Confier la sécurisation de sa messagerie électronique à une intelligence artificielle est tentant, sur le papier : elle construit patiemment une défense évolutive, de plus en plus perfectionnée à mesure qu’elle analyse et apprend des menaces les plus élaborées. Tout cela sans que l’utilisateur derrière l’écran ne s’en rende compte. Mais l’IA n’est pas plus infaillible que l’humain et se reposer aveuglément sur un algorithme relèverait de la naïveté. Pour autant, l’IA a fait passer la cybersécurité des messageries électroniques, notamment professionnelles, dans une autre dimension. La scale-up Vade a développé une solution de protection prédictive des messageries professionnelles. Adrien Gendre, directeur Tech et Produit de l’entreprise, analyse les enjeux d’une sécurité aussi efficace qu’invisible pour l’utilisateur.
Spams, phishing, malwares : toutes ces menaces nécessitent-elles la même protection ?
Adrien Gendre : Il n’existe pas de solution tout-en-un car la sécurité périmétrique n’existe plus. Les entreprises ne peuvent pas empêcher les données d’entrer ou de sortir. Les infrastructures ont changé : avec le cloud, la surface d’exposition a été démultipliée. L’autre composante à prendre en compte, c’est que les entreprises ont pour la plupart migré vers Microsoft 365 – qui est le premier éditeur en termes de parts de marché sur les suites d’outils de productivité – ou les applications Google. C’est du pain béni pour les attaquants, qui cherchent à remonter le maillage stratégique de leurs cibles. Au niveau technologique, la meilleure réponse est donc d’empiler des couches complémentaires de sécurité. Le principe du pirate est de casser la barrière qu’il trouve en face de lui ; si, une fois passée la première barrière, il en trouve une autre configurée différemment, cela va le ralentir voire le bloquer. Il faut donc associer la sécurité des plateformes ou applications Microsoft et Google avec d’autres couches de sécurité, qui ne bloquent pas seulement les attaques massives mais aussi les attaques très ciblées.
L’intelligence artificielle peut-elle contribuer à ces différentes couches de sécurité ?
A.G. : Là où l’IA aide beaucoup, c’est qu’elle est capable de détecter des menaces à l’aspect très humain. Par exemple, les pirates utilisent des systèmes de génération de texte qui leur permettent d’obtenir une campagne de 100 e-mails visuellement identiques mais uniques dans le code sous-jacent. C’est très compliqué à détecter pour les technologies préventives parce que si la génération est suffisamment aléatoire, le texte sort alors du scope d’alerte. Nous avons également développé un moteur d’analyse visuelle, qui scrute le rendu graphique d’un e-mail ou d’une page. Grâce au deep learning, il comprend que certains rendus visuels sont proches du logo ou de la charte graphique d’une marque mais que ce n’est pas exactement similaire, comme les mails de phishing qui reproduisent des images à l’aide de tableurs aux cellules extrêmement petites. L’œil humain n’est pas sensible à ces différences mais l’IA les voit.
Lui arrive-t-il de se tromper ?
A.G. : Les faux positifs représentent 1 cas sur 1,6 million d’e-mails.
La technologie sert-elle aujourd’hui à pallier les insuffisances humaines en matière de cybersécurité ?
A.G. : Il est de coutume de dire que la plus grande faiblesse en matière de cybersécurité, c’est l’utilisateur. Je préfère le voir comme le dernier maillon de la chaîne de cybersécurité. C’est lui qui prendra la dernière décision donc on doit en tenir compte et renforcer ses défenses. Il faut associer l’humain et la technologie sans que l’utilisateur ne s’en rende compte, pour que cela ne constitue pas une contrainte pour lui. Il s’agit d’observer son comportement pour que la technologie soit performante là où lui ne l’est pas assez. L’IA n’est pas magique, il faut donc compléter avec des caractéristiques précises une IA déjà bien entraînée. C’est le meilleur moyen d’avoir une solution complète.
Existe t-il des menaces qui résistent encore à l’IA ?
A.G. : Le spear phishing et l’usurpation d’identité sont des sujets complexes d’un point de vue technique. Le pirate utilise une adresse mail qui existe déjà, qui vient d’une plateforme légitime et qui envoie un e-mail créé manuellement avec du contenu très contextualisé grâce à l’ingénierie sociale. Quand la machine reçoit cet e-mail, légitime et parfois sans aucun texte trahissant une mauvaise intention, difficile d’identifier la menace. Mais un moteur de traitement du langage naturel (ou Natural Language Processing, abrégé en NLP en anglais), qui a étudié les habitudes d’échanges entre les utilisateurs, est capable de déceler les incohérences.
Comment les algorithmes peuvent-ils gagner en efficacité contre le spear phishing ?
A.G. : Pour faire de l’IA, il faut de la donnée. Les attaques utilisant l’usurpation d’identité sont par définition très ciblées, très peu nombreuses et il existe donc un très faible volume de données sur cette question. Cela rend les algorithmes d’autant plus difficiles à entraîner. Vade a donc recours à des données textuelles augmentées. Nous générons des données pour pouvoir entraîner des IA. Nous avons créé une technique brevetée qui, à partir d’une centaine d’exemplaires de textes, est capable d’en créer des centaines de milliers. Elle utilise pour cela les moteurs de traduction, dont les contenus sont pondérés en fonction de la qualité de traduction entre les langues. Nous avons réalisé un mapping de ces moteurs et créé des boucles de traduction de textes, où certaines variables comme les noms, adresses ou devises ont été changés. À la fin de la boucle, le moteur mesure si le texte final est suffisamment différent du texte initial sans toutefois s’en être trop éloigné. Si c’est le cas, cela permet de générer autant de scénarios d’attaques que nécessaire.
Biographie
Ingénieur en réseaux et télécommunications formé à Télécom Lille, Adrien Gendre fait ses premières armes chez le spécialiste du génie électrique Spie. En 2011, il rejoint Vade Secure – depuis devenue Vade – qui a développé une solution de sécurisation des messageries électroniques reposant sur l’intelligence artificielle. 2 ans plus tard, il en devient le directeur Tech et Produit.