Il y a quelques années, la plupart d’entre nous associaient « l’IA générative » à des activités artistiques : peindre des portraits surréalistes, composer de la musique ou même écrire des nouvelles. Aujourd’hui, nous voyons ces mêmes techniques génératives se transformer en outils puissants pour la cybersécurité. Il est un peu ironique que la technologie autrefois utilisée pour créer des images de chats fantaisistes nous aide désormais à repérer des vecteurs de menace sophistiquée et à répondre à des incidents réels.
Mais cette convergence entre l’IA générative et la cybersécurité n’est-elle qu’un battage médiatique ? Ou sommes-nous à l’aube d’une nouvelle ère en matière de modélisation des menaces et de réponse aux incidents, une ère qui pourrait réduire considérablement le temps moyen de détection et d’atténuation des attaques ? Je vais démontrer que l’IA générative est sur le point de changer la donne, à la fois en identifiant de nouvelles menaces et en orchestrant des réponses efficaces et basées sur les données. Pourtant, comme toute technologie émergente, elle n’est pas sans pièges. Creusons un peu.
Thèse: La capacité unique de l’IA générative à synthétiser des modèles, à prédire de nouveaux vecteurs d’attaque et à automatiser les stratégies de réponse améliorera considérablement nos capacités de modélisation des menaces et de réponse aux incidents, mais seulement si nous relevons de front les défis liés à la fiabilité, à l’éthique et à la gouvernance des données.
Les cybermenaces évoluent à une vitesse vertigineuse et les systèmes traditionnels basés sur des règles ou des signatures sont souvent à la traîne. Les modèles génératifs (comme les modèles avancés de langage volumineux) peuvent détecter des anomalies et émettre des hypothèses sur des modèles d'attaques potentiels futurs bien au-delà de la portée des heuristiques conventionnelles. Cependant, ils introduisent également de nouvelles vulnérabilités, comme la possibilité d’« halluciner » de faux positifs ou de générer par inadvertance du code malveillant. Nous devons aborder ces capacités avec autant d’enthousiasme que de prudence.
Traditionnellement, la modélisation des menaces s’appuyait sur des signatures d’attaque connues, des modèles historiques et l’expertise humaine. Mais la montée en puissance des logiciels malveillants polymorphes, des vulnérabilités de la chaîne d’approvisionnement et des exploits zero-day rend les méthodes purement réactives inadéquates.
Entrez dans l'IA générative. Si le terme « générative » désigne souvent aujourd'hui de grands modèles de langage (MLL), il peut également inclure d'autres algorithmes capables de produire de nouveaux modèles de données. Ces modèles détectent des corrélations subtiles dans des ensembles de données de télémétrie massifs, comme des séquences de commandes suspectes, des tentatives de mouvement latéral ou des schémas d’exfiltration. Il est important de noter qu’ils ne se limitent pas à des étiquettes explicites de ce qui est « malveillant ». Au lieu de cela, ils apprennent la distribution sous-jacente des comportements « normaux » et peuvent signaler des anomalies qui n’ont pas été explicitement répertoriées comme des menaces.
Cependant, la détection des anomalies n’est que la première étape. Si personne n’a qualifié certains comportements de malveillants ou bénins, un LLM (ou toute approche générative) peut devoir être enchaîné avec des classificateurs supplémentaires ou des vérifications heuristiques pour confirmer si quelque chose est vraiment néfaste ou simplement inhabituel. Par exemple, on pourrait émettre l’hypothèse qu’un nouveau modèle de mouvement latéral est suspect, mais certaines organisations utilisent légitimement un hôte de saut auquel on accède rarement, ce qui rend l’anomalie inoffensive dans ce contexte. En fin de compte, l’IA générative excelle à faire émerger des possibilités au-delà des signatures conventionnelles, mais elle doit être associée à une logique de décision robuste, automatisée ou dirigée par l’homme, pour déterminer quelles anomalies représentent de véritables menaces.
Chez F5, nous avons réalisé une simulation contrôlée fin 2024 pour voir comment un modèle d’IA génératif pourrait fonctionner dans un environnement de menace en évolution. Nous avons alimenté l'environnement de test interne F5 avec des données de journal anonymisées provenant d'un environnement multi-locataire, en injectant délibérément de nouveaux modèles d'attaque inédits. Au début, le modèle a généré quelques « fausses alarmes » (ces modèles peuvent être trop enthousiastes), mais avec un entraînement itératif, il a commencé à détecter des anomalies avec une meilleure précision que notre système de base basé sur la signature. La partie vraiment impressionnante ? Il a également signalé des exploits potentiels que même nos analystes de l'équipe bleue n'avaient pas envisagés, comme certaines tentatives de déplacement latéral déguisées sous des protocoles de partage de fichiers normaux.
Les modèles génératifs ne servent pas uniquement à la détection : ils peuvent rapidement générer des suggestions de playbooks lorsque des incidents se produisent. Considérez-le comme un collaborateur IA qui surveille les journaux en temps réel, fusionne les renseignements provenant de plusieurs sources de données et propose un plan de réponse coordonné.
