Evolutions matérielles et processeurs d’IA : peut-on capter le potentiel en sécurité informatique, tant pour le public que les professionnels ?

Avec la montée en puissance de l’intelligence artificielle (IA), les constructeurs d’ordinateurs, de smartphones, d’équipements réseaux, de diverses puces et cartes électroniques ont saisi la balle au bond pour façonner l’univers informatique de demain ; celui de l’adoption généralisée de l’intelligence artificielle dans tous les aspects de la vie numérique, de la bureautique alliant organisation et productivité, à la sécurité informatique en passant par les tâches créatives et recréatives. Tout devrait tirer parti de l’IA. Dans le cas de la sécurité informatique qui constitue le fil d’Ariane de ce blog, certaines questions remontent naturellement à la surface : l’IA peut elle transformer la sécurité informatique ? Si oui, comment ? Vers quoi tendent les nouvelles approches sécuritaires et quelles seraient leur valeur ajoutée ? Quels sont les nouveaux enjeux sécuritaires liés à l’adoption de l’IA en matière de sécurité informatique ? A quel point les avancées matérielles et logicielles peuvent-elles influencer les développements sécuritaires ? Répondre à toutes ces questions implique de comprendre les concepts entourant les processeurs et modèles d’IA, et de se faire une idée de leurs applications en matière de sécurité informatique.

1. Comprendre les processeurs et modèles d’IA

Nous avons connu les cartes graphiques dédiées au traitement d’images, car dotés d’unités de calcul conçues spécifiquement pour ce type de tâches, et par conséquent plus performantes, contrairement aux processeurs centraux, plus généralistes. Le savoir, nous ouvre déjà une fenêtre d’intelligence pour saisir le bien fondé des processeurs d’IA.

Encore appelés Neural Processing Unit (NPU) ou accélérateurs d’IA, les processeurs d’IA sont des unités de calcul conçues spécifiquement pour accélérer l’exécution des modèles d’IA, sur lesquels reposent les applications intelligentes.

Les unités de calcul Tensor Cores développées par Intel peuvent être prises comme exemple. Elle permettent notamment aux cartes graphiques qui les embarquent, d’accélérer les multiplications de matrices et autres opérations tensorielles, essentielles à l’apprentissage profond et à d’autres applications d’IA. C’est donc dire que les cartes graphiques peuvent en être dotés, de façon encore plus spécifique, permettant un traitement d’images toujours plus poussé, au delà d’autres types d’applications dévolues aux processeurs centraux.

Dans la même dynamique, nous devons souligner que depuis 2010, certains téléphones portables sont équipés d’unités de ce type. Concernant les ordinateurs personnels (PC), diverses gammes de processeurs sont équipées de NPU. Nous pouvons citer les processeurs conçus par :

• AMD, notamment les dernières générations de la série Ryzen : Ryzen 7040 et 8040, pour ordinateurs portables, Ryzen 8000G pour les PC de bureau ;
• Apple dont les iPhones sont équipés de NPU évoluant sous le label « Neural Engine » depuis 2017, avec la sortie de l’iPhone X ;
• Intel qui a commencé fin 2023 à équiper les ordinateurs portables d’accélérateurs d’IA avec la gamme « Meteor Lake », dont les processeurs sont capables de gérer 34 milliards d’opérations par seconde dans les applications à base d’IA. Plus encore, le constructeur américain entend équiper sa prochaine génération de processeurs baptisée « Arrow Lake » avec le même type d’accélérateurs d’IA.

