La cybersécurité s’apparente à une course aux armements entre les cybercriminels et les spécialistes de la sécurité informatique. Cette escalade rend régulièrement obsolète des protocoles et des stratégies de défenses établies. La psychologie a rejoint la technicité, basculant ainsi la cybersécurité et son interprétation dans un nouveau paradigme de pensée.

On a longtemps cherché à bâtir des murs, à empêcher a priori toute intrusion en dressant la liste exhaustive des menaces et attaques connues, ce qui implique, de fait, une vulnérabilité aux malware et virus inconnus. Chaque nouveau véhicule doit donc être identifié a posteriori pour faire l’objet d’un correctif qui viendra consolider le mur initial. Or, la professionnalisation de la cybercriminalité a rendu cette approche inopérante. Les attaques sont aujourd’hui polymorphes, les virus et les malwares ne portent plus de signature. Ils changent de forme à chaque instant qu’il s’agisse des liens utilisés, de la nature et de la structure des emails de hameçonnage ou des IP et des itinéraires d’attaque qui fluctuent au gré des réseaux de botnets et de serveurs utilisés. Les pirates ont intégré des aléas dans leurs créations les rendant résistantes à l’idée même d’antidote. La consolidation du mur arrive mais toujours trop tard. C’est une fuite vers l’avant.

La philosophie actuelle de la cybersécurité consiste donc à admettre la vulnérabilité – il y aura toujours quelque chose qui passera – pour mieux limiter les risques mais également les dommages en cas d’intrusion. Admettre l’impossibilité d’identifier individuellement chaque virus et chaque malware ne signifie cependant pas l’impossibilité d’identifier, et de stopper, une attaque. Ces dernières possèdent un marqueur dont elles ne peuvent pas se départir : elles ne sont pas « normales ». Comparées à l’activité habituelle d’un réseau ou d’un utilisateur elles se signalent comme une série d’anomalies parfaitement détectables par le biais d’une analyse comportementale. Ainsi, l’intelligence artificielle se révèle un allié précieux pour la cybersécurité. Bien entraînées, ces machines apprenantes mesurent les corrélations et les variations d’un grand nombre de variables (temporelles, spatiales, structurelles, etc.) de l’activité du réseau rendant visible les comportements suspects. Un horaire d’envoi inhabituel, un itinéraire de serveurs douteux, une structure lexicale inattendue, un contenu qui n’est pas en adéquation avec la forme de l’envoi, sont autant d’indices qui peuvent déclencher une détection d’attaque ou d’usurpation d’identité. Le danger est alors signalé aux utilisateurs, voire directement éliminé si la détection est certaine.

Les perspectives de l’IA dans la cybersécurité sont unanimement reconnues par les experts du secteur, qu’il s’agisse de prévenir ou de remédier aux attaques, mais également par les pirates qui commencent à en faire un usage intensif. Cette nouvelle étape de la course aux armements technologiques a paradoxalement fait de l’humain le principal déterminant de la cybersécurité. Quoi de plus normal, donc indétectable, qu’un comportement véritablement humain. Plutôt que de déployer des outils sophistiqués, la tendance est désormais à l’exploitation de nos défaillances personnelles, au ciblage fin des organigrammes d’entreprise pour aller chercher l’information où elle se trouve en se faisant passer pour une personne habilitée. La finalité étant de briser la barrière de vigilance de l’individu. Là encore, les manières d’agir sont nombreuses et il revient à l’humain d’imiter l’IA pour, à son tour, identifier les anomalies et les comportements suspects. Il ne s’agit pas de devenir paranoïaque mais simplement de cultiver quotidiennement notre capacité d’étonnement, notre bon sens finalement.

2+