1

Intelligence Artificielle : Quels usages et quels apports en

matière de cybersécurité ?

Cycle Sécurité numérique – INHESJ

Thierry Berthier - 13 juin 2016 Chaire de Cyberdéfense & Cybersécurité Saint-Cyr

2

Plan1 - L’intelligence Artificielle

Définitions (tentatives)Historique de l’IAFondements de l’IA

2 - Apprentissage & réseaux de neurones artificielsPrincipes et construction d’un RNAApprentissage supervisé et non superviséCapacités, cas d’usage, grands exemples

3 - L’IA comme moteur de la cybersécuritéLes chiffres de la cybersécurité en 2015Les apports de l’IA en cybersécuritéL’UBA - User Behavior Analytics , une tendance lourdeQuelques solutions du marchéPerspectives & prospective

3

1 - L’intelligence artificielle

4

Ce que déclarait Alan Turing en 1950…“ Instead of trying to produce a program to simulate the adult mind, why not rather try to produce one which simulates the child‘s? If this were then subjected to an appropriate course of education one would obtain the adult brain.

Presumably, the child brain is something like a notebook […]. Rather little mechanism, and lots of blank sheets. […]. Our hope is that there is so little mechanism in the child brain that something like it can be easily programmed. The amount of work in the education we can assume, as a first approximation, to be much the same as for the human child.

Computing machinery and intelligence (Alan Turing, 1950, Mind, philosophy journal).”

5

Des tentatives pour définir l’IA …

L’expression IA apparaît en 1956 durant la conférence de Dartmouth dans une première définition (qui s’avère très insuffisante aujourd’hui) :

Définition de Marvin Minsky (1927 – 2016)« L’intelligence artificielle est la science qui consiste à faire faire à des machines ce que l’homme fait moyennant une certaine intelligence ».

Critique : Cette définition présente une forte récursivité… La « complexité » mentale est-elle comparable à la complexité informatique ?La définition de Minsky exclut des domaines majeurs de l’IA : la perception (vision et parole), la robotique, la compréhension du langage naturel, le sens commun.

6

Des tentatives pour définir l’IA …

L’IA est-t-elle le contraire de la « bêtise naturelle » ??

Une définition plus opérationnelle : « L’IA est le domaine de l’informatique qui étudie comment faire faire à l’ordinateur des tâches pour lesquelles l’homme est aujourd’hui encore le meilleur. » (Elaine Rich & Knight – Artificial Intelligence)

Les grandes dichotomies de l’IA subsistent :- IA forte vs IA faible, - Niveau de compétence vs niveau de performance,- Algorithmique vs non algorithmique,- Vision analytique vs vision émergente de la résolution de problèmes,- Sciences du naturel vs sciences de l’Artificiel.

7

Des tentatives pour définir l’IA …

IA forte : une machine produisant un comportement intelligent , capable d’avoir conscience d’elle-même en éprouvant des « sentiments » et une compréhension de ses propres raisonnements.IA faible : Machine simulant ces comportements sans conscience d’elle-même. Impossibilité liée au support « biologique » de la conscience.

La question centrale : une « conscience » peut-elle émerger de manipulations purement syntaxiques ?

C’est l’expérience de la Chambre chinoise imaginée par John Searle en 1981. C’est aussi l’hypothèse (forte) de la pensée singulariste / transhumaniste.

8

Le Test de Turing (1950)

9

Compétence vs performance :On doit tenir compte de la distinction introduite par Noam Chomsky (MIT) : faire « comme » ou faire « aussi bien que ». L’oiseau et l ’avion volent mais pas de la même façon…Jeux d ’échecs : les grands champions réfléchissent différemment de Deep Blue. Jeu de Go : AlphaGo n’a pas la même approche que celle du champion du monde .

Vision analytique vs vision émergente de la résolution de problèmes :D’un côté on procède par décomposition de problèmes en sous-problèmes plus simples à résoudre (analyse procédurale, système experts basés sur la logique des prédicats) et de l’autre, on réalise une distribution des tâches à un ensemble d ’agents qui interagissent (exemple : Ant Algorithm).