Les modèles d’IA évoqués au passage sont des systèmes informatiques conçus pour simuler des capacités intellectuelles humaines, comme la compréhension du langage, la reconnaissance des images, la prise de décision, l’apprentissage à partir de données, etc. Quel que soit le modèle utilisé, un entrainement basé sur une énorme quantité de données est requis afin qu’il performe dans un usage précis. Les modèles d’IA peuvent être classés de différentes manières :

En fonction de leurs applications spécifiques, nous distinguons les modèles suivants :

• Modèles prédictifs : utilisés pour prédire les résultats futurs à partir de données historiques, comme cela est notamment le cas dans des domaines tels que la finance pour l’évaluation du crédit, et la santé pour la prédiction des traitements de maladies.
• Modèles d’IA générative : permettent de générer de nouvelles données sur la base de données d’origine. Les applications y relatives sont variées dans les domaines créatifs, mais les modèles les plus courants sont les suivants : modèles de diffusion qui ont la capacité de créer des images très réalistes ; Autoencodeurs variationnels (VAE) efficaces pour générer des visages humains réalistes et d’autres structures complexes ; Grands modèles de langage (LLM) apportent des avancées significatives au traitement et à la génération du langage naturel, permettant ainsi de développer des solutions capables de converser, traiter des requêtes, générer du texte et bien plus encore ; Modèles d’IA multimodaux capables de traiter différents types de données, comme le texte et les images, Gemini AI et GPT-4V sont des exemples palpants alliant richesse et interactivité.
• Modèles de prise de décision : facilitent la prise de décision à partir de données d’entrée, avec des applications notables dans les affaires pour la formulation de stratégies, ou encore la santé pour des recommandations se rapportant aux traitements médicaux les plus adaptés.

En fonction de leurs approches d’apprentissage, nous pouvons distinguer les modèles suivants :

• Modèles d’apprentissage supervisé : apprennent à partir de données annotées ou étiquetées pour prédire des résultats. Les modèles les plus couramment utilisés en la matière sont les suivants : régression linéaire, régression logistique, arbres de décision, forêt aléatoire, machines à vecteurs de support (SVM), réseaux neuronaux (ANN, CNN, RNN). Ces derniers sont particulièrement avancés, et font pignon sur rue dans l’univers de l’intelligence artificielle. Les réseaux neuronaux sont des modèles d’IA complexes conçus pour simuler la structure du cerveau humain, du fait de leur composition en couches de nœuds interconnectés, ou « neurones », qui traitent l’information et apprennent à partir des données. On distingue ainsi les réseaux de neurones artificiels (ANN) qui sont utilisés pour des tâches telles que l’analyse prédictive et la reconnaissance de formes ; les réseaux de neurones convolutifs (CNN) qui se spécialisent dans le traitement d’images, ce qui les rend idéaux pour des tâches telles que la reconnaissance faciale ou la détection d’objets ; les réseaux de neurones récurrents (RNN) sont quant à eux utilisés pour les données séquentielles, telles que la reconnaissance vocale ou le traitement du langage naturel, en raison de leur capacité à mémoriser les entrées précédentes dans une séquence. Il faudra noter que ces différents types de réseaux de neurones représentent un sous ensemble de modèle, appelé modèle d’apprentissage profond, qui intègre par ailleurs les modèles de mémoire à long terme et à court terme (LSTM) ; les transformateurs (GPT, BERT, etc.) dont l’une des applications notable est chatGPT ; les Réseaux antagonistes génératifs (GAN) ; etc.
• Modèles d’apprentissage non supervisé ou automatique (Machine Learning / ML) : identifient automatiquement des motifs et des structures dans des données non étiquetées. Utilisés pour le clustering, la détection d’anomalies et la réduction de dimensionnalité, ils se révèlent entre autres pratiques pour la segmentation de la clientèle et la détection des fraudes. Les modèles les plus courants utilisés en ce sens sont les suivants : clustering K-Means qui permet de regrouper des points de données similaires en clusters ; regroupement hiérarchique utilisé pour organiser les données selon une structure arborescente ; analyse en composantes principales (ACP) renvoyant à une technique de réduction de dimensionnalité, qui simplifie les grands ensembles de données tout en préservant les informations clés, et réduisant le nombre de variables, l’ACP améliore l’efficacité des autres modèles et outils de visualisation ; les autoencodeurs sont un autre modèle qui fait référence à des réseaux neuronaux utilisés pour la détection d’anomalies, en apprenant à compresser et reconstruire des données.
• Apprentissage par renforcement : consiste à entraîner des modèles à prendre des décisions, en interagissant avec un environnement et en recevant des retours. Il trouve de larges applications dans les systèmes autonomes tels que les voitures sans chauffeurs ou la robotique. Les modèles les plus couramment utilisés dans l’apprentissage par renforcement sont les suivants : Processus de décision de Markov (MDP) utilisé pour modéliser les problèmes de prise de décision, où les résultats sont partiellement aléatoires et partiellement sous le contrôle du décideur ; Q-Learning utilisé pour apprendre la valeur des actions dans un environnement comme le jeu, dans lequel le modèle est capable d’ajuster sa stratégie en fonction des résultats des actions précédentes ; Réseaux Q profonds (DQN) combinant l’apprentissage Q et les réseaux de neurones profonds pour gérer des environnements décisionnels plus complexes, particulièrement utiles dans les systèmes autonomes ; méthodes de gradient de politique eux, se concentrent sur l’optimisation directe de la politique de prise de décision, en ajustant les paramètres du réseau de politiques.

