L’IA autonome, c’est-à-dire capable d’agir sans intervention humaine, est une piste suivie pour identifier des cyber-attaques contre les infrastructures critiques. Cette expérimentation a été réalisée à l’occasion d’un exercice mené par l’OTAN (organisation du traité de l’Atlantique nord) baptisé Cyber Coalition 2022. Pour cette simulation, six équipes de cyberdéfenseurs des pays membres ont été chargées de mettre en place des SI et des réseaux électriques dans une base militaire fictive et de les faire fonctionner pendant une cyberattaque. Si des pirates parvenaient à perturber le fonctionnement des systèmes ou si l'électricité était coupée durant plus de dix minutes, des systèmes essentiels pouvaient être mis hors service.
Mais toutes les équipes ne disposaient pas des mêmes outisl. En effet, trois d’entre elles ont eu accès à une solution de cyberdéfense basée sur l’IA, nommée AICA (Autonomous Intelligence Cyberdefense Agent) développé par l’Argonne National Laboratory du ministère américain de l'Énergie (DOE). L'objectif de l'expérience était de tester et de mesurer l'efficacité de l'IA dans la collecte de données et d'aider les équipes à répondre aux cyberattaques contre les systèmes et services critiques. Elle doit démontrer également l’apport des outils dans l’amélioration de la collaboration entre les humains et les machines pour réduire les risques cyber. Les résultats de l'expérience ont été publiés fin décembre 2022, peu de temps après la publication d'un rapport du Government Accounting Office (GAO) des États-Unis - un organisme d'audit, d'évaluation et d'investigation du Congrès des États-Unis. Ce dernier souligne que de nombreuses entités gouvernementales essentielles n’ont pas conscience de la sécurité des infrastructures critiques et n'ont pas mis en œuvre la plupart des recommandations relatives à la protection de ces dernières depuis 2010.
Les bénéfices de l’IA en matière de cyberdéfense démontrés
« Les équipes ont mis en place une liste définie de services : surveillance du réseau électrique local simulé alimentant leurs systèmes, répondre aux attaques par injection de requêtes et capacité à contrecarrer les tentatives des autres équipes de faire de même par le biais de stratégies de cyberattaque », souligne l'Argonne National Laboratory. « Aucune des équipes ne connaissait le scénario ou les réseaux avant l'expérience. Les équipes ayant utilisé le prototype AICA d'Argonne ont fait des observations clés concernant l'activité du réseau, les événements enregistrés et les alertes de détection d'intrusion, ou bien elles ont détecté des malwares qui ont permis d'améliorer les requêtes des opérateurs et de prendre des décisions automatisées sur les réponses défensives », a affirmé le laboratoire de recherche. « Toutes les équipes ont pu maintenir leurs réseaux en service, mais ce n'était pas le seul résultat valable », a déclaré Benjamin Blakely, analyste chercheur en cybersécurité de l’Argonne, qui a dirigé l'expérience aux côtés d'experts du cyberespace du Commandement allié Transformation (Allied Command Transformation, ACT) de l'OTAN. « Nous avons pu voir le réseau tel que l'agent autonome AICA le voit, y compris les relations entre les modèles d'attaque, le trafic réseau et les systèmes cibles. Les agents utilisent ces informations pour construire un graphe de connaissances du réseau, ce qui les aide à mieux le protéger », a-t-il ajouté. M. Blakely et l'ACT de l'OTAN publieront les résultats complets de l'expérience dans les mois à venir.
Bob Kolasky, SVP pour les infrastructures critiques d'Exiger et ancien directeur adjoint du CISA (équivalent de l’Anssi aux Etats-Unis), a expliqué que l'exercice montrait que les technologies émergentes pouvaient changer la donne en matière de gestion des risques pour les systèmes complexes et interdépendants. « Les laboratoires nationaux, comme l’Argonne, apportent une modélisation pointue, des données synthétiques et une grande puissance de calcul pour soutenir les infrastructures critiques. Cela permettra d'améliorer l'IA et il sera important de tester comment l'IA est appliquée dans le cadre de concepts opérationnels », a-t-il encore déclaré, ajoutant que « ce test de l'OTAN sur application de l'IA aux infrastructures critiques est passionnant ».
L’IA, un défenseur bientôt essentiel
L'intelligence autonome/artificielle peut jouer un rôle important dans la sécurisation des infrastructures critiques et la lutte contre les cybermenaces complexes auxquelles ces systèmes sont confrontés. « L'IA est absolument nécessaire pour détecter les menaces contre les infrastructures critiques, à charge, ensuite, de convenir des actions de réponse pouvant être automatisées pour contenir, éradiquer ou prévenir la menace plus large », a expliqué Martin Riley, directeur des services de sécurité managés de l’entreprise de cybersécurité Bridewell. « La nécessité vient du changement constant de l'infrastructure utilisée par les cybercriminels et des modifications légères ou globales de leurs comportements ».
Bridewell dispose de sa propre équipe de recherche et de renseignement qui suit activement les adversaires, leur infrastructure et leurs comportements, tout en utilisant l'IA. « Le coût de cette recherche et de ces renseignements est important. Par contre, un modèle généré par l'IA diminue ce coût tout en augmentant la maturation, réduisant par conséquent le risque », a ajouté M. Riley. « La réalité est que les fonctions critiques sont généralement basées sur un réseau complexe de dépendances et d'interdépendances qui sont gérées en grande partie par des moyens numériques », a encore déclaré M. Kolasky. « Il est impossible pour les humains seuls de comprendre ces complexités et ces points d'attaque. L'IA va permettre d'accroître l'efficacité et l'efficience de la surveillance des risques et, au final, d’atténuer les risques et de rendre les systèmes plus résilients ».