L'IA au service de la Défense : Détecter les Menaces Avant l'Impact (Édition 2025)

Face à des attaques de plus en plus rapides et sophistiquées, les défenses basées sur des signatures statiques ne suffisent plus. Les analystes SOC sont submergés par un déluge d'alertes. L'Intelligence Artificielle (IA) et le Machine Learning (ML) ne sont plus des gadgets, mais une nécessité pour construire une cyberdéfense proactive, intelligente et efficace.

Chapitre 1 : UEBA - Comprendre le "normal" pour détecter l'"anormal"

L'UEBA (User and Entity Behavior Analytics) est l'une des applications les plus puissantes de l'IA en cybersécurité. Son principe est simple mais redoutable :

1. Collecte de données : Le système ingère des volumes massifs de logs provenant de sources variées (Active Directory, VPN, firewalls, proxies, EDR, CloudTrail, etc.). La qualité et la diversité des sources sont primordiales.
2. Apprentissage (baselining) : Pendant une période donnée (ex: 30 jours), un modèle de ML (souvent non supervisé, comme des algorithmes de clustering ou de détection d'anomalies) apprend le comportement "normal" de chaque utilisateur et de chaque machine (entité). Quels sont les horaires de connexion habituels de cet utilisateur ? Depuis quelle zone géographique ? Sur quels serveurs se connecte-t-il ? Quels processus exécute-t-il ?
3. Détection : Une fois la ligne de base établie, le système surveille en continu et attribue un score de risque à chaque action. Une forte déviation par rapport à la normale déclenche une alerte.

Exemple : Un compte du service marketing qui exécute soudainement des commandes PowerShell pour énumérer des partages réseaux sur un contrôleur de domaine à 2h du matin est une anomalie flagrante que l'UEBA détectera instantanément, alors qu'un antivirus classique ne verrait rien de malveillant. Il peut corréler plusieurs événements (connexion inhabituelle + exécution de processus rare + accès à une ressource sensible) pour créer une alerte de haute fidélité.

Cas d'usage : Détecter le mouvement latéral d'un ransomware

Le groupe de ransomware ALPHV/BlackCat est connu pour utiliser des outils légitimes (Living off the Land) pour se propager. Un attaquant pourrait utiliser PsExec pour se connecter à un serveur. Une solution basée sur des signatures pourrait ne rien voir. Une solution UEBA, en revanche, détectera que :

• Le compte source n'a jamais utilisé PsExec auparavant.
• Le compte source ne s'est jamais connecté à ce serveur de destination.
• La connexion a lieu en dehors des heures de travail normales.

La combinaison de ces trois anomalies, bien que chaque événement soit individuellement bénin, générera une alerte de risque élevé.

Contre-mesures : Déployer une solution UEBA (intégrée dans un SIEM moderne ou un XDR), s'assurer que les sources de logs sont complètes et fiables, et surtout, avoir des playbooks de réponse clairs pour les alertes générées.

Chapitre 2 : Détection de menaces inconnues

L'IA permet de passer d'une approche réactive (détecter les menaces connues via des signatures de hash) à une approche prédictive (détecter des menaces jamais vues).

Analyse de malwares via le Machine Learning

Les nouvelles générations de solutions de sécurité (EDR/XDR) n'utilisent plus seulement des signatures. Ils intègrent des modèles de ML qui effectuent une analyse statique et dynamique des fichiers. Ils extraient des centaines de caractéristiques (les "features") d'un exécutable :

• Analyse statique : Les imports de DLLs (ex: kernel32.dll), les chaînes de caractères suspectes, l'entropie du fichier (un signe de chiffrement ou de compression, souvent utilisé par les packers de malware), la structure du header PE.
• Analyse dynamique (sandbox) : Les appels système effectués, les clés de registre modifiées, les connexions réseau établies.

Un modèle entraîné sur des millions d'exemples de malwares et de logiciels légitimes peut alors classifier un nouveau fichier comme malveillant ou bénin avec une haute probabilité, même s'il s'agit d'une variante inconnue.

Analyse du trafic réseau (NTA / NDR)

Le Network Detection and Response (NDR) utilise l'IA pour analyser les flux réseau (NetFlow, logs de firewalls, captures de paquets) pour détecter des signaux faibles d'une compromission, comme des communications de commande et de contrôle (C2) vers une destination inconnue, ou des tentatives d'exfiltration de données cachées dans du trafic DNS ou ICMP (DNS tunneling).

Exemple - L'attaque SolarWinds : Le malware SUNBURST utilisait un protocole C2 sophistiqué qui se cachait dans du trafic HTTP/HTTPS imitant des communications légitimes. Cependant, la régularité des "battements de cœur" (beacons) et l'utilisation d'un algorithme de génération de domaine (DGA) pour trouver le serveur C2 étaient des anomalies comportementales qu'une solution NDR basée sur l'IA aurait pu détecter.

Contre-mesures : Mettre en place une solution NDR, s'assurer qu'elle a une visibilité sur le trafic chiffré (via des TAPs ou des brokers de paquets), et l'intégrer avec l'EDR pour pouvoir corréler une alerte réseau avec un processus sur un endpoint.

Chapitre 3 : L'IA Générative et la course à l'armement

L'arrivée des grands modèles de langage (LLM) a ouvert un nouveau chapitre.

L'IA générative pour les défenseurs

• Analyse et résumé : Un LLM peut lire et résumer un rapport de threat intelligence de 50 pages en quelques secondes.
• Traduction et explication : Il peut traduire du code assembleur complexe en pseudo-code lisible ou expliquer une ligne de commande PowerShell obscurcie.
• Génération de requêtes et de règles : Un analyste peut demander en langage naturel : "Écris-moi une requête Splunk pour trouver toutes les connexions RDP initiées depuis l'extérieur", et le LLM générera la requête. Il peut aussi générer des règles de détection (Sigma, YARA).

L'IA générative pour les attaquants

• Phishing amélioré : Génération d'e-mails de phishing contextuels et sans fautes de grammaire, personnalisés pour la cible.
• Malware polymorphe : Utilisation des LLM pour générer des variantes de code malveillant à la volée pour échapper aux signatures.
• Aide à l'attaque : Demander au LLM "comment puis-je exploiter cette vulnérabilité" ou "écris-moi un script pour faire du Kerberoasting". Les outils comme WormGPT et FraudGPT, apparus en 2023-2024, sont des exemples de LLM spécialisés pour des activités malveillantes.

Contre-mesures : La défense doit se concentrer sur le comportemental. Puisque le phishing devient indétectable à l'œil nu, il faut des passerelles email qui analysent le style d'écriture et les intentions. Puisque le malware change de forme, il faut des EDR qui se concentrent sur les actions qu'il réalise (ses appels système, ses modifications de registre) plutôt que sur son apparence.

Chapitre 4 : Les défis et les limites

La qualité des données est reine

Un modèle d'IA n'est bon que si les données sur lesquelles il est entraîné le sont. "Garbage in, garbage out". La mise en place d'une solution d'IA efficace nécessite une ingénierie de données robuste pour nettoyer, normaliser et enrichir les logs.

Les attaques adversariales (Adversarial AI)

Les attaquants ont compris le fonctionnement des modèles de ML et cherchent à les tromper. Ils peuvent par exemple injecter des données subtilement modifiées dans un exécutable pour le faire passer pour un fichier légitime aux yeux du modèle (attaque par évasion) ou corrompre les données d'entraînement (attaque par empoisonnement). La recherche se concentre aujourd'hui sur la création de modèles plus robustes à ce type de manipulation.