Par exemple, si le système détecte une anomalie à haut risque, il peut recommander des politiques de pare-feu dynamiques ou la mise en quarantaine des machines virtuelles (VM) suspectes. Parce qu’il apprend des incidents passés, ces suggestions s’affinent au fil du temps. C’est un grand pas en avant par rapport aux runbooks statiques qui sont rarement mis à jour après la configuration initiale.
Nous avons assisté récemment à une vague d'intégrations d'IA générative lors des principales conférences sur la sécurité (comme Black Hat 2024 et le nouveau sommet AI-SecOps lancé cette année). Ils se concentrent sur les réponses « autonomes » ou « agentiques », où une couche d'IA orchestre plusieurs outils de sécurité (SIEM, protection des points de terminaison, WAF) en temps réel. Si le multicloud est la norme de nos jours, un modèle génératif unique qui coordonne les réponses aux menaces dans les environnements AWS, Azure et sur site commence à paraître très attrayant.
Mais voici le piège : Si nous automatisons simplement des processus obsolètes ou inefficaces, nous risquons de « tomber en panne plus rapidement » au lieu d’améliorer notre posture de sécurité globale. En adoptant l’IA sans repenser les flux de travail fondamentaux, nous pourrions accélérer l’exécution de procédures défectueuses. C’est pourquoi l’IA doit être considérée comme un catalyseur pour repenser la manière dont nous abordons la sécurité et la livraison , plutôt que de simplement accélérer ce que nous faisons déjà.
Il convient également de noter que ce n’est pas parce qu’un modèle génératif peut automatiser une réponse qu’il doit le faire. Nous avons besoin de garde-fous et de voies d’escalade pour garantir que les humains restent informés des décisions critiques (comme l’isolement de segments entiers de production). En bref, l’IA générative offre une opportunité passionnante de remettre en question les anciennes hypothèses et de concevoir des cadres de réponse aux incidents plus efficaces et adaptatifs, si nous sommes prêts à mettre à jour les fondements mêmes de nos processus, et pas seulement la vitesse.
C’est une période enivrante : nous constatons une adoption accrue par les grandes entreprises et les acteurs de taille moyenne désireux de dépasser les solutions traditionnelles. Mais la précipitation à déployer l’IA générative peut entraîner des problèmes si les organisations ignorent des étapes fondamentales telles qu’une gouvernance robuste des données, l’explicabilité des modèles et les cadres de responsabilité.
Si les modèles génératifs peuvent éblouir par leurs inférences créatives, ils peuvent également « halluciner » des menaces apparemment plausibles qui n’existent pas. Une vague de faux positifs pourrait submerger votre équipe de sécurité sous une avalanche d’alertes dénuées de sens. Au fil du temps, cela peut éroder la confiance dans les systèmes basés sur l’IA.
La formation de modèles robustes nécessite des données, en grande quantité. Selon la région, les lois sur la confidentialité peuvent restreindre les journaux ou la télémétrie pouvant être utilisés. Le nettoyage ou l’anonymisation des données sensibles des utilisateurs est essentiel pour éviter les problèmes de conformité et pour garantir une utilisation éthique des données.
Nous ne pouvons pas ignorer le côté plus sombre de la situation : Les acteurs de la menace peuvent (et ont) utilisé l’IA générative pour rédiger des e-mails de phishing convaincants, développer de nouvelles formes de logiciels malveillants ou découvrir plus rapidement les zero-days. À mesure que nous développons ces capacités défensives, nous devons supposer que les attaquants font de même en attaque.
À l’avenir, l’IA générative pourrait évoluer vers une couche standard dans chaque boîte à outils SecOps , intégrée aussi étroitement que le sont aujourd’hui les scanners de vulnérabilité ou les systèmes de détection d’intrusion. Grâce aux améliorations en matière d’explicabilité (pensez à plus de transparence sur la manière dont l’IA parvient à ses conclusions), les équipes de sécurité se sentiront plus en confiance pour laisser l’IA gérer de plus grandes parties du cycle de vie de la modélisation des menaces.
Nous pourrions également voir des coalitions mondiales de renseignement sur les menaces , où des modèles génératifs formés dans différentes organisations partagent des informations partielles tout en préservant la confidentialité. Cela pourrait conduire à des réponses plus rapides et plus coordonnées aux attaques zero-day dans tous les secteurs.
Il convient néanmoins de rappeler que nous n’en sommes qu’aux premiers jours. Les organisations doivent investir dans les meilleures pratiques en matière de données, des pipelines de formation robustes et une gouvernance bien définie avant de s’appuyer sur l’IA générative dans des scénarios critiques.
L’IA générative a le potentiel de bouleverser les approches traditionnelles de modélisation des menaces et de réponse aux incidents. En analysant de manière créative les modèles et en automatisant les stratégies de réponse, il peut offrir une vitesse et une précision inégalées, à condition que nous relevions les défis inhérents tels que les hallucinations, la conformité et les garanties éthiques.