10

L’histoire de l’IA est très récente… (60 ans)

Acte de naissance : 1956, Darmouth College (New Hampshire,USA)John McCarthy (tenant de la logique) et Marvin Minsky (tenantd’une approche par schémas).Genèse autour de la notion de « machines à penser »Comparaison du cerveau avec les premiers ordinateurs

Les grands acteurs de l’IA

Mc Culloch et Pitts : réseaux neuronaux artificiels (approchephysiologique),Wiener : cybernétique,Shannon : théorie de l’information,Von Neumann : architecture d’un calculateur,Alan Turing : théorisation des fonctions calculables par machine,Kurt Gödel : théorème d’incomplétude (1931).

11

+ + + +

Lecture/écriture

Unité decommande

États internes:Etat0, Etat1, Etat2,

...

Ruban= entrée,sortie etmémoire

Etat de lamachine

Contenu dela cellule

Ecrit sur leruban

Déplacementruban Etat suivant

Etat0 vide D Etat0Etat0 + D Etat1

Le Programme

La machine de Turing universelle(1936)

12

Les premiers programmes et systèmes de l’IA

Newell, Simon et Shaw proposent un premier programme dedémonstration de théorèmes en logique (1956!). Ils généralisent enproposant le General Problem Solver qui progresse dans larésolution en évaluant la différence entre la situation du solveur etle but à atteindre.

Les programmes capables de jouer aux échecs : les premières idéesapparaissent en 1950 avec Shannon. La première victoire sur unMaître en 1997 Deep Blue bat Kasparov. Jeu de Go: AlphaGo remporte 4 victoires sur 5 au jeu de Go en 2016Le test « d’intelligence » (Evans 1963) : trouver la suite « logique »(analogique en fait) d’une série de figures.Résolution de problèmes par propagation de contraintes ( Waltz1975 ).Dialogue en « langage naturel » : Eliza, Weizenbaum en 1965Système SHRDLU Winograd en 1971.

13

L’époque des systèmes experts (1970-1980)

Les systèmes experts apparaissent au début des années 1970 et sedéveloppent jusqu’à la fin des années 1980 :

DENDRAL en chimie, MYCIN en médecine, Hersay II encompréhension de la parole, Prospector en géologie.

Apparaissent également les premiers générateurs de systèmesExperts : NEXPERT System, CLIPS, …

Les langages de programmation pour l’IA

LISP (usa), PROLOG (France - Colmerauer), SmallTalk (langage objet), YAFOOL et KL-ONE (langages de Frame),langages de logique de description.

14

Période 70-80 : Systèmes Experts

• Chainage avant (Rules) ou arrière (Prolog)• Dendral (1965), Mycin (1974); Prospector(1983)

Base de connaissance (BC)mémoire à long terme

Base de faits (BF)mémoire de travail

Moteur d’inférence (MI)

15

Dès 1970, apparaît le concept de Réseaux sémantiques

16

Les années 1980 : La période des espoirs déçus de l’IA

Recul de l’approche symbolique de l’IA : Après des espoirs déçus : en particulier avec l’échec de lagénéralisation de la théorie des micromondes et le constat dumanque de souplesse des systèmes experts (on parlerait aujourd’huide manque d’agilité). Ils ont pourtant enregistré des succès dans desdomaines bien spécifiques en particulier en informatique de gestion.

Renaissance de l’approche connexionniste :- Systèmes multi-agents, concept de « vie artificielle »,- Hopfield, mémoire autoassociative, 1982 - Rumelhart & McClelland, Parallel Distributed Processes, MIT Press,1985- Réseaux de neurones artficiel (RNA)

17

Les défis actuels de l’IA

- Attente d’une IA généraliste (?), autonome (?), auto-apprenante- Elle doit devenir performante et adaptative sur des situations dynamiques, changeantes, singulières. - Elle doit être capable d’assister l’apprentissage humain.- Elle doit être en mesure de gérer des dialogues entre « agents » très hétérogènes.

Pour cela, il faut traiter la cognition comme une émergence dans l’interaction avec l’environnement.

Ceci implique la conception d’une nouvelle génération de systèmes informatiques qui vont privilégier une cognition située, distribuée, émergente (prolifération d’agents intelligents et auto-apprentissage).

18

L’agent intelligent comme concept fondamental de l’IA

- Le terme « action » est à comprendre au sens large. Cela peutsignifier « fournir un diagnostic ». - La boucle systémique Agent/Environnement n’est pasnécessairement fermée.

