Depuis le 16ème siècle, la machine inspire de la défiance, l'humain craignant pour ses revenus. Aujourd'hui cette image persiste, même au sein des pôles SI des entreprises, pourtant ce n'est pas demain que l'IA évincera les RSSI.
Le rythme effréné auquel l'adoption de l'intelligence artificielle (IA) a progressé ces dernières années commence à avoir des effets transformateurs dans de nombreux domaines. Si l'on ajoute à cela un monde de plus en plus (inter)connecté à la merci de cyberattaques d'une fréquence et d'une ampleur alarmantes, il n'est pas étonnant que l'IA et l'apprentissage automatique se soient mis au service de la cybersécurité pour détecter et neutraliser les cybercriminels. Ils élargissent le périmètre qu'un expert de la cybersécurité peut à lui seul surveiller et permettent aussi et surtout d'identifier des attaques autrement indétectables par un observateur humain.
Malgré les récentes avancées de la recherche sur l'apprentissage automatique et l'IA, il n'existe pas de méthode ni d'algorithme unique capable de traiter efficacement tous les cas de figure. Ce principe a été formalisé et démontré mathématiquement par David Wolpert et William Macready en 1997 dans un théorème baptisé « No Free Lunch » (pas de solution miracle). Aucun algorithme ne peut mieux qu'un autre résoudre toutes les classes de problèmes possibles.
Ainsi, les systèmes d'IA conçus pour détecter les cybermenaces avancées doivent être adaptés aux problèmes spécifiques pour lesquels ils sont déployés. Comme dans d'autres domaines, les systèmes d'IA appliqués à la cybersécurité doivent être validés selon les critères suivants :
Le système d'IA est-il à même d'effectuer des opérations de détection, de regroupement, de classification et de prédiction qu'un humain seul ne pourrait pas réaliser ?
Le système d'IA réalise-t-il des prédictions et des classifications qui réduisent le nombre d'interventions et d'analyses humaines requises ? Ces prédictions et classifications augmentent-elles le nombre d'interventions et d'analyses humaines nécessaires ?
La conception d'un système d'IA capable d'apprendre et d'atteindre simultanément ces deux objectifs exige une parfaite compréhension de l'espace de problème et des algorithmes d'apprentissage automatique en général.
Les tentatives d'utilisation de solutions monolithiques formées indifféremment à la multitude de menaces de sécurité et d'intrusions sur les réseaux modernes n'atteindront pas le premier objectif et produiront trop de faux positifs. De même, le recours à plusieurs techniques ou algorithmes pour détecter chaque type de menace de manière indépendante exige une connaissance approfondie du fonctionnement et des limites de chaque algorithme. Une connaissance lacunaire de l'algorithme peut réellement entraver la capacité d'un système à détecter une menace, et générer des faux positifs qui alourdissent la charge de travail des administrateurs réseau.
Alors le moment est-il venu de transférer la responsabilité des opérations de sécurité aux machines ?
En février 2014, Martin Wolf a écrit un article pour le Financial Times de Londres intitulé Enslave the robots and free the poor. Il commence par la citation suivante :
« En 1955, Walter Reuther, directeur du syndicat américain des travailleurs de l'automobile, a relaté la visite d'une nouvelle usine Ford entièrement automatisée. Pointant du doigt les robots, son hôte lui demande : Comment allez-vous percevoir les cotisations syndicales de ces gars ? Ce à quoi M. Reuther répond : Et comment allez-vous les convaincre d'acheter des véhicules Ford ? ».
Les tensions fondamentales mises en avant par Walter Reuther entre les travailleurs et l'automatisation ont toujours existé. Une grande partie des travaux d'économie politique y est consacrée (pensons à Karl Marx et Adam Smith) et elles sont aussi à l'origine de nombreuses luttes ouvrières partout dans le monde. Les luddistes, par exemple, sont des artisans du textile qui se sont élevés contre la mécanisation des usines. Contrairement à ce qui a été dit, ils ne s'opposaient pas par principe aux machines, mais à une utilisation débouchant sur l'exploitation des travailleurs, sans redistribution des bénéfices liés à l'automatisation et aux gains de productivité qui en découlent.
