Sécurité de la messagerie

L’IA dans la cybersécurité : les marges des MSP passent par l’automatisation

Adrien Gendre

19 août 2021

4 min

Si l’IA dans la cybersécurité n’est pas une nouveauté, en revanche, son utilisation est encore entourée d’un certain mystère ... La réputation de l’IA, profondément ancrée dans l’imaginaire de la science-fiction, entre cyborgs et définitions complexes, la rendent difficile à saisir. Pourtant, son utilisation réelle est peut-être moins compliquée et plus pragmatique que vous ne l’imaginez. Dans cette publication, nous discuterons des utilisations de l’IA dans la cybersécurité et expliquerons pourquoi les marges des MSP passent par l’automatisation de la cybersécurité grâce à l’IA.

Exemples d’IA dans la cybersécurité

S’il y a bien un domaine de la cybersécurité dans lequel l’IA s’est illustrée ces cinq dernières années, c’est sans aucun doute la sécurité de l’email. Même si ce sont les attaques les plus sophistiquées qui défrayent la chronique depuis 12 mois, notamment l’attaque contre la supply chain de SolarWinds et le piratage de Microsoft Exchange, le point faible de la cybersécurité reste largement l’email.

Sécurité de l’email

Quelques lignes de texte et un clic suffisent à un cybercriminel pour causer des dégâts démesurés. De l’envoi d’un email de phishing pour infiltrer un système à l’utilisation d’un ransomware exploitant une pièce jointe d’email, en passant par la manipulation d’un employé pour détourner des millions vers un compte en banque frauduleux, un « simple » email n’a en fait rien de simple lorsque son expéditeur est doté de mauvaises intentions. Malgré tout, il est plus difficile qu’il n’y paraît de bloquer un email, si « simple » soit-il.

La technologie de filtrage des emails s’est longtemps appuyée sur le scan de la signature afin d’identifier les acteurs de menaces. Sans surprise, les hackers ont appris à exploiter la bonne réputation de certains domaines tels que Salesforce et OneDrive afin de lancer des attaques. Ainsi, les technologies de l’IA sont mises en œuvre pour résoudre ce problème, ou du moins l’atténuer. En voici quelques exemples :

  • Machine learning : Les modèles d’apprentissage supervisés sont entraînés à reconnaître les signes de phishing en étudiant un vaste ensemble de données composé d’échantillons de phishing et d’emails légitimes. Ces modèles analysent ensuite un nombre spécifique de fonctionnalités email avant de rendre un verdict.
  • Détection d’anomalies : Les modèles non supervisés de machine learning scannent les éléments rares à la recherche d’anomalies. Parmi les anomalies, on peut citer en exemple la réception d’un email par un nouvel expéditeur dont l’adresse email ressemble à s’y méprendre à celle d’un contact connu au sein de l’organisation (dans le cas présent, il s’agit d’usurpation).
  • Natural Language Processing (NLP) : Les modèles NLP examinent le texte pour y repérer des termes et expressions au caractère douteux, susceptibles d’indiquer une menace. Par exemple, les emails de phishing et de spear phishing comportent souvent des formules exprimant l’urgence ou destinées à susciter un sentiment d’alerte, de peur ou d’inquiétude.
  • Vision par ordinateur : Cet emploi de l’IA dans la cybersécurité intervient en réponse à l’émergence des images comme outils d’obfuscation dans les emails de phishing. Par exemple, les hackers détournent des logos de marques pour dissimuler des signatures, hébergent des images à distance pour contourner la détection, utilisent des QR codes pour cacher les URL de phishing et recouvrent les textes suspects par des images. Toutes ces techniques (il en existe bien d’autres) peuvent être vues par les modèles de vision par ordinateur.

Formation de sensibilisation à la sécurité

À l’inverse des formations de sensibilisation à la sécurité animée par des humains, et souvent interminables, les formations de sécurité qui s’appuient sur l’IA sont contextualisées au niveau de l’utilisateur et proposées automatiquement, sans intervention humaine ni formateurs. Également appelée formation adaptée, la formation automatisée prise en charge par l’IA intervient au moment précis où l’utilisateur commet une erreur, générant ainsi du contenu de formation s’inscrivant dans le contexte de l’incident.

Par exemple, si un utilisateur est confronté à un incident de phishing (en cliquant sur un lien dans un email de phishing), l’IA reconnaît l’action et déclenche une session de formation qui apprend à l’utilisateur à reconnaître les techniques de phishing. Le contenu de formation évolue en fonction du type d’attaque, l’IA étant en mesure de parcourir sa base de données pour y trouver des échantillons adaptés au contexte. Cette méthode réduit le besoin d’intervention de la part de l’équipe informatique et attire immédiatement l’attention de l’utilisateur, ce qui n’est pas le cas des simulations de phishing proposées lors des sessions de formation obligatoires qui sont assurées en personne.

Réponse aux incidents

Avec l’aide de l’IA, les systèmes intelligents de réponse aux incidents peuvent conduire à une meilleure détection et à des temps de réponse optimisés pour les services informatiques, ainsi qu’à une réduction des faux positifs entraînant un phénomène de lassitude face aux trop nombreuses alertes. Un exemple de réponse à un incident par l’IA serait le scan continu des réseaux pour y détecter des anomalies, ainsi que les incidents qui n’auraient pas été immédiatement repérés par l’IA.

Voici un exemple en situation réelle : Un email parvient à contourner l’IA, car il inclut un lien vers une page web légitime (sûre). Quelques instants après la réception, un cybercriminel redirige l’URL vers une page de phishing (à retardement). Grâce au scan continu, l’IA peut détecter ce lien dangereux dans une boîte de réception, puis supprimer la menace automatiquement.

Automatisation de la cybersécurité : la clé de marges optimisées pour les MSP

Traquer les menaces. Neutraliser les incidents. Configurer et reconfigurer des solutions complexes. Toutes ces tâches, parmi tant d’autres, rognent la marge des MSP. En matière de cybersécurité, l’IA assure les capacités d’automatisation dont les MSP ont besoin pour proposer de la valeur à un plus grand nombre de clients, sans pour autant en ajouter à leur charge de travail ni à leurs effectifs.

Du scan continu des emails et réseaux à la réponse automatisée aux incidents, les technologies de l’IA libèrent les MSP d’un fardeau, ce qui leur permet de consacrer plus de temps à la gestion de leur entreprise, et moins de temps aux tâches manuelles. 

Demandez une démo de Vade for M365 pour découvrir comment Vade peut vous aider à automatiser la cybersécurité grâce à l’IA.