Jean-Nicolas Piotrowski, CEO de ITrust : « L’IA nous permet de prendre un peu d’avance sur les attaques »

Credit : rawpixel on Unsplash

ITrust, entreprise toulousaine spécialisée dans la cybersécurité, va mettre en place, au premier trimestre 2019, un centre de recherches en cybersécurité et intelligence artificielle et une filière de formation à Toulouse. A travers cet écosystème, elle ambitionne d’intégrer pleinement les métiers dans la création d’algorithmes de détection des menaces et de renforcer encore son activité IA. Nous avons rencontré son CEO, Jean-Nicolas Piotrowski.

 

En matière de cybersécurité, les produits existants sont-ils suffisants ?

On le voit dans les médias depuis 2 ou 3 ans, les outils conventionnels ne protègent plus contre les nouvelles menaces. Le problème de ces outils, c’est que nous cherchons à détecter des malwares et des virus que l’on connaît. Or, aujourd’hui, ce sont des attaques ciblées qui se produisent, conçues pour attaquer une entreprise et qui ne peuvent souvent pas être détectés, car utilisés pour la première fois. Il a fallu trouver une nouvelle méthode : utiliser l’analyse des signaux faibles et non pas l’analyse par pattern ou par règle qui sont les deux méthodes utilisées par les antivirus, les firewalls et d’autres outils.

 

Comment l’intelligence artificielle peut-elle aider à mieux s’armer contre les virus et menaces ?

L’intelligence artificielle nous permet de faire de la recherche de données anormales dans des grandes quantités de données pour essayer de détecter ces signaux faibles et les anomalies pour évaluer des menaces et être capables de détecter de nouvelles attaques avant qu’elles ne se produisent. Par exemple, l’année dernière, nous avions pu détecter le ransomware WannaCry un jour avant les autres, grâce aux signaux faibles que nous avions perçus concernant sa propagation et nos clients ont pu être protégés. Le lendemain, le virus aurait été là et il n’y aurait plus rien eu à faire. L’IA nous permet de prendre un peu d’avance sur les attaques. 

 

L’IA agit-elle comme un premier filtre pour l’humain ?

Ce n’est pas forcément le premier filtre, mais elle est complémentaire à des analyses par pattern, par règle ou à des analyses humaines. Elle fait gagner du temps, gagner en productivité et réduit drastiquement le nombre de faux positifs. Pour une attaque du type WannaCry sur les outils conventionnels, on recevait 500 alertes. Un tel nombre d’alertes étaient intraitables par une équipe d’ingénieurs. Grâce à l’IA, on identifie 3 menaces évaluées. 3 menaces scorées, corrélées avec de l’analyse humaine, vous pouvez le traiter sans problème. La réactivité est donc démultipliée.

 

Est-elle la principale avancée dans la cybersécurité ? Quid des autres nouvelles méthodes ?

Il n’y a pas d’autres méthodes. Nous sommes sur un marché qui est ancien, qui dépend à 80 % des firewalls et des antivirus, et qui a du mal à se remettre en question. L’IA est une vraie rupture, pas seulement une évolution technologique, car elle bouscule les modes de pensées, les modes de fonctionnement, l’utilisation des outils, pour apporter une plus-value. C’est le grand enjeu des dix prochaines années sur ce marché. Il y a également des évolutions dans les approches business, où nous tendons à aller chercher et analyser des données au cœur des métiers des secteurs.

 

L’IA, a contrario, peut-elle introduire de nouvelles menaces ?

C’est pour l’instant de la science-fiction. Les pirates aujourd’hui n’utilisent pas d’intelligence artificielle, car ils n’en ont absolument pas la nécessité, ils arrivent déjà à rentrer facilement dans les systèmes et faire des dégâts. Les technologies de défense actuelles sont très peu évoluées et utiliser l’intelligence artificielle en défensif reste très nouveau. Ce sera peut-être un sujet dans 5 à 10 ans, quand les technologies de cybersécurité à base d’IA commenceront à se généraliser, mais à l’heure actuelle la question ne se pose pas, car l’avantage est clairement du côté des pirates. Ils n’ont pas besoin d’innover.

 

Vous avez récemment lancé un centre de recherche, pour inclure plus fortement les métiers dans l’élaboration d’outils. En quoi est-ce nécessaire ?

En combinant l’analyse des données métiers et des données d’infrastructures, nous augmenterons encore les capacités de détection. La procédure n’est pas facile, car il faut réussir à faire travailler ensemble des gens qui n’ont pas l’habitude de se côtoyer. Jusqu’à présent, on cherchait des menaces de type propagation virale ou attaque de serveur. Grâce au centre de recherche, nous allons pouvoir nous attaquer aux anomalies dans les comportements de métier. Nous pourrons par exemple détecter un docteur qui aurait des comportements anormaux sur des dossiers médicaux, qui laisseraient penser qu’il est à la recherche d’informations pour pouvoir les revendre à des assurances ou à des services à l’étranger. En IoT, l’enjeu est important également. Il y a eu, récemment, une prise de contrôle d’un satellite qui gère des applications. Avec l’explosion des usages, la menace est importante et il est donc impératif de comprendre et d’inclure les données métiers pour que cela ne se reproduise pas. Les data-scientists d’ITrust incluront des données totalement spécifiques au métier. Sur ces domaines, notre objectif est d’établir les data-sets nécessaires pour réussir à créer un modèle qui dépasseraient les 97 % de taux de détection.