L'essor technologique actuel a engendré de nouvelles tensions autour de l'IA et de l'apprentissage automatique. Elles vont de questions touchant au cœur même de notre conception du droit et de l'éthique, telles que l'inévitable dilemme du tramway (trolley problem en anglais) qui se posera avec les véhicules autonomes (à savoir, quelle décision un véhicule autonome doit-il prendre si la seule façon d'éviter un accident à coup sûr fatal pour ses passagers est de faire une embardée qui tuera inévitablement un nombre encore plus grand de piétons), à des questions plus existentielles, comme « Quel est le rôle ou l'utilité des humains dans un monde piloté par une IA super-intelligente ? ».
Néanmoins, la question la plus urgente est de savoir comment organiser notre économie et, plus largement, notre société, dans un monde où une grande partie du travail humain commence à s'automatiser. Plus simplement, comment les hommes vivront-ils s'ils ne peuvent pas trouver d'emplois parce qu'ils ont été remplacés par des machines rentables et plus performantes ?
Ces dernières années, de nombreuses études ont été publiées et des instituts créés pour déterminer quels emplois resteront à l'avenir aux mains de l'homme et lesquels seront confiés aux machines. Par exemple, le rapport sur l'avenir de l'emploi (The Future of Employment) publié en 2013 par l'université d'Oxford identifie les catégories d'emplois qui échapperont à l'automatisation et celles qui risquent le plus d'y succomber. Il va même beaucoup plus loin en tentant de définir le degré d'informatisation potentiel de différents types d'emplois. L'étude de l'université d'Oxford, ainsi que les nombreuses autres qui ont suivi, soutiennent généralement que les emplois créatifs, comme ceux des artistes et des musiciens, sont moins susceptibles d'être automatisés. Nous vivons pourtant dans un monde où le premier tableau réalisé par intelligence artificielle s'est vendu chez Sotheby's pour près de 500 000 $. Le site The Verge a d'ailleurs publié un article intitulé How AI-Generated Music is Changing the Way Hits are Made qui décrit la façon dont l'intelligence artificielle change le mode de production des tubes musicaux.
Même s'il n'existe pas de règles précises concernant les types d'emplois cognitifs et manuels qui seront remplacés, ce que l'on peut dire, c'est que l'application récente de techniques avancées d'IA et d'apprentissage automatique dans le domaine de la cybersécurité a très peu de chances de mettre les analystes de sécurité au chômage. Pour comprendre pourquoi, il est nécessaire de bien saisir la complexité de la cybersécurité et l'état actuel de l'IA. Les auteurs d'attaques avancés développent sans cesse de nouvelles méthodes pour s'en prendre aux réseaux et aux systèmes informatiques. De plus, entre l'introduction permanente de nouveaux logiciels et de mises à jour, et l'ajout de nouveaux types de matériel au fur et à mesure des progrès technologiques, ces réseaux et les appareils qui y sont connectés évoluent constamment.
L'IA, bien qu'avancée, repose quant à elle sur un mode de fonctionnement très semblable à celui du système de perception humain. Les méthodes d'IA peuvent traiter et reconnaître des schémas au sein des flux de données entrantes, tout comme l'œil humain traite les données visuelles entrantes et l'oreille traite les données acoustiques entrantes. L'IA est toutefois loin de posséder les connaissances d'un administrateur système expérimenté, tant sur les réseaux dont il assure l'administration que sur le tissu complexe de lois, de directives d'entreprise et de bonnes pratiques qui dictent la meilleure façon de répondre à une attaque.
L'invention de la calculatrice n'a pas entraîné le déclin des mathématiques. Elle a au contraire considérablement élargi les possibilités de calcul et permis aux personnes possédant des connaissances en mathématiques de les explorer. De la même manière, l'IA n'est qu'un outil conçu pour étendre le champ et les possibilités de détection d'attaques qui, autrement, ne seraient pas identifiées. Pour s'en convaincre, il suffit d'examiner des séries chronologiques, multidimensionnelles et à haute périodicité de trafic chiffré, et d'essayer de déterminer s'il s'agit d'une attaque ou de trafic bénin.
L'IA restera pendant un certain temps encore un outil permettant au défenseur de détecter, et donc de contrer, des attaques avancées en constante évolution, à une échelle et une vitesse jusque-là impossibles.