?

senseurs

"actionneurs "

AGENT

perception ENVIRO

NN

EMEN

T

"action"Source – Mines ParisTech

19

Source – Mines ParisTech

20

Définition de l’apprentissage artificiel :« Capacité d’un système à améliorer ses performances via des interactions avec son environnement » .

Spécificité de l’apprentissage :Conception et adaptation de l’agent « intelligent » par analyse automatisée (statistique) de son environnement et de son action dans cet environnement.

Exemple typique d’apprentissage artificiel :L’agent « prédicteur »

21

Historique

Donnéesexternes

PrédictionAGENTPREDICTEUR

Modèle de l’agent prédicteur

Performance espérée : minimiser l’erreur de prédictionMéthode : utiliser des données expérimentales pour déterminer le modèle le plus correct du type :

Prédiction = F ( historique, données externes )

Source – Mines ParisTech

22

Définir précisément le type d’apprentissage recherché

En particulier , il faut choisir le modèle de fonctions mathématiques sous-jacent : splines, arbre de décision, réseau de neurones, arbre d’expression, machine à noyau…

Il faut définir le type d’interactions avec l’environnement : - apprentissage « hors-ligne » v.s. « en-ligne »- apprentissage « supervisé » ou non, « par renforcement »

Il faut définir la mesure de performance du système : fonction de coût, objectif, critère implicite, …Et la façon de l’améliorer : famille d’algorithmes utilisés gradient, résolution exacte, problème quadratique, heuristique.

23

2 - Apprentissage & Réseaux de Neurones Artificiels (RNA)

24

Un système d’apprentissage est en général composé :

- d’un modèle paramétrique,

- d’une façon d’interagir avec l’environnement,

- d’une « fonction de coût » à minimiser,

- d’un algorithme destiné à adapter le modèle, en utilisant les données issues de l’environnement, avec l’objectif d’optimiser la fonction de coût

25

Apprentissage supervisé

Exemples entrée-sortie(x1,y1), (x2,y2), … , (xn, yn)

H famille de modèles mathématiques

Paramètres pourl’algorithme d’apprentissage

ALGORITHME

D’APPRENTISSAGE hH

Source – Mines ParisTech

26

APPRENTISSAGE SUPERVISÉ : régression et classification

Régression Classification (approximation) (yi = « étiquettes »)

?AGENTEntrée = perception

Sortie adéquate (attendue)

entrée

sorti

e

points = exemples courbe = régression

entrée = position point

sortie désirée = classe ( =-1,+=+1)

Fonction

étiquette=f(x) (et frontière de

séparation)

Source – Mines ParisTech

27

APPRENTISSAGE NON SUPERVISÉ

Deux situations sont possibles :

Ou bien on ne dispose que d’exemples de type « entrée », et on cherche àobtenir un agent dont la « sortie » vérifie une certaine propriété (par exemple,sortie obtenue identique ou « proche » pour des entrées « voisines »).

Ou bien on ne dispose que d’un environnement (réel ou simulé) dans lequel onpeut placer l’agent pour « évaluer » son comportement de façon à l’améliorer.

?AGENTEntrée = perception

Sortie voulue INCONNUE

ENVIRO

NN

EMEN

T

Source – Mines ParisTech

28

Apprentissage NON supervisé à partir de données

Base d’exemples de type « entrée seule» :

X= {x1, x2, … , xn}(xid, souvent avec d « grand »)

H famille de modèles mathématiques

[ chaque hH agent avec comportement y=h(x) ]

Hyper-paramètres pourl’algorithme d’apprentissage

ALGORITHME

D’APPRENTISSAGE

hH telle quecritère J(h,X)soit vérifié ou

optimisé

Source – Mines ParisTech

29

axone

corps cellulaire

dendrite

synapse

Réseaux de neurones artificiels (RNA)

Le modèle du neurone biologique

30

Neurones biologiques

31

Utilisation des RNAEn classification et catégorisation :

Pour répartir en plusieurs classes des objets,Pour transformer des données quantitatives en informations qualitatives,Pour la reconnaissance de formes, d’images, de sons, de textes.

En Recherche Opérationnelle :Pour résoudre des problèmes dont on ne connaît pas la solution, En apprentissage profond.

