L’adoption d’outils d’intelligence artificielle, au premier rang desquels le fameux ChatGPT, va son bon train. Utilisés pour la rédaction web, l’E réputation, le SEO, le Ecommerce… Il le sont également maintenant dans le domaine de la cybersécurité ! En effet, de plus en plus de professionnels du secteur intègrent ces outils, en vue d’accomplir diverses tâches, allant de l’analyse de code à la détection des failles de sécurité. C’est le cas de le dire, l’IA est en phase de devenir un véritable atout, tant pour les stratégies offensives que défensives des équipes spécialisées. Décryptage !
A lire en complément : Intraparis : astuces pour une connexion sécurisée en déplacement
Plan de l'article
Les modèles de langage, nouveaux alliés des experts de cybersécurité
Evan Pena, à la tête des services professionnels chez Google Cloud et pilote de la red team de Mandiant, intègre quotidiennement les larges modèles de langage (LLM) dans sa routine professionnelle. Il les utilise comme levier pour valider ses hypothèses ou élargir le spectre de ses recherches sur les vulnérabilités. Ces outils, basés sur l’intelligence artificielle et le traitement du langage naturel (NLP), offrent des capacités presque humaines de génération de texte ou de code et de reconnaissance de motifs. Pour Pena, les choses sont on ne peut plus claires : cette technologie est un accélérateur de productivité, répondant à l’urgence et à la complexité des défis du secteur, exacerbés par la pénurie de talents spécialisés.
Pour l’anecdote, Pena et son équipe ont développé un utilitaire en C# pour tester une combinaison spécifique d’identifiants sur plusieurs hôtes d’un réseau, dans le cadre de leurs opérations red team. Soucieux d’éviter les détections par les solutions EDR grâce à l’usage d’outils non conventionnels, ils ont conçu et validé cet outil dans un environnement contrôlé en quelques heures seulement, facilitant ainsi l’accès administrateur à un système et permettant des déplacements stratégiques au sein du réseau. Au-delà de cet exemple, les LLM trouvent leur place dans une multitude de contextes : Bishop Fox les explore pour dynamiser les campagnes d’ingénierie sociale, Check Point Software pour affiner la détection de malwares et de vulnérabilités, et Cossack Labs pour renforcer ses équipes dédiées à la sécurité des données.
A lire aussi : 4 raisons d’adopter un logiciel de sécurité informatique
Les LLM redéfinissent les stratégies offensives et défensives
Nous vous le disions, les modèles de langage de grande envergure transforment profondément les opérations des équipes de cybersécurité, tant offensives que défensives, en commençant par l’automatisation des tâches les plus routinières pour alléger la charge de travail et optimiser l’utilisation des ressources. Au-delà de ces applications initiales, leur influence s’étend désormais à des aspects plus sophistiqués de la sécurité informatique. Brandon Kovacs de Bishop Fox souligne l’impact disruptif des LLM et de l’IA générative sur la capacité à orchestrer des campagnes d’ingénierie sociale et de phishing personnalisées et efficaces, réduisant considérablement le temps de préparation nécessaire. De plus, Bishop Fox explore la création et l’analyse de nouvelles variantes de logiciels malveillants inédits, tandis que l’utilisation des LLM pour le décryptage du code source devient un axe majeur de recherche pour identifier les failles de sécurité, une priorité partagée avec Check Point Software. Ce dernier mise sur l’IA pour améliorer l’analyse des malwares, en utilisant des outils innovants comme Pinokio et Gepetto pour décrypter et interpréter le code de manière plus intuitive.
En parallèle, certaines équipes défensives explorent des approches originales pour intégrer l’IA dans leurs processus, y compris le recrutement, en évaluant la capacité des candidats à utiliser judicieusement ces technologies plutôt que de s’y reposer de manière excessive. Anastasiia Voitova de Cossack Labs met en lumière les risques d’une dépendance trop forte à l’IA : « Lorsque j’embauche de nouveaux ingénieurs en cybersécurité, je leur donne une tâche à tester, et certains d’entre eux demandent simplement ChatGPT et copient-collent aveuglément la réponse sans réfléchir », explique-t-elle. « ChatGPT est un bon outil, mais ce n’est pas un ingénieur, alors en embauchant des candidats qui ne possèdent pas les bonnes compétences, la vie d’une équipe défensive peut devenir plus difficile ».
Intégration systématique des LLM par les équipes red et blue
Pour renforcer leurs capacités, les équipes de cybersécurité offensives (red team) ou défensives (blue team), envisagent l’adoption des modèles de langage de grande envergure (LLM) de façon méthodique et réfléchie. A ce niveau, Sergey Shykevich recommande une approche étape par étape pour évaluer à quel moment ces technologies peuvent apporter une valeur ajoutée, une démarche qui requiert une réflexion novatrice et un changement de paradigme dans la gestion des tâches de sécurité, traditionnellement réservées aux humains. Cette transition, selon Brandon Kovacs, demande une adaptation aux risques potentiels liés à la technologie, insistant sur le caractère révolutionnaire de ce tournant stratégique.
La facilité d’accès et la démocratisation de la formation et de l’exécution de modèles d’IA personnalisés se sont nettement améliorées, grâce notamment à des communautés en ligne comme HuggingFace, offrant des ressources open source accessibles. Brandon Kovacs illustre ce point en décrivant la simplicité avec laquelle les modèles OPT peuvent être téléchargés et déployés localement, offrant une alternative puissante aux réponses de type GPT sans les restrictions habituelles : « Par exemple, nous pouvons rapidement télécharger et exécuter les modèles Open Pre-trained Transformer Language Models (OPT) localement sur notre propre infrastructure, ce qui nous donne l’équivalence des réponses de type GPT, en seulement quelques lignes de code, sans les garde-fous et les restrictions généralement mis en œuvre par l’équivalent ChatGPT », explique-t-il.
Cela dit, les équipes ne doivent pas perdre de vue les enjeux éthiques liés à l’utilisation des LLM, notamment la protection de la vie privée, la sécurité des données, les biais algorithmiques et le manque de transparence dans les processus décisionnels de l’IA.
L’IA métamorphose le travail humain
L’intégration des modèles de langage de grande envergure (LLM) dans les stratégies de cybersécurité transforme radicalement le travail des équipes offensives et défensives. Mais comme le souligne Brandon Kovacs, il faut bien reconnaître que « la technologie n’est pas parfaite » et que « l’IA et les LLM sont encore relativement nouveaux et en sont à leurs balbutiements ». Aujourd’hui, les experts voient dans les LLM un outil d’assistance plutôt qu’un remplaçant des équipes humaines, en raison de leur incapacité à remplacer l’intuition et le contexte humain. « Les LLM sont encore loin de pouvoir remplacer les chercheurs ou de prendre des décisions liées aux recherches cybersécurité ou aux red team », affirme Sergey Shykevich, soulignant que les résultats générés par ces outils doivent impérativement être révisés par des experts.
Par ailleurs, la qualité des données est essentielle pour l’efficacité des LLM, comme le note Brandon Kovacs : « L’efficacité des LLM et les résultats qu’ils fournissent sont fortement influencés par la qualité des données fournies lors de l’apprentissage du modèle ». Pour autant, cette technologie naissante est en phase de devenir un outil quotidien pour les experts…
L’émergence d’outils comme Charlotte AI de CrowdStrike, un analyste de sécurité basé sur l’IA générative, prouve cette évolution, offrant des réponses à des questions posées en plusieurs langues et s’appuyant sur des connaissances accumulées à partir de vastes ensembles de données. Face à ces avancées, la nécessité pour les membres des équipes red et blue de rester informés sur l’évolution de l’IA est plus pressante que jamais. « Du côté offensif, nous pouvons nous attendre à voir des attaques plus avancées et automatisées », prédit Brandon Kovacs, tandis que « du côté défensif, l’IA jouera un rôle crucial dans la détection et la réponse aux menaces ».