2. http://www.personalinteractor.eu
IA pour la Cybersécurité
• Introduction
– La sécurité: un état d’esprit
– Etat de la menace
• Cybersécurité
– Définitions
– Organisations
– Rôles
– Technologies
• IA
– Définitions
– Disciplines
• IA et Cybersécurité
– Applications en défense
• Behaviour Analytics
– Applications en attaque
• DeepFakes
Page 2
4. http://www.personalinteractor.eu
Sécurité Globale
• Définition de l’INHESJ en 2003 :
– Capacité d’assurer à une collectivité donnée et à ses
membres un niveau suffisant de prévention et de
protection contre les risques et les menaces de toutes
natures et de tous impacts, d’où qu’ils viennent, dans
des conditions qui favorisent le développement sans
rupture de la vie et des activités collectives et
individuelles
• Cette définition recouvre de fait :
– sécurité économique,
– sécurité sanitaire,
– sécurité informatique et numérique (données,
réseaux…),
– sécurité du territoire, aérienne et maritime,
– sécurité civile…
Page 4
5. http://www.personalinteractor.eu
ETAT DE LA MENACE
Au fur et à mesure que l’Internet s’immisce dans notre quotidien,
les impacts sur le monde physique “traditionnel” apparaissent plus
clairement, atteintes à la réputation, extorsions de fond, altération
de l’intégrité des personnes et des biens, conséquence de la
menace cybernétique.
Cybernétique, du grec ancien κυβερνητικός, kybernêtikós («
relatif au pilotage, au gouvernement, à la communication »)
Page 5
6. http://www.personalinteractor.eu
Etat des menaces en France
• Le Livre blanc sur la défense et la sécurité
nationale a défini en 2013 les nouvelles
vulnérabilités qui pèsent sur le territoire national
et sur la population
• La France et par extension l’Europe doivent ainsi
se préparer à faire face :
– au terrorisme
– aux attaques majeures contre les systèmes
d’information
– à l’espionnage et aux stratégies d’influence militaires et
économiques
– aux grands trafics criminels
– aux nouveaux risques sanitaires et naturels
– à des risques technologiques accrus
– à la menace de missiles balistiques
Page 6
7. http://www.personalinteractor.eu
Nous sommes en Cyberguerre
Les attaques sur les systèmes d’information
relèvent de la préparation du conflit
Le directeur de l'Anssi, le gendarme français de la
sécurité informatique, Guillaume Poupard,
redoute une "succession d'attaques massives
surprises", estimant que tous les éléments
techniques sont réunis pour un "cyber-Pearl
Harbor"
La France se dote de capacités offensives
dans le domaine Cyber
« Fin 2017, des connexions anormales sur le
serveur de la messagerie internet du ministrère
des Armées ont été constatées. Ces connexions ont
révélé qu’un attaquant cherchait à accéder
directement au contenu de boites mails de 19
cadres du ministrère parmi elles, celles de
quelques personnalités sensibles. Sans notre
vigilance, c’est toute notre chaî ne d’alimentation
en carburant de la Marine nationale qui aurait été
exposée. Cette tentative d’attaque a duré jusqu’en
avril 2018.”
Page 7
8. http://www.personalinteractor.eu
Les croyances
• L’univers “Cyber” est dématérialisé
– En tant que moyen de contrôle à distance, l’Internet permet
d’actionner des objets physiques ou de les rendre
inopérants.
• Une attaque est toujours isolée et ponctuelle
– En tant que moyen de renseignement, l’Internet permet de
s’informer sur les personnes, les biens, les organisations.
Les attaques les plus dangereuses passent inaperçues et
sont persistantes (Advanced Persistant Threats, APT)
• Les attaques cyber sont très techniques
– En tant que moyen de communication, l’Internet est devenu
le principal media d’influence pour véhiculer vrais et fausses
nouvelles et attaquer la réputation des personnes et des
institutions
• La protection des données ne concerne que les données
informatiques
– Le support des fichiers est multiple: papier, informatique,
microfilms, photos, vidéo
Page 8
9. http://www.personalinteractor.eu
Menaces sur les particuliers
• Cibles
– PC
– Smartphone
– Objets de proximité (Personal Area Network, PAN)
– Les objets connectés (IoT)
• Source de menaces
– pirates, malveillance commune
• Menaces
– vol de données personnelles et/ou sensibles
– Usurpation de moyens de paiement
– chantage et extorsion de fonds (email)
– destruction de données
– usurpation d’identité
– attaque en réputation
– dommages physiques (pace maker) et utilisation
abusive
Page 9
10. http://www.personalinteractor.eu
Menaces sur l‘Entreprise
• Détournement de fonds (Président)
• Extorsion de fonds (Wannacry, Petya)
– 220 millions d’€ de pertes de CA pour St Gobain
• Vols de brevets (Airbus et sous-traitants)
• Atteinte aux moyens de production
• Destruction des données (Not Petya)
• Vols des données clients et fournisseurs
– Brèches sur très grands collecteurs de données
• Amendes de non conformité*
• Atteinte aux systèmes d’information (DDoS)
• Exploitation abusive des serveurs (Minage)
50% des entreprises françaises touchées en
2017! Page 10
11. http://www.personalinteractor.eu
Menaces sur les Opérateurs
d’Infrastructure Vitale (OIV)
• Les cibles
– Administrations, Armées, Justice, Recherche &
Espace
– Santé, gestion de l’eau et de l’alimentation
– Energie, communications, transports, finance,
industrie
• Les menaces
– Atteinte au potentiel de guerre économique, de
sécurité ou de survie de la nation
– Atteinte à la santé ou à la survie de la population
Page 11
12. http://www.personalinteractor.eu
L’OBJECTIF :
TOUJOURS PRÉCÉDER
LA PROGRESSION DE
LA MENACE
“No battle was ever won according to plan, but
no battle was ever won without one.”
