L’email est le premier vecteur d’attaque exploité par les pirates, mais la guerre incessante qu’ils livrent contre les moyens de protection traditionnels rendent ces derniers de moins en moins efficaces. Un ensemble de technologies pourtant permet de réagir et d’améliorer sensiblement sa protection : Intelligence Artificielle.
Depuis son origine, l’email repose sur un protocole qui respecte sa spécification initiale et qui embarque très peu de sécurité. Son exploitation à des fins licencieuses se révèle suffisamment simple pour que les pirates puissent tromper la vigilance des utilisateurs et des solutions traditionnelles qui sont chargées de les protéger. C’est ainsi que les solutions en charge de détecter la légitimité du contenu des emails et d’écarter ceux qui présentent un danger se montrent de moins en moins efficaces. Elles exploitent des règles simples, qui fonctionnent bien lorsque la menace est identifiée. Mais aujourd’hui, ces règles qui reposent notamment sur des listes et signatures d’attaques se révèlent figées et difficilement évolutives. Et surtout, les pirates ne cessent d’améliorer leurs méthodes d’attaque. Plus que jamais, les destinataires des emails sont en danger, et leur entreprise avec eux.
Pour protéger les messageries professionnelles, supporter l’explosion des volumes d’emails, détecter les vagues d’attaques, et qualifier les contenus légitimes qui doivent arriver à leurs destinataires en écartant ceux qui représentent un danger ou un risque, il faut désormais disposer de nouveaux outils. Ceux-ci devront répondre à des objectifs de volumes et de rapidité de traitement, mais également être capables de faire des prédictions afin d’anticiper les menaces. De plus, il ne faut pas pour autant rejeter en bloc les solutions actuellement en place, car elles ont fait leur preuve pour identifier les menaces connues, toujours présentes et dangereuses, surtout lorsque les défenses liées aux nouveaux outils ne sont pas à jour.
L’Intelligence Artificielle au secours des emails
Les pirates l’ont bien compris, pour être plus efficaces afin de faire aboutir leurs méfaits, ils doivent se détourner des attaques massives, faciles à repérer et à combattre, pour se tourner vers des attaques personnalisées, vers des malwares polymorphes dont le contenu est transformé pour ne pas être repéré, vers des emails de phishing et de spear phishing qui exploitent l’ingénierie sociale pour tromper l’individu, et non plus la masse d’individus. Ils multiplient les vagues d’attaques sur de petits volumes et de courtes durées, cherchant ainsi à ne pas se faire détecter. A l’opposé, le défenseur, la solution de surveillance des emails et de détection des menaces, va chercher à anticiper ces nouvelles attaques qui se multiplient. Et pour cela, il doit adopter des outils très réactifs, mais aussi et surtout prédictifs, capables d’automatiser la démarche d’apprentissage des menaces, et donc de protéger l’utilisateur sans que celui-ci ne s’en rende compte.
L’ Intelligence Artificielle (IA) et plus particulièrement le Machine Learning (ML) répondent à cette attente. L’IA exploite des algorithmes qui vont intégrer des règles de détection définissant des modèles d’emails vérolés ou sains, et déterminer un résultat avec l’application d’un traitement… l’email est écarté s’il représente une menace ou il poursuit son chemin jusqu’à son destinataire s’il est sain. L’analyse des emails repose ainsi sur les règles qui alimentent l’algorithmie ; sur d’énormes volumes de données traitées sur un mode Big Data qui apportent une masse d’informations et la capacité de comparer afin de détecter les changements ; et sur des capacités d’apprentissage via le Machine Learning. Ce qui peut éveiller l’attention de l’humain est automatisé dans les algorithmes.
L’IA vient renforcer les défenses
Intelligence Artificielle et Machine Learning, dans la lutte contre les menaces qui pèsent sur les emails, ne viennent pas en remplacement des outils traditionnels, mais viennent les compléter en apportant deux dimensions : le prédictif et le réactif. Notons que si les signatures des emails et des malwares sont connues, les outils classiques sont capables de détecter et de bloquer une attaque plus rapidement que le Machine Learning. Par contre, par l’apprentissage automatique, le ML offre des facilités pour détecter les attaques qui ne sont pas connues, et pour ajouter plus rapidement et efficacement de nouvelles règles. Sans oublier le rôle essentiel de contrôle et de validation assuré par les hommes en charge de ces solutions. C’est à ce titre que la mise en place d’un ML en complément des solutions plus ‘classiques’ offre plus de contrôle et de précision pour fournir des résultats quasi parfaits.
N’oublions pas cependant que dans le même temps, les fraudeurs cherchent les failles dans l’IA, ce qui permet d’affirmer qu’elle a aussi ses limites. C’est la combinaison des trois approches - traditionnelle, IA et humaine - qui permet d’atteindre les meilleurs résultats. Et de pouvoir combattre en particulier les attaques qui présentent le niveau de sophistication le plus élevé, comme le spear phishing à l’exemple des attaques au président, les plus difficiles à détecter, celles qui sont prioritaires car elles ciblent l’erreur humaine avec de fortes ambitions mafieuses...