En Mémoire Associative :Pour restituer ou reconstituer une donnée à partir d’informations incomplètes et/ou bruitées.

32

Bref historique des RNAJames [1890] :

L’introduction du concept de mémoire associativeMcCulloch & Pitts [1943]

A logical calculus of the ideas immanent in nervous activitiesIntroduction du concept de neurone formel

Les ordinateurs à codage binaire (Von Neumann) L ’intelligence artificielle (calcul symbolique) Les réseaux de neurones

Hebb [1949]Organisation of behaviorle conditionnement comme propriété des neurones artificiels.Les premières lois d’apprentissage.

33

Bref historique des RNA Rosenblatt [1957] :

Présentation du perceptron comme premier modèle opérationnelCapacité de reconnaissance d ’une configuration appriseUtilisation pour traiter la tolérance aux bruits

Widrow [1960] :Réseau Adaline, adaptive linear element

Minsky & Papert [1969] :Une limite : impossibilité de classer des configurations non linéairement séparables.Abandon (financier) des recherches sur les RNA durant presque une décennie…

34

Bref historique des RNA[1967 - 1982] :

Mise en sommeil des recherches sur les RNA. Elles continuent sous le couvert de domaines divers. Grossberg, Kohonen, Anderson, ...

Hopfield [1982] :Introduction du modèle des verres de spins

Boltzmann [1983] : première réponse à la limite de Minsky et Papert

[1985] : la rétro-propagation du gradient et le perceptron multicouche

Rumelhart, McClelland, … [1985] : le groupe Parallel Distributed Processing

35

Le modèle mathématique d'un neurone artificiel

Entrées duneurone

Poids duneurone

36

Le modèle mathématique d'un neurone artificielUn neurone est constitué d'un intégrateur qui effectue la somme pondérée de ses entrées. Le résultat de cette somme est ensuite transformée par une fonction de transfert f qui produit la sortie a du neurone.

Les R entrées du neurone correspondent au vecteur P noté traditionnellement en ligne. On utilise aussi la transposée.

W représente le vecteur des poids du neurone.

La sortie n de l'intégrateur est alors définie par une égalité écrite sous forme matricielle. b désigne le « biais du neurone », c’est-à-dire un facteur correctif décidé par tâtonnement. La sortie du neurone est donnée par a = f(WtP-b)

37

Sortie n de l’intégrateur :

Sous forme matricielle :

b = biais du neurone

Sortie a du neurone :

Principe de fonctionnement du

neurone

38

Représentation formelle du neurone

39

Les plus courantes

Les plus utilisées

fonction seuil(ou "hard limit") fonction sigmoïde fonction linéaire

Fonctions de transfert usuelles

40

Fonctions de transfert usuelles

Le modèle de RNA utilise une fonction d'activation a = f(n) qui peut être définie de plusieurs manières (souvent empiriques) en fonction des situations.

Les plus usuelles sont la fonction "seuil" ou "hard limit" en anglais, la fonction "linéaire", et la fonction "sigmoïde".

41

Construction du réseau de neurones

42

Construction du réseau de neurones

Un réseau de neurones est un maillage constitué de plusieurs neurones organisés généralement par couches.

wi,j désigne le poids de la connexion qui relie le neurone i à son entrée j.

L'ensemble est représenté par une matrice des poids de connexion W de dimension SxR et les S neurones sont représentés par un vecteur de neurones.

43

Construction du réseau de neuronesUn réseau de neurones est constitué de plusieurs couches de neurones qui sont connectées entre elles (Perceptron Multi-Couches).

Les réseaux multicouches sont beaucoup plus puissants que les réseaux simples à une seule couche. Les réseaux de neurones exploitent en général deux ou trois couches mais parfois plus (DeepFace de Facebook RN à 9 couches).

En utilisant deux couches et en employant une fonction d'activation sigmoïde sur la couche cachée, il est possible d' "entraîner" un réseau à produire une approximation de la plupart des fonctions, avec une précision arbitraire.