–Dwight D. Eisenhower (1890-1969)
● Président des Etats Unis (1953 - 1961)
● Chef d’ Etat Major des Armées (1945 - 1948)
● Planificateur de l’opération OVERLORD
6/6/44
● Chef de l’OTAN en 1950
● Compagnon de la libération
■ Plus le 6 juin 2044* à Colleville sur mer
12
14. http://www.personalinteractor.eu
Cybersécurité: définition de la
communauté Européenne
Les actions nécessaires pour protéger les réseaux
et les systèmes d'information, les utilisateurs de
ces systèmes et les autres personnes exposées aux
cybermenaces
Source: Journal Officiel de l’Union Européenne
Page 14
15. http://www.personalinteractor.eu
Ubiquité du risque
La cybersécurité intègre tout à la fois la sécurité
des données et la sécurité des systèmes et des
moyens de communication
Alors que la transformation digitale touche tous les
secteurs de l’industrie elle concerne aussi tous les
services de l’entreprise et ceux des gouvernements
Le risque lié au numérique est donc partout et il est
véhiculé par les réseaux, vecteurs des
cybermenaces
Page 15
16. http://www.personalinteractor.eu
Le digital déborde sur le physique
Page 16 Page 16
Au delà de la sécurité des infrastructures IT et des
applications, la cybersécurité est devenu le premier
rempart des Cyber Physical Systems (CPS) c’est à
dire de la quasi intégralité des objets manufacturés
complexes (véhicules, infrastructures,
équipements, mesures, IoT) et des services
essentiels (énergie, transports, communications,
finance, santé)
La Cyberattaque peut avoir des conséquences
graves dans le monde physique
17. http://www.personalinteractor.eu
Les cybermenaces
Tout objet relié à un réseau (internet, bluetooth, wifi,
LAN) ou à un média extérieur (clef usb, câble de
charge) est susceptible d’être attaqué et infecté
pour trois raisons principales:
Page 17
Disponibilité Intégrité Impact
● Propriété industrielle
● concurrence commerciale
● chantage
1 Voler des informations
● chantage
● concurrence commerciale
● prise de contrôle à distance
2 Bloquer l’accès au
système
● Zombization (DdoS)
● Minage de cryptomonnaies
● Défaçage
3 Détourner l’usage du
système
Confidentialité
22. http://www.personalinteractor.eu
Le coût des cyberattaques
En 2018, les compromissions de comptes email
(BEC) ont doublé et l’utilisation frauduleuse de
machines pour miner des cryptomonnaies
(cryptojacking) ont triplé.
Source: Internet Society 2018 Cyber Incident & Breach Trends Report
Page 22
24. http://www.personalinteractor.eu
Cybermesures
Afin de réduire le cyberrisque, des cybermesures
ont été prises et un système de gestion du risque
cyber est coordonné au niveau Européen par
l’ENISA et au niveau Français par l’ANSSI.
Parallèlement, le tissu industriel se consolide pour
offrir des solutions.
Une offre Européenne globale Cloud et
Cybersécurité nommé HEXATRUST a été créée en
2014 et regroupe plus de 50 entreprises en 2019.