De toute évidence, certains modèles d’IA se révèlent être des sous-modèles d’autres bien plus complexes et étendus. Aussi, certains modèles peuvent être utilisés de part et d’autre à l’instar des réseaux de neurones qui peuvent être formés à partir de l’apprentissage supervisé ou non supervisé. Comme pour pousser davantage la science dans ses retranchements, certains de ces différents modèles peuvent être combinés, donnant naissance à des modèles d’IA hybrides usant de différentes techniques pour améliorer les performances et relever des défis beaucoup plus complexes, tout en gagnant en puissance, adaptabilité et efficacité.

En matière de sécurité informatique, leurs mises en applications nous mènent vers une évolution des fonctionnalités suivantes :

1. Détection des intrusions via des Systèmes de Détection (IDS) ou de Prévention (IPS) : utilisent des modèles d’apprentissage supervisé ou non, pour analyser le trafic réseau, repérer des comportements suspects, signaler une attaque et éventuellement prendre des mesures de façon proactive.
2. Détection des malwares et ransomwares via une analyse du code et des fichiers telle une intelligence humaine, car se servant des réseaux neuronaux afin d’identifier ceux qui sont susceptibles d’infecter un système d’une part. D’autre part, une analyse comportementale peut également être faite afin de repérer des activités suspectes et stopper des menaces avant qu’elles ne causent des dégâts.
3. Authentification et gestion des accès où l’IA est utilisée pour l’analyse biométrique afin de renforcer la sécurité des connexions : reconnaissance faciale et d’empreintes digitales notamment. Mais aussi, l’usage des systèmes d’apprentissage automatique (non supervisé) peut être fait à des fins d’authentification adaptative, permettant d’ajuster le niveau de sécurité en fonction du comportement de l’utilisateur.
4. Détection d’attaques à l’instar du phishing face auquel les modèles de traitement du langage naturel sont utilisés pour l’analyse d’e-mails et de messages, afin de repérer des tentatives de hameçonnage. Puisqu’en en matière de sécurité informatique tout ne repose pas seulement sur la technique mais aussi la sensibilisation des utilisateurs, l’IA générative peut être utilisée pour créer des simulations et apprendre aux utilisateurs à repérer les fraudes.
5. Amélioration du trafic et de la qualité de service au sein d’un réseau informatique qui relève principalement de l’usage de routeurs et de switchs, permettant pour les premiers d’interconnecter ou de segmenter des réseaux. Pour les seconds, d’interconnecter des machines et de mutualiser les ressources appartenant à un même réseau ou sous-réseau. Dans un cas comme dans l’autres, les équipements alimentés à l’intelligence artificielle développent désormais des capacités leur permettant d’optimiser les performances du réseau, d’allouer la bande passante plus efficacement et de détecter les menaces potentielles en temps réel grâce à des algorithmes d’apprentissage automatique (Machine Learning). En optimisant par exemple l’allocation de bande passante, elles garantissent la priorité aux applications les plus critiques, sachant s’adapter aux variations de demande et d’offrir si tel en est l’utilisation, un streaming plus stable, des téléchargements plus rapides et des visioconférences fluides.
6. Analyse des menaces et réponse aux incidents permettant d’anticiper des cyberattaques en analysant les tendances et les menaces émergentes d’une part, et d’autre part, en utilisant des agents IA autonomes qui agissent en temps réel pour contrer les attaques et sécuriser les systèmes.
7. Contrôle parental basées sur l’IA via l’usage de certains routeurs, il permet aux parents de surveiller et de contrôler plus efficacement l’activité en ligne de leurs enfants.

