L'intelligence artificielle (IA) est présentée comme une technologie qui réduira la cybercriminalité. Ed Bishop, cofondateur et directeur technique de Tessian, convient que l'IA aidera, mais seulement si elle est configurée pour protéger les personnes.
“Malgré des milliers de produits de cybersécurité, les violations de données sont à un niveau record”, écrit Bishop dans son article sponsorisé de VentureBeat. Pour protéger les gens, nous avons besoin d'un autre type d'apprentissage automatique. « La raison : les entreprises se sont concentrées sur la sécurisation des défenses de la couche machine au-dessus de leurs réseaux, de leurs appareils et enfin des applications cloud. Mais ces mesures n'ont pas résolu le plus gros problème de sécurité : le personnel d'une organisation.
La couche humaine contre la couche machine
Bishop pense que l'IA est préparée pour les applications de cybersécurité en utilisant la méthodologie traditionnelle de la couche machine pour détecter les menaces. Avec l'apprentissage automatique traditionnel, les données sont saisies directement dans le modèle et comparées à une ligne de base opérationnelle, ce qui permet ensuite de décider si les données se situent dans des paramètres acceptables. Bishop mentionne que la capacité de détecter rapidement et avec précision les menaces (programmes malveillants ou activités frauduleuses) au niveau de la machine est inestimable.
Cependant, cette approche, suggère-t-il, est à peu près la même et ne tient pas compte de la couche humaine. Aujourd'hui, les gens ont beaucoup plus de contrôle sur les données et les systèmes de l'entreprise, et le comportement humain est loin d'être statique. Par exemple:
- Les humains sont uniques, il n'y en a pas deux identiques.
- Les humains communiquent avec le langage naturel, et non avec des protocoles de machine statiques.
- Les relations et les comportements humains changent avec le temps.
“Pour prédire si un employé est sur le point de divulguer des données sensibles ou déterminer s'il a reçu un message d'un expéditeur suspect, par exemple, nous ne pouvons pas simplement donner ces données brutes d'e-mail au modèle”, explique Bishop. “Il ne comprendrait pas l'état ou le contexte de l'historique des e-mails de l'individu.”
“Il n'y a pas de concept d'”état” – la variable supplémentaire qui rend les problèmes de sécurité de la couche humaine si complexes”, poursuit Bishop.
Comment l'apprentissage automatique avec état peut aider
C'est là que l'apprentissage automatique avec état vient à la rescousse. Il a la capacité d'examiner les données historiques et de calculer des caractéristiques importantes en agrégeant tous les points de données pertinents qui sont ensuite transmis au modèle d'apprentissage automatique. C'est « une tâche non triviale ; les caractéristiques doivent maintenant être calculées en dehors du modèle lui-même, ce qui nécessite une infrastructure d'ingénierie importante et beaucoup de puissance de calcul, en particulier si les prédictions doivent être faites en temps réel », poursuit Bishop.
Ce n'est peut-être pas anodin, mais l'apprentissage automatique avec état, selon Bishop, est le seul moyen de protéger les employés et les données sensibles auxquelles ils accèdent.
Bishop écrit que les e-mails mal acheminés étaient la principale cause des violations de données en ligne signalées aux régulateurs en 2019. “Il suffit d'une erreur maladroite, comme ajouter la mauvaise personne à une chaîne d'e-mails, pour que des données soient divulguées”, écrit-il. « Et cela arrive plus souvent que vous ne le pensez. Dans les organisations de plus de 10 000 employés, les employés envoient collectivement environ 130 e-mails par semaine à la mauvaise personne. Cela représente plus de 7 000 violations de données par an. C'est une raison suffisante pour que Bishop utilise la sécurisation des e-mails comme exemple de la façon dont l'apprentissage automatique avec état peut être utile.
Jane envoie à sa cliente Eva un e-mail avec pour objet « Mise à jour du projet ». Connaître plusieurs points de données pertinents sur les e-mails serait utile pour déterminer si l'e-mail est réellement destiné à Eva ou a été envoyé par erreur. Les points de données peuvent inclure :
- La nature de la relation de Jane avec Eva;
- Sujets généralement abordés entre les deux personnes ; et
- Façons dont Jane et Eva communiquent normalement.
« Nous devons également comprendre les autres relations de courrier électronique de Jane pour voir s'il existe un destinataire prévu plus approprié pour ce courrier électronique », ajoute Bishop. “Nous devons comprendre toutes les relations historiques de courrier électronique de Jane jusqu'à ce moment.”
Le projet sur lequel Eva et Jane travaillaient s'est terminé il y a six mois. Jane travaille maintenant avec un nouveau client, Evan. Pressée, Jane a accidentellement envoyé un e-mail destiné à Evan à Eva; cela pourrait amener Eva à recevoir des informations confidentielles destinées à Evan. “Il y a six mois, le modèle avec état aurait pu prédire qu'un e-mail de “mise à jour du projet” envoyé à Eva semblait normal”, écrit Bishop. «Mais maintenant, il traiterait l'e-mail comme anormal et prédirait que le destinataire correct et prévu est Evan. Comprendre « l'état », ou le moment exact dans le temps, est absolument essentiel. »
Dernières pensées
La formation et la politique de l'entreprise ont toujours été inefficaces en matière de cybersécurité et, selon Bishop, se concentrer sur la couche machine de la cybersécurité sera également inefficace, car les gens sont imprévisibles. La clé est de se concentrer sur la couche humaine de la cybersécurité.