialistes en cybersécurité doivent analyser des volumes de données considérables. Plusieurs dizaines de gigaoctets par jour, estime Thomas Anglade, data scientist chez ITrust, éditeur de logiciels, lors d’une rencontre professionnelle organisée le 2 juillet dans ses locaux d’Issy-les-Moulineaux. Afin d'identifier les informations pertinentes, les data scientists s’appuient de plus en plus sur l’intelligence artificielle.

En analysant les logs, c’est-à-dire l’ensemble des informations recueillies à un point précis du réseau de l’entreprise, des algorithmes statistiques « identifient des enchaînements d’événements et les qualifient de normaux ou d’anormaux », explique Thomas Anglade. Ils alertent ensuite le centre de sécurité de l’entreprise (SOC) quand des comportements jugés anormaux dans le passé se reproduisent ou quand de nouveaux comportements jamais analysés apparaissent. Ce processus d’analyse continu des actions effectuées au sein du réseau est désigné sous l’acronyme UEBA (user and entity behavior analytics).

Théorie des graphes et signature réseau

Pour illustrer les modes d’action de l’IA, Thomas Anglade a détaillé deux types d’algorithmes UEBA, utilisés dans le moteur d’analyse comportementale Reveelium d'ITrust. Cette brique logicielle permet de détecter les signaux faibles et les anomalies au sein des systèmes d’information.

Le premier s’appuie sur la théorie mathématique des graphes pour synthétiser l’ensemble des communications utilisateurs et machines intervenant sur le réseau d’une entreprise. Le résultat est une représentation abstraite, sous la forme d’un objet mathématique, qui fait office de « photographie » du réseau sur une période de trois à cinq minutes. L’outil repose sur un apprentissage de type machine learning et s’enrichit au fur et à mesure. Une fois ce travail de catégorisation effectué, les data scientists sont capables de prévenir le SOC de l'entreprise si, « à tel moment, un graphe est trop différent de ce qui a été observé auparavant ou de ce que l'on est censé observer à cette période-là », explique Thomas Anglade.

Le deuxième type d'algorithme, lui, se focalise sur chaque utilisateur, quel que soit son rôle dans l'entreprise. « Au fur et à mesure de la journée, une personne communique via plein de protocoles différents : HTTP, HTTPS, SSH, DNS… », rappelle le data scientist. En compilant ces informations, le programme et les équipes de data scientists déterminent une « signature réseau » unique pour chaque utilisateur d'une entreprise. « Un administrateur système n'a pas le même profil de communication qu'une personne qui fait du marketing, par exemple » pointe Thomas Anglade. Une représentation visuelle de l’évolution du volume de communication, sur neuf protocoles, est ainsi transmise toutes les cinq minutes à un algorithme pour qu'il apprenne la signature de chaque personne. « Une fois qu'il est capable, avec une très bonne probabilité, d'identifier une personne au vu de ses communications, on lui donne tous les jours une photo des communications de chacun. En cas de doute sur l’identité d’une personne, on alerte d’une anomalie. »

Si peu d’entreprises ont à ce jour fait l’acquisition de tels algorithmes, Thomas Anglade reste confiant quant à leur généralisation, notamment avec l'arrivée des objets connectés dans l’industrie. « Comme ils ont des standards de fonctionnement bien définis, ils vont bien se prêter à l'apprentissage machine car on va très facilement pouvoir apprendre leur comportement et dire quand il est déviant. »

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

Les 5 meilleurs cas d’usages de l’intelligence artificielle en cybersécurité selon Capgemini

Les 5 meilleurs cas d’usages de l’intelligence artificielle en cybersécurité selon Capgemini

L'intelligence artificielle a vocation à aider les entreprises à assurer leur cyber-défense par ses capacités à[…]

Drone anti-incendie, cybersécurité, nanosatellites… les meilleures innovations de la semaine

Drone anti-incendie, cybersécurité, nanosatellites… les meilleures innovations de la semaine

3 leçons à retenir pour préparer son entreprise aux cybermenaces

3 leçons à retenir pour préparer son entreprise aux cybermenaces

Cybersécurité : les logiciels de détection d'attaque EDR au coeur du partenariat entre Eset et Thales

Cybersécurité : les logiciels de détection d'attaque EDR au coeur du partenariat entre Eset et Thales

Plus d'articles