2. Projections sur quelques cas d’application 

2.1. Développement d’un agent IA pour la sécurité informatique

La création d’un agent IA autonome adapté à la sécurité informatique est un projet qui combine apprentissage automatique, analyse comportementale, et réactions en temps réel face aux menaces. Les étapes suivantes peuvent être suivies à cet effet :

1. Définition des objectifs et du périmètre
   1. Quel type de menaces doit-il détecter ? (Phishing, malwares, attaques réseau…)
   2. Doit-il uniquement alerter ou peut-il répondre aux attaques de manière autonome ?
2. Choix du modèle d’IA et des technologies adaptées
   1. Machine Learning : Pour détecter les comportements anormaux ?
   2. Réseaux neuronaux pour la détection avancée des menaces ?
   3. Deep Learning pour l’analyse des données complexes ?
   4. Modèles de traitement du langage naturel pour l’analyse d’e-mails et la prévention d’attaques telles que le phishing ?
   5. Apprentissage par renforcement permettant à un agent d’adapter sa stratégie en fonction des attaques observées (l’IA apprend par essais et erreurs) ?
   6. Agents multi-agents pour une coordination efficace ?
3. Collecte et prétraitement des données (logs de sécurité, trafic réseau, signatures de logiciels malveillants) : les agents d’IA ont besoin de données de qualité pour leur entraînement, car un nettoyage et un étiquetage appropriés peuvent améliorer ou réduire leurs performances. Le processus de préparation des données comprend plusieurs étapes clés.
   1. Collecte des données : rassembler des bases de données sur les menaces connues (exemples de malwares, logs de réseau anormaux…).
   2. Nettoyage et prétraitement des données pour l’apprentissage du modèle : suppression des doublons, gestion des valeurs manquantes et normalisation des formats de données pour garantir la cohérence.
   3. Annotation des données : étiquetage des données si nécessaire.
   4. Fractionnement des données : diviser les données en ensembles d’entraînement, de validation et de test pour évaluer les performances du modèle d’IA.
4. Développement et entraînement de son modèle d’IA
   1. Coder l’agent en Python avec des frameworks IA comme TensorFlow ou PyTorch, Scikit-Learn.
   2. Entraîner le modèle sur des données de menaces pour qu’il apprenne à les identifier et réagir efficacement.
   3. Tester l’agent sur des scénarios simulés pour ajuster son comportement.
5. Intégration et automatisation
   1. Connecter l’agent aux systèmes de surveillance réseau et de gestion des alertes (IDS, IPS, …).
   2. Automatiser les réponses aux menaces en limitant les faux positifs.
   3. Définir les règles pour qu’il agisse sans intervention humaine en cas d’attaque critique.
6. Evaluation et amélioration continue
   1. Surveillance des performances en conditions réelles.
   2. Ajustement des modèles en fonction des nouvelles cybermenaces.
   3. Déploiement d’un mécanisme de mise à jour automatique pour lui permettre d’évoluer.

2.2. Exemple de code (Python) d’un agent IA utilisé en cybersécurité :

Le code suivant est celui d’un agent IA écrit dans le langage de programmation Python pour détecter des activités suspectes dans les logs réseau. Il est basé sur un modèle de machine learning afin d’analyser les schémas de trafic et d’identifier d’éventuelles intrusions :

import pandas as pd
import numpy as np
from sklearn.ensemble import IsolationForest

# Chargement des logs réseau (exemple)
data = pd.read_csv("network_logs.csv")

# Sélection des caractéristiques pertinentes
features = ["bytes_sent", "bytes_received", "duration", "num_requests"]
X = data[features]

# Création et entraînement du modèle de détection d'anomalies
model = IsolationForest(n_estimators=100, contamination=0.05)
model.fit(X)

# Prédiction des activités suspectes
data["anomaly_score"] = model.predict(X)

# Filtrage des connexions suspectes
suspicious_activity = data[data["anomaly_score"] == -1]

# Affichage des résultats
print("Activités suspectes détectées :")
print(suspicious_activity)

Explication du code :

1. Chargement d’un fichier de logs réseau ;
2. Sélection de caractéristiques pertinentes (bytes envoyés, reçus, durée de connexion, nombre de requêtes) ;
3. Entraînement d’un modèle Isolation Forest pour identifier les comportements anormaux ;
4. Prédiction et affichage d’activités suspectes.

2.3. Exemples de logiciels et agents faisant usage de l’IA dans le cadre de la cybersécurité

2.3.1. Agents IA

De nombreux agents IA ont vu le jour en cybersécurité pour détecter et prévenir les menaces. Nous pouvons citer :

• Darktrace : utilise l’IA pour détecter les anomalies et les cyberattaques en temps réel.
• SentinelOne Purple AI : automatise la réponse aux menaces et améliore la protection des systèmes.
• VirusTotal Code Insight : analyse les fichiers suspects grâce à l’IA pour identifier les logiciels malveillants.
• Google Threat Intelligence : exploite l’IA pour fournir des informations sur les menaces émergentes.
• Tenable ExposureAI : aide à identifier les vulnérabilités et à renforcer la sécurité des infrastructures

2.3.2. Logiciels antivirus utilisant l’IA

Les nouvelles versions d’antivirus intégrant les modèles d’intelligence artificielle utilisent l’apprentissage automatique pour détecter et bloquer les logiciels malveillants en temps réel, allant au-delà de la détection traditionnelle basée sur les signatures. Ce faisant, elles deviennent plus alertes pour identifier les menaces nouvelles et émergentes, notamment les attaques zero-day, qui ne sont pas encore reconnues par les antivirus traditionnels.

En outre, les solutions basées sur l’IA sont capables de réagir en toute autonomie face aux menaces, d’être plus parcimonieuses dans la gestion des ressources et par conséquent, contribuent à améliorer les performances des systèmes. Entre autres antivirus intégrant l’IA nous pouvons citer :

• Avast : utilise l’IA pour améliorer la détection et la prévention des menaces en temps réel.
• McAfee : offre une protection basée sur l’IA contre les escroqueries et la désinformation.
• CrowdStrike : utilise l’IA pour la recherche et la détection rapide des menaces.
• SentinelOne : fournit une plateforme de cybersécurité basée sur l’IA pour la sécurité des entreprises.
• Protectstar : offre une solution antivirus basée sur l’IA pour les appareils mobiles.
• Bitdefender : intègre l’IA dans ses solutions afin d’améliorer la détection des menaces et la sécurité via les modèles d’apprentissage profond, de langage étendus et des algorithmes personnalisés pour identifier et bloquer les menaces.

2.4. Routeurs utilisant l’IA

Comme nous l’avons souligné plus haut dans les applications de l’IA en matière de sécurité informatique, les routeurs dotés d’unités de traitement ou de logiciels spécifiques permettent de garantir non seulement des vitesses internet ultra-rapides, mais s’adaptent également en temps réel. Grâce aux algorithmes d’apprentissage automatique dont ils sont dotés, ils sont capables d’optimiser les performances du réseau, d’allouer la bande passante plus efficacement et de détecter les menaces potentielles en temps réel.

Ainsi, des marques comme Asus (oui oui), Netgear, Linksys, TP-Link et même Google se veulent avant-gardistes, créant des routeurs qui allient vitