Avis d’expert : Comment l’Intelligence Artificielle améliore t’elle les pratiques cybersécurité des entreprises ?

Avis d’expert : Comment l’Intelligence Artificielle améliore t’elle les pratiques cybersécurité des entreprises ?

La problématique de la cybersécurité aujourd’hui

Aujourd’hui les besoins en termes de sécurité sont partout et les attaques de plus en plus sophistiquées. Il faut donc sans cesse innover en matière de défense contre la cybercriminalité.

En effet, de nombreux constructeurs ne manquent pas de créativité et de réactivité pour adapter/développer des dispositifs de protection ou de surveillance efficaces contre les nouvelles attaques qui émergent chaque jour.

De ce fait nous retrouvons, dans certaines entreprises, une multiplication des dispositifs. Ils sont parfois imbriqués en cascade, parfois répartis dans des zones réseaux distinctes, et souvent assurent des rôles tellement spécifiques qu’ils en viennent à être redondants. On pourrait penser que cette complexité est nécessaire pour apporter aux entreprises une sérénité face aux menaces, mais c’est beaucoup plus compliqué que cela.

Mon avis en tant qu’architecte cybersécurité

Étant architecte en cybersécurité depuis quelques années avec une spécialisation sur les sujets relatifs aux SIEMs, j’ai été témoin d’un grand nombre de ces scénarios, quelques fois bien pensés, mais trop souvent mal gérés.

Ce qu’il faut comprendre c’est qu’implémenter des bribes de sécurité sur le réseau, le mail, la navigation internet, le chiffrement (des fichiers/des mails), les sauvegardes, les appareils mobiles, la gestion des accès, des privilèges, etc. complexifie la gestion par les équipes opérationnelles.

Effectivement, tous ces équipements qui peuvent avoir des champs d’action différents (de l’alerte jusqu’au blocage) doivent être centralisés afin de pouvoir agréger les données des uns et des autres. Cette intégration est déjà très couteuse en termes de temps, car il y a très peu de standards, mais cela ne s’arrête pas là. Une fois que nous avons réussi à intégrer tous ces dispositifs, il faut construire une équipe opérationnelle qui va assurer le suivi des équipements, mais aussi, dans le cadre du SIEM, toute l’analyse des détections qui sont remontées. Celles-ci sont parfois avérées, mais bien souvent de l’ordre du « faux positif ».

Cela étant dit, je ne conclus pas que les investissements qu’ont pu faire certaines entreprises ont été faits en vain et qu’un produit miracle viendra un jour tout remplacer. À une époque où tout objet se retrouve connecté, il faut pouvoir surveiller tous les flux entrants comme sortants, en tout point du réseau, mais surtout en temps réel et avec le minimum de ressource.

L’intelligence Artificielle, une/la solution

Chaque entreprise a des besoins précis en termes de sécurité, il est donc très compliqué pour les éditeurs de s’adapter et répondre à tous les besoins spécifiques possibles du marché.

En tant que société spécialisée dans le conseil en cybersécurité, nous avons construit une matrice pour accompagner nos clients de la manière la plus efficace possible. Nous y avons intégré les technologies les plus novatrices du moment en formant de vrais partenariats, basés sur une véritable ambition d’accompagnement dans l’optimisation de la protection de nos clients.

Les solutions d’Intelligence Artificielle, en plus de répondre à toutes les problématiques citées précédemment, permettent de faire de l’analyse comportementale et d’apprendre automatiquement, avant que les attaques puissent évoluer pour contourner votre sécurité. Nous pourrions comparer les solutions d’Intelligence Artificielle à un système immunitaire mis à l’épreuve de toutes sortes de virus connus et inconnus. En quelque sorte, intégrer de l’IA dans son SI reviendrait à le doter de la faculté de s’adapter à chaque situation et ce à n’importe quel moment de la journée et de la nuit.

En effet, aujourd’hui, et malgré toutes les sécurités que l’on peut mettre en place au sein de son système d’information, 2 risques majeurs persistent :

Quelques cas d’usage de l’Intelligence Artificielle en cybersécurité

Il n’y a pas de solution de cybersécurité miracle, c’est la raison pour laquelle je vous propose d’étudier ensemble comment notre partenaire Darktrace opère avec des cas d’usage précis, plutôt que de vous exposer des caractéristiques techniques :

Mauvaise configuration cloud

Une entreprise de services financiers hébergeait un certain nombre de serveurs critiques sur des machines virtuelles dans le cloud. Certaines étaient destinées à être accessibles au public, d’autres non. Lors de la configuration initiale des accès au cloud, l’équipe IT a par erreur laissé un serveur important exposé à Internet alors qu’il était censé être isolé derrière un pare-feu.

Alors que l’équipe de sécurité n’était absolument pas consciente de la mauvaise configuration, le serveur exposé a finalement été découvert et ciblé par des cybercriminels qui scrutaient Internet via Shodan. En l’espace de quelques secondes, l’IA de Darktrace a détecté que le dispositif recevait un nombre inhabituel de tentatives de connexion entrantes provenant d’un large éventail de sources externes rares et a alerté l’équipe de sécurité de la menace.

Menace Interne

Un ingénieur DevOps junior dans une organisation multinationale dont le travail est réparti entre AWS et Azure, utilisait des systèmes conteneurisés comme Docker et Kubernetes. L’ingénieur a accidentellement téléchargé une mise à jour qui incluait un mineur de crypto, ce qui a conduit à une infection sur plusieurs systèmes de production. Après l’infection initiale, le malware a commencé à émettre des signaux vers un serveur de C&C (Command and Control), ce qui a été immédiatement détecté par Darktrace. Une fois la connexion externe établie et les instructions de la mission d’attaque données, l’infection par le crypto-malware a pu se propager rapidement à travers l’infrastructure de l’organisation à la vitesse d’une machine, infectant 20 serveurs en moins de 5 secondes.

Grâce à l’intelligence artificielle et à l’intervention de l’équipe de sécurité, l’attaque a été contenue en quelques minutes, plutôt qu’en quelques heures ou jours.

Cryptominage

La Blockchain et les cryptomonnaies font régulièrement la une des informations ou des actualités cyber. Il faut savoir que l’IA est une ressource particulièrement efficace dans ce domaine.

En effet nous avons vu récemment des interventions de Cyber IA ayant découvert et contrecarré des centaines d’attaques où des appareils étaient infectés par des logiciels malveillants de crypto-minage, notamment :

Encore l’année dernière, Darktrace a détecté une activité anormale de crypto-minage sur un système d’entreprise. Après enquête, l’organisation en question a retracé l’activité anormale jusqu’à l’un de ses entrepôts, où elle a trouvé ce qui semblait être de banales boîtes en carton posées sur une étagère. L’ouverture de ces boîtes a révélé une ferme de crypto-monnaies déguisée, fonctionnant sur l’alimentation du réseau de l’entreprise.

Ferme de minage de cryptomonnaies détectée par l'intelligence artificielle de Darktrace
Ferme de minage de cryptomonnaies détectée par l’intelligence artificielle de Darktrace

Ferme de minage de cryptomonnaies détectée par l’Intelligence Artificielle de Darktrace

Attaque RDP (Protocole de Bureau à Distance)

Le commerce de la cybercriminalité a explosé ces dernières années, ce qui complique encore les choses. Il existe désormais des modèles d’abonnement et de location facilement accessibles sur le dark web pour toute une série d’activités illégales allant du Ransomware-as-a-Service aux ventes aux enchères de données privées. Par conséquent, il est de plus en plus courant pour les attaquants d’infecter des serveurs et de vendre l’utilisation de ces bots en ligne. Les services DDoS à louer offrent l’accès à des botnets pour seulement 20 dollars de l’heure. En fait, certains de ces kits sont même légaux et se présentent comme des « IP stressers » ou des « booters », qui peuvent être utilisés légitimement pour tester la résilience d’un site web, mais qui sont souvent exploités et utilisés pour démolir des sites et des réseaux.

RDP Attack timeline detection by Artificial Intelligence
RDP Attack timeline detection by Artificial Intelligence

Chronologie d’une attaque RDP (Remote Desktop Protocol) automatisée

Dans une entreprise technologique comptant environ 500 appareils sur son réseau, un serveur RDP (Remote Desktop Protocol) accessible depuis Internet et hébergeant un site de jeux en ligne a récemment été compromis. L’attaquant a utilisé une attaque de type « brute force » pour identifier le mot de passe et obtenir un accès à distance au bureau. C’est à ce moment-là que l’IA cybernétique de Darktrace a commencé à détecter des connexions RDP administratives inhabituelles provenant de rares sites externes. Dans ce cas, l’acteur de la menace prévoyait probablement d’utiliser le serveur exposé comme point de pivot pour infecter d’autres dispositifs internes et externes, éventuellement pour créer un botnet à louer ou exfiltrer des informations sensibles.

La rapidité du mouvement et l’absence d’exfiltration de données dans cet incident suggèrent que l’attaque a été automatisée, probablement à l’aide d’outils de création de botnet. L’utilisation de l’automatisation pour accélérer et masquer la violation aurait pu avoir de graves conséquences si Darktrace n’avait pas alerté l’équipe de sécurité dès les premières étapes.

Les attaques contre les serveurs RDP tournés vers l’Internet restent l’un des vecteurs d’infection initiale les plus courants. Avec l’essor des services d’analyse automatisés et des outils malveillants de type botnet, la facilité de compromission s’est accrue. Ce n’est qu’une question de temps avant que les serveurs exposés ne soient exploités. En outre, les attaques fortement automatisées sont en cours en permanence et peuvent se propager rapidement dans l’organisation. Dans ce cas, il est vital que les équipes de sécurité soient informées le plus rapidement possible des activités malveillantes sur les appareils.

Découvrez en plus sur les applications de l’Intelligence Artificielle en cybersécurité

Pour en apprendre plus sur les manières dont l’Intelligence Artificielle peut soutenir vos pratiques cybersécurité et pour approfondir ces cas d’usages concrets avec une démonstation de la solution Darktrace, réservez votre place à notre prochain webinar :