La filière française de la cybersécurité a créé le
label FRANCE CYBER SECURITY en 2015 et 57
entreprise en disposent en 2019
Page 24
29. http://www.personalinteractor.eu
Stratégie de Cybersécurité
• Adopter les bonnes pratiques d’hygiène
informatique (42 mesures de l’ANSSI)
• Démarche normalisée (27001) en créant un
système de management de la sécurité (114
mesures ISO 27002)
– définir une politique de sécurité
– implémenter la politique de sécurité
– contrôler l’application de la politique de sécurité
– réagir aux attaques et au besoin amender la politique
de sécurité
Page 29
30. http://www.personalinteractor.eu
Stratégie résumée
• Gouvernance et écosystème
– Analyse de risques
– PSSI
– Audits de sécurité
• Protection
– Réseau (firewall)
– Machines (anti-virus)
– Données (cryptographie)
• Défense
– Détecteur de vulnérabilités
– SOC (augmenter le renseignement sur les menaces et
la prévention situationnelle)
• Résilience
– PCA
– PRA
– Gestion de crise
Page 30
32. http://www.personalinteractor.eu
Le SOC est l’élément central de la
cybersécurité
• Interne ou mutualisé (MSSP)
• repose sur un corrélateur
d’évenements SIEM
(Security Incident Event
Manager)
• Problèmes:
– pénurie de compétences
d’analystes SOC
– difficulté des conditions de travail (fatigue, reporting lourd,
gestion des faux positifs, alerte permanente, stress)
• Gartner prévoit un recours important et croissant à
l’automatisation des SOCs par les Security Orchestration
Automation and Response (SOAR)
– gestion des menaces et vulnérabilité
– coordination de la réponse à un incident
– automatisation par règles des workflows et processus
Page 32
34. http://www.personalinteractor.eu
IA: définir les concepts
L’IA est définie au journal officiel comme le
« champ interdisciplinaire théorique et pratique qui
a pour objet la compréhension de mécanismes de la
cognition et de la réflexion, et leur imitation par un
dispositif matériel et logiciel, à des fins d’assistance
ou de substitution à des activités humaines »
Source: Vocabulaire de l’intelligence artificielle. JORF n°0285 du 9
décembre 2018, texte n°58.
Page 34
35. http://www.personalinteractor.eu
Les disciplines de l’IA
• Systèmes experts (programmation à base de
règles)
• Systèmes d’optimisation (programmation par
contrainte)
• Systèmes d’apprentissage (réseaux neuronaux)
Page 35
IA
Optim Correlation
maintenancegestion des risquesordonnancementroutage
Généralisation
PrédictionReconnaissance
36. http://www.personalinteractor.eu
L’apprentissage automatique se
diversifie
Page 36
Supervised
Learning
Train a model on
labelled data to
enable labelled
pattern matching
S
● Regression
● Classification
● Image
recognition
● Speech
recognition
● risk assessment
● data prediction
Unsupervised
Learning
finding structures
and classify
unlabelled data
U
● Clustering
● data exploration
● anomaly
detection
● Image
Segmentation
Reinforcement
Learning
learn decision making
by sequentially
computing reward
function
R
● DeepMind
● games (go,
chess)
● Real-time
decisions
Active
Learning
learn by identifying
data clusters and
prompting for labels
when too much
uncertainty.
A
● Very large
datasets
● Pharetra luctus
felis
● Proin vel tellus in
felis
● Molestie nec
amet cum
Bayesian
Networks
Bayesian networks
are generally hand
coded by experts. But
the machine can
learn the structure of
a Bayesian network
B
● Risk
management
● Workflow
37. http://www.personalinteractor.eu
Où investir de l’IA en Cybersécurité ?
Page 37
• Malware detection
• Intrusion detection
• User behaviour analysis (UEBA)
Les questions à poser avant l’integration de l’IA dans un logiciel
"The State of AI in Cybersecurity: The Benefits, Limitations and Evolving
Questions
41. http://www.personalinteractor.eu
Utilisations de l’IA par l’adversaire
l’IA générative (texte, voix, vidéo, image) permet de
créer des imitations visuelles ou sonores (deep
fakes)
L’IA peut aussi être instrumentalisée pour découvrir
les failles et optimiser leur exploitation. (Scanner de
vulnérabilité)
L’analyse comportementale peut être dédiée à
l’étude des mesures de protection afin de les
contrer.
Page 41
42. http://www.personalinteractor.eu
Conclusions
• La cybersécurité, ensemble de pratiques
assurant la sécurité des systèmes, des réseaux
et des données est un pilier de la sûreté globale
• L’IA trouve une place dans l’automatisation de
processus de reconnaissance de menaces et de
détection de signaux avancés
• Elle peut hélas être instrumentalisée en outils
par les cybercriminels
• Il est donc nécessaire, pour conserver la
meilleure capacité de détection des nouvelles
menaces de faire travailler ensemble IA et
analystes humains par le Human Machine
Teaming
Page 42
43. http://www.personalinteractor.eu
Biographie
• Titulaire d’un DEA en Intelligence Artificielle de l’Université
d’Orsay, début de carrière dans le développement logiciel au sein
de la division simulateurs de THALES.
• 5 années dans le développement international des systèmes
experts pour ILOG/IBM.
• Auditeur de la 21ème Session Nationale de l’INHESJ (2010)
• membre du Syndicat du Conseil en Sûreté
• Membre du réseau Cybermalveillance et du CLUSIR PACA
• Etude, audit, homologations sur tous les projets de systèmes
d’information pour la sécurité globale
• Contact:
– +33 6 08 57 92 20
– dominique.verdejo@personalinteractor.eu
Page 43