🚀 L’IA n’est pas encore aussi vicieuse que les humains pour déceler les comportements malicieux - BFM Business Cybersécurité

“Journaliste à BFM Business en charge notamment des questions de cybersécurité, je suis heureux de partager avec vous chaque semaine l’actualité du secteur mais aussi ma revue de presse et des tribunes signés par des experts choisis par mes soins. Cette première lettre est exceptionnellement offerte à vous qui êtes déjà lecteur de BFM Business. N’hésitez pas à vous abonner au prix de lancement d’1 euro par mois pendant les trois premiers mois pour continuer à la recevoir chaque semaine. Bonne lecture !” - Frédéric Simottel

Je n’ai pas d’actions ou de prises de participation chez tel ou tel acteur de la cyber mais force est de constater que je suis assez épaté par l’efficacité des logiciels EDR/XDR (Endpoint Detection Response/eXtended Detection Response).

A la lecture de nombreux témoignages ou suite à des entretiens avec des RSSI, beaucoup me confirment que sans un tel logiciel, les dégâts auraient été plus importants, notamment lors d’attaques par rançongiciel. Au passage, je pousse un petit cocorico puisqu’avec Tethris, Harfang Lab ou encore Nucleon Security, nous avons quelques pépites françaises dans le domaine propres à lutter contre les leaders SentinelOne, CrowdStrike ou autres grands noms de la cyber qui embarquent désormais ce type de solutions.

Des années 2000 à aujourd’hui

Ce qui est intéressant avec ces technologies est qu’en fait, elles font partie de la famille depuis plusieurs années. Certains vous diront depuis 2013 lorsque l’acronyme EDR est apparu pour la première fois. Je remonterai pour ma part aux années 80 quand l’antivirus traditionnel, à base de signature, protégeait le terminal contre les menaces connues. Une base de signature qui devient obsolète au début des années 2000 lorsque les attaquants font muter leur virus ; on commence alors à parler des menaces inconnues de type Zero-day. Apparaît alors l’EPP, l’agent Endpoint Protection Platform qui met en œuvre plusieurs couches de protection. Lui-même dépassé quelques temps plus tard face aux attaques de plus en plus sophistiquées.

Et j’en arrive aux logiciels EDR/XDR, qui surveillent ce qui se passe sur le terminal et, sont capables, via un moteur relié à une console centrale, d’émettre des alertes dès que des comportements malicieux sont repérés, d’apporter des réponses manuelles ou automatiques (isoler des processus, supprimer des fichiers, isoler un terminal du réseau, etc). Aujourd’hui devenus des commodités, ils évoluent vers des systèmes plus intégrés voir des modèles de plateformes : ce qui va permettre d’éviter de déployer plusieurs marques pour un seul service.

L’Humain au cœur du dispositif

Mais au-delà de l’intelligence de ces outils, de leur capacité à se déployer sur plusieurs milliers de points (terminaux, serveurs, etc) en quelques heures, d’élargir aujourd’hui leur périmètre et d’inclure des services de gestion et d’analyse, ce qui me frappe dans les témoignages recueillis, porte sur l’association entre la technologie et l’humain. Car entre la détection et la remédiation, plus la phase d’investigation est poussée, mieux on distingue une vision d’ensemble, une chronologie et meilleure sera la réponse apportée.

Les chiffres clés de la semaine

L'étude « Inside the Halls of a Cybercrime Business » diffusée par Trend Micro décrit trois types d'organisations criminelles en fonction de leur taille

o Les petites entreprises malveillantes (ex. le service Counter Anti-Virus Scan4You) :Une organisation qui s’appuie sur une tête pensante avec un effectif qui varie entre 1 à 5 ‘employés’, pour un chiffre d'affaires annuel inférieur à 500 000 dollars.

o Les entreprises criminelles de taille moyenne (ex. Bulletproof hoster MaxDedi).Elles ont généralement deux niveaux de direction et s’appuie sur un collectif de 6 à 49 ‘employés’. Leur chiffre d'affaires annuel peut s’élever jusqu'à 50 millions de dollars.

o Les grandes entreprises criminelles (ex. le groupe de rançongiciel Conti). S’appuyant sur trois niveaux de direction, ce type d’organisation compte plus de 50 ‘employés’ et enregistre un chiffre d'affaires annuel de plus de 50 millions de dollars. Les responsables sont des cybercriminels chevronnés qui recrutent de nombreux développeurs, administrateurs et experts en pénétration de systèmes, y compris en contrat court.

Les Risques de sécurité accrus avec le Byod et le télétravail - (Étude Lookout)

o 32% des travailleurs à distance et hybrides utilisent des applications ou des logiciels non approuvés par le service informatique pour des raisons de commodité

o 92%des employés à distance effectuent des tâches professionnelles sur leurs tablettes ou smartphones personnels.

LA TRIBUNE

ChatGPT : après l’engouement, il est temps de comprendre les risques

L'arrivée de ChatGPT a bouleversé tout l'écosystème de l'IA et a lancé une course effrénée aux projets et aux annonces chez les géants du web, mais aussi dans de nombreuses grandes organisations. Même les cybercriminels ont commencé à s’en emparer pour améliorer leurs attaques... Passé l'engouement des premières semaines, c'est le bon moment de prendre du recul et d'analyser les enjeux en matière de cybersécurité de ces évolutions qui ont défrayé la chronique.

Tout d'abord, quel est l'usage de ChatGPT dans votre organisation ? Avec une courbe d'adoption aussi forte, il est probable que beaucoup de vos collaborateurs soient en train de l'utiliser… Il est important de comprendre quels sont les usages faits et de rappeler les risques associés à ces usages. Nous avons observé de très nombreux cas d'usage, des plus anodins, comme la traduction de fichiers produits, aux plus problématiques, comme l'envoi de fichiers clients pour permettre des analyses, en passant par de nombreux usages dans les équipes développeurs… Il est crucial de bien rappeler à tous vos collaborateurs les risques que recèlent l'envoi de données internes, confidentielles, ou contenant des données à caractère personnel. Les plus avancés dans cette démarche vont jusqu'à identifier les cas d'usage avec les utilisateurs et à définir un cadre d'intervention normé. A minima, un mail de sensibilisation est le minimum !

Mais cette démarche est l'arbre qui cache la forêt, les projets d'IA se multiplient dans les organisations, parfois ils sont concentrés dans certaines équipes dédiées, parfois ils sont répartis largement dans l'entreprise. Ils utilisent de très nombreux modèles différents, manipulent des données différentes, visent des publics différents. Il est alors impossible d'avoir une réponse unique.

L'enjeu pour les responsables de la cybersécurité va donc être de réaliser une analyse des risques pour voir s'il y a besoin de les encadrer et comment le faire. Les méthodes existent souvent dans les grandes organisations, mais il faut les réinventer pour prendre en compte les particularités de l'IA : Quelles données pour l'apprentissage ? Quel modèle est utilisé ? Quelle est sa fiabilité et la confiance qu'on peut lui accorder ? Quel objectif est visé, va-t-il aller vers de la prise de décision automatisée ? Quelle est sa fragilité ou la confiance qu’on peut lui accorder ? Quel objectif est visé, va-t-il aller vers de la prise de décision automatisée ? Comment mon modèle résiste-t-il à des attaques spécifiques à l’IA comme l’empoisonnement, l’inférence ou l’illusion ? En quelques questions simples, il est possible de trier les projets et de se focaliser sur la sécurisation des plus risqués. Cette sécurisation s’appuie sur des mesures bien connues (filtrage de données, limitation des entrées/sorties…) mais peut aussi reposer sur de nouveaux mécanismes propres à l’IA comme le renforcement adverse (où l'on fait apprendre au modèle des attaques pour qu'il les reconnaisse) et bien d'autres encore.

Toutes ces mesures doivent être réalisées maintenant pour éviter des problèmes ultérieurs, problème bien réel quand on voit l’interdiction récente de ChatGPT en Italie par l’équivalent de notre commission nationale informatique et libertés.

L’IA va véritablement être un grand changement dans les années qui viennent, mais nous avons l’opportunité d’intégrer la sécurité dès la conception des systèmes. Alors faisons-le !

Notre sélection d’articles à lire

Renforcement du dispositif Alerte Cyber : le Gouvernement annonce un partenariat entre Cybermalveillance.gouv.fr et BFM Business permettant une diffusion plus large de l’alerte pour protéger les entreprises des cyberattaques

Le patron de l’US CyberCommand s’inquiète des cyberattaques à fort impact négatif contre les infrastructures critiques(article à l’achat ou sur abonnement au Wall Street Journal)

Données personnelles: l'Italie décide de bloquer ChatGPT

Pourquoi vous recevez cette newsletter

Nous avons pensé que cette nouvelle newsletter était susceptible de vous intéresser.

Cette nouvelle newsletter traitera en profondeur de sujets cybersécurité : cyberattaque, phishing, hackers.. par notre expert Frédéric Simottel.

Cette première lettre vous est offerte en tant que fidèle lecteur de BFM Business, BFM Crypto ou Tech&Co. Si vous souhaitez recevoir les prochaines au prix exceptionnel de lancement de 1 euro par mois :