44

Représentation du réseau

45

Le perceptron multi-couches

46

La phase d'apprentissage d'un réseau de neurones se décompose en cinq étapes :

Etape 1 - Présenter au réseau un couple entrée-cible.Etape 2 - Calculer les prévisions du réseau pour les cibles.Etape 3 - Utiliser la fonction d'erreur pour calculer la différence entre les prévisions (sorties) du réseau et les valeurs cible. Reprendre les étapes 1 et 2 jusqu'à ce que tous les couples entrée-cible aient été présentés au réseau. Etape 4 - Utiliser l'algorithme d'apprentissage afin d'ajuster les poids du réseau de telle sorte qu'il produise de meilleures prévisions à chaque couple entrée-cible. Remarque : les étapes 1 à 5 constituent un seul cycle d'apprentissage ou itération. Le nombre de cycles nécessaire pour entraîner un modèle de réseaux de neurones n'est pas connu a priori mais peut être défini dans le cadre du processus d'apprentissage.Etape 5 - Répéter à nouveau les étapes 1 à 5 pendant un certain nombre de cycles d'apprentissage ou d'itérations jusqu'à ce que le réseau commence à produire des résultats suffisamment fiables (c'est-à-dire des sorties qui se trouvent assez proches des cibles compte tenu des valeurs d'entrée). Un processus d'apprentissage type pour les réseaux de neurones est constitué de plusieurs centaines de cycles.

47

Les réseaux de neurones sont performants dans les taches suivantes :

Traitement du signal, Maîtrise des processus,

Robotique, Classification,

Pré-traitement des données Reconnaissance de formes,

Analyse de l'image et synthèse vocale, Diagnostics et suivi médical,

Marché boursier et prévisions, Demande de crédits ou de prêts immobiliers.

48

Deep Learning et Réseaux de Neurones

On enregistre les premiers succès du Deep Learning (apprentissage profond) en 2006. Les réseaux de neurones accompagnent les avancées du Deep Learning .

Ces réseaux sont multicouches. Ils effectuent une série de traitements hiérarchisés dans le but de classer des objets en catégories, sans critères prédéfinis. Il s'agit d'un apprentissage non supervisé.

Google, Facebook, IBM les utilisent partout aujourd’hui…

Donnons quelques exemples :

49

DeepFace de Facebook

Facebook a développé DeepFace, une application de reconnaissance de visages qui atteint des taux de réussite de plus de 97 %.

DeepFace utilise un réseau de neurones à 9 couches.

50

51

AlphaGo – DeepMind Google

52

AlphaGo – DeepMind Google

53

54

Google Car & Deep Learning

55

Dans les rêves des couches profondes des réseaux de neurones de Google…

56

Dans les rêves des couches profondes des réseaux de neurones de Google…

57

TensorFlow, la bibliothèque « Machine Learning » de Google

https://www.tensorflow.org/

58

Watson – IBM

59

Watson – IBM

60

Les dérives de TAY, l’IA de Microsoft qui apprenait trop bien …

61

Les dérives de TAY, l’IA de Microsoft qui apprenait trop bien …

62

3 - L’IA comme moteur de la cybersécurité

63

Quelques chiffres concernant 2015 …

64

Les chiffres de la cybersécurité en 2015 Etude Pwc – The Global State of Information Security Survey 2016

Au niveau mondial :

- Une augmentation de 38 % du nombre de cyberattaques.

- Une augmentation de 24 % des budgets sécurité des entreprises (correction par rapport à la tendance en baisse constatée en 2014)

- En France, le nombre de cyberattaques a progressé de 51 % au cours des 12 derniers mois et les budgets de sécurité des entreprises françaises ont progressé en moyenne de 29 % alors que les pertes estimées liées aux cyberattaques ont augmenté de 28 % en une année.

65

Pourcentage d’augmentation du nombre d’incident de cybersécurité en 2015 en France et dans le monde

Source d’incident de cybersécurité en 2015 en France et dans le monde

66

Au niveau mondial comme en France, la source des menaces reste majoritairement interne aux entreprises. En effet, les employés actuels constituent, cette année encore, la principale source des compromissions de données. Cependant les sources qui ont progressé le plus en 2015 sont, elles, externes aux entreprises. L’étude révèle que la responsabilité des fournisseurs et des prestataires de service actuels est de plus en plus importante ; elle a augmenté d’environ 32% pour les fournisseurs et de 30% pour les prestataires de services. Cela est dû au fait que les entreprises travaillent de plus en plus en collaboration avec des partenaires externes, ce qui participe à l’expansion de la surface d’attaque.

Augmentation du budget moyen « cybersécurité » des entreprises en 2015

67

Le budget moyen de cybersécurité des entreprises françaises interrogées s’est établi à 4,8 millions d’euros par entreprise en 2015, soit un budget en hausse de 29% par rapport à l’année dernière – un chiffre quelque peu supérieur à la moyenne mondiale de 24%. Les répondants ont affirmé que l’implication de plus en plus poussée du comité exécutif a permis d’améliorer leurs pratiques de cybersécurité. Ces investissements budgétaires répondent à une menace réelle pesant sur les résultats des entreprises. En effet, les pertes financières liées à des incidents de cybersécurité sont estimées en moyenne à 3,7 millions d’euros par entreprise en France, soit une augmentation de 28% par rapport à 2014. Alors que les cyber-risques deviennent des préoccupations clés des comités exécutifs, les dirigeants repensent leurs pratiques en matière de cybersécurité et se concentrent sur un mix de technologies innovantes qui peuvent réduire les risques, tout en améliorant la performance commerciale de l’entreprise. Ces technologies permettent de construire des dispositifs de protection intégrés et holistiques contre les cyberattaques. 91% des organisations interrogées ont mis en place des frameworks pour la sécurité, ou, plus souvent, une fusion de différents frameworks.

68

http://www.pwc.fr/cybersecurite-le-nombre-de-cyber-attaques-recensees-a-progresse-de-38-dans-le-monde-en-2015.html

69

http://www.pwc.fr/cybersecurite-le-nombre-de-cyber-attaques-recensees-a-progresse-de-38-dans-le-monde-en-2015.html

70

71

- 75 % des entreprises ont été victimes d’attaques au cours des deux dernières années.

- 8 sur 10 n’avaient pas conscience d’avoir été compromises.

- 99 % ne possèdent que les outils basiques de protection : firewall, antivirus, sauvegardes.

72

Pour détecter les menaces, les mécanismes de sécurité « traditionnel » se basent aujourd’hui sur des signatures ou sur des scénarios de malveillance pré-établis, donc rigides et peu ou pas adaptés aux menaces en évolution permanente.

Les solutions de cybersécurité classiques sont créées autour de règles utilisées pour détecter les vulnérabilités et les activités suspectes. Elles sont en général insensibles aux APT.

Ces systèmes ont atteint leurs limites fonctionnelles !L’IA permet de dépasser ces limites.

73

Security Information and Event Management

74

UBA : User Behavior Analytics

75

76

77

78

Fonctionnement d’une solution UBA

Une solution utilisant l’UBA apprend, sans pré-requis de modèle, à partir de « l’historique de vie » d’un système puis catégorise et sépare les comportements « anormaux » de ceux qui sont conformes aux standards de sécurité.

L’UBA est ainsi en mesure de produire des alertes sur des événements susceptibles de créer un contexte de vulnérabilité.

Le fonctionnement de l’UBA repose sur l’apprentissage statistique. Celui-ci exploite les données massives qui demeuraient jusqu’à présent sous-employées ou seulement partiellement utilisées comme les bases de logs des systèmes connectés.

79

Fonctionnement d’une solution UBA

Les outils UBA exploitent massivement les rapports d’activité, les fichiers de logs et le SIEM (Security Information Management System) en tant que base d’apprentissage.

Ils définissent des motifs typiques correspondant statistiquement à des comportements à risque.

Les solutions UBA contiennent souvent plusieurs moteurs de détection d’anomalies, complémentaires, qui collaborent pour couvrir un large spectre de menaces. On y trouve en général un moteur de détection de signal faible, un moteur de corrélation métier issu de l’expertise d’ingénieurs en cybersécurité complétés par une base de connaissance globale régulièrement mise à jour à partir des retours d’expériences-clients.

80

Fonctionnement d’une solution UBA

Ces moteurs travaillent sur une base (big data) souvent externalisée qui contient les données d’entrées utilisées ensuite lors de la phase d’apprentissage.

Ces données proviennent de sources diverses : SIEM et logs via les connecteurs SIEM, des messages AMQP (Advanced Message Queuing Protocol) et des requêtes JSON (JavaScript Object Notation).

Après analyse, le système UBA renvoie les alertes, les seuils et les sources d’anomalies par logs, Syslogs, AMQP et XML/JSON. Les règles métiers peuvent être implémentées et suivies dans le corrélateur métier (cf; Technologie Reveelium développée par ITrust).

81

Ce que détecte une solution UBA

L’IHM des moteurs UBA permet d’afficher les corrélations, de suivre les déviances et d’instaurer un dialogue entre l’utilisateur et son système de détection. Les anomalies affichées peuvent être des virus connus, des malwares furtifs, des comportements à risque, de la fraude, une fuite de données, une malveillance numérique…

Les solutions UBA offrent un spectre de détection beaucoup plus large qu’un système de supervision classique ou qu’un antivirus.

Elles permettent ,entre autres, l’analyse forensique et l’investigation après une compromission. Elles identifient l’attaque et son cheminement.

Elles sont en mesure de détecter une utilisation frauduleuse du système d’information et notamment l’usurpation de droits.

82

Elles réagissent à la perte et au vol de données et se montrent efficaces face à des attaques de type APT.

Elles peuvent prédire certains crashs entraînant une indisponibilité de la production et sont utiles pour respecter la conformité aux réglementations et aux meilleures pratiques.

Elles détectent les pertes et fraudes financières ainsi que les attaques sur l’image de marque. L’apprentissage statistique permet souvent de diviser par 50 les temps d’analyse des données par les superviseurs !

Pour finir, on notera que lorsque la solution UBA est développée en Europe, sa technologie n’est pas soumise au Patriot Act et les données des clients restent confidentielles, conformément aux réglementations européennes.

83

Ce que l’UBA (2016) aurait pu éviter …

Une solution UBA aurait été en mesure de détecter les agissements de Snowden avant qu’il ne réalise ses vols de données.

Cette solution UBA aurait également été capable de détecter la propagation des virus et APT récents (Target, Sony,…) avant les extractions de données confidentielles des entreprises concernées.

84

Quelques exemples de solutions proposant l’approche User Behavior

Analytics (UBA)

SPLUNK – solution UBAITRUST - solution Reveelium

DARKTRACE SENTRYO – solution ICS Cybervision

THALES – Sonde Cybels SensorCISCO TALOS

85

Splunk – solution UBA Société américaine (San Francisco) développe une solution appelée UBA (User Behavior Analytics) qui se veut « clé en main ». Elle permet de détecter des menaces connues, inconnues et dissimulées via l’apprentissage automatisé.

Avant l’UBA, les solutions travaillaient sur la base de règles et de codification de tous les scénarios qui pouvaient aboutir à une anormalité. Les limites sont atteintes : impossible de tout codifier et un taux extrêmement élevé de faux positifs d’autre part. L’UBA fournit aujourd’hui une approche complémentaire qui permet de détecter les comportements déviants.

Splunk vient de racheter la start-up Caspida spécialisée dans les technologies de machine learning.

86

87

88

89

90

91

92

93

94

Solution Itrust Reveelium

95

96

97

98

DarktraceStart-up britannique fondée en 2013, valorisée à 100 millions de dollars, utilise des technologies d’UBA issues de recherches menées à l’Université de Cambridge. Les solutions Darktrace construisent un modèle comportemental à partir du flux généré par les machines et les usages des employés. Ce modèle apprend tout au long de la durée de vie du projet. Il fonctionne comme un système immunitaire biologique qui devient performant pour détecter les APT. La solution Darktrace utilise environ 300 paramètres (heures, IP de connexion des utilisateurs,…) pour établir un modèle comportemental dont la première phase d’apprentissage dure environ une semaine. Le réseau est visualisable en 3D, en temps réel. Des solutions existent pour la bureautique et pour les systèmes industriels.

99

100

101

102

103

104

Sentryo ICS Cybervision (startup française)

La start-up lyonnaise Sentryo développe la solution ICS CyberVision dédiée à la sécurisation « UBA » des sites industriels critiques SCADA. Sentryo rapproche IT et OT. Ses solutions permettent de dépasser le périmètre classique d’un système, avec une approche plus globale de sa cybersécurité.https://www.sentryo.net/fr/

105

Solution Sentryo surveillant un réseau industriel SCADA

106

Thales – Sonde de détection Cybels Sensor

Le groupe Thales développe sa sonde de détection d’intrusion Cybels Sensor qui intègre l’UBA pour détecter les évènements anormaux en complément des signatures d’attaques classiques.

https://www.thalesgroup.com/sites/default/files/asset/document/cybels_white_paper_uk_08042013.pdf

107

Thales – Cybels Sensor

108

Cisco – Talos

Talos, division sécurité de Cisco développe une solution dédiée aux sites industriels qui embarque des technologies d’UBA.

109

Perspectives & Prospectives

110

Les programmes DARPA en cybersécurité & UBAhttp://www.darpa.mil/program/space-time-analysis-for-cybersecurity

http://www.darpa.mil/program/cyber-grand-challenge

Open Catalog : http://opencatalog.darpa.mil/ADAMS.html

111

112

113

114

Formons des Data scientist !

La montée en puissance de l’IA dans les solutions de cybersécurité fait appel à de nouvelles expertises croisant les compétences :Mathématiciens , statisticiens, scientifiques des données…

La pénurie de data scientist sur le marché de l’emploi en Europe est aujourd’hui une réalité …

115

116

Bibliographie - Intelligence Artificielle

Harry Henderson, Artificial Intelligence, Mirrors for the Mind, 2007, Milestones in Discovery and invention.

Fundamentals of the New Artificial Intelligence , Neural, Evolutionary, Fuzzy and More, Toshinori Munakata, Second Edition, 2008, Springer.

Max Lungarella, Fumiya Iida, Josh Bongard, Rolf Pfeiffer, 50 Years of Artificial Intelligence.

Da Duan, Paolo F Fantoni, Martine De Cock, Mike Nachtegael Etienne E Kerre, Applied Artificial Intelligence, 2006.

Keith Frankish, William M. Ramsey, The Cambridge Handbook of Artificial Intelligence.

Hsinchun Chen, Christopher CN Yang, Intelligence and Security Informatics, Studies in Computational Intelligence.

117

Bibliographie - Réseaux de neurones artificiels

Xingui He, Shaohua Xu, Process Neural Networks : Theory and Applications, 2010.Haykin S, Neural Networks, 2ed, 1999.Robert A. Dunne, A statistical approach to neural networks for pattern recognition, 2007.Dreyfus G. , Neural Networks : Methodology and Applications, Springer, 2005.Picton P. , Neural Networks, 2002.Fyfe C. , Artificial Neural Networks and Information Theory, 2000.Bishop, C. (1995). Neural Networks for Pattern Recognition. Oxford: University Press. Carling, A. (1992). Introducing Neural Networks. Wilmslow, UK: Sigma Press.

118

Bibliographie - Réseaux de neurones artificiels

Fausett, L. (1994). Fundamentals of Neural Networks. New York: Prentice Hall. Haykin, S. (1994). Neural Networks: A Comprehensive Foundation. New York: Macmillan Publishing.Kohonen, T. (1982). Self-organized formation of topologically correct feature maps. Biological Cybernetics, 43:59-69.Patterson, D. (1996). Artificial Neural Networks. Singapore: Prentice Hall.Ripley, B.D. (1996). Pattern Recognition and Neural Networks. Cambridge University Press.Rumelhart, D.E., and J.L. McClelland (1986), Parallel Distributed Processing, Volume 1. The MIT Press. Foundations.Tryon, R. C. (1939). Cluster analysis. New York: McGraw-Hill.

119

Bibliographie - Machine Learning & Cybersecurity

Yihong Gong, Wei Xu, Machine Learning for Multimedia Content Analysis (Multimedia Systems and Applications), 2007.

John D. Kelleher , Brian Mac Namee , Aoiff D’Arcy , Fundamentals of Machine Learning for Predictive Data Analytics : Algorithms, Worked Examples, and Cases Studies.

Sumeet Dua, Xian Du, Data Mining and Machine Learning in Cybersecurity, 2011.

Drew Conway, John Miles White, Machine Learning for Email : Spam filtering and Priority Inbox , 2011.

Drew Conway, John Miles White, Machine Learning for Hackers, 2012.

Dehmer Matthias, Subhash C. Basak, Statistical and Machine Learning Approaches for Network Analysis, Wiley, 2012.

120

http://cyberland.centerblog.net/ http://echoradar.eu/

http://www.chaire-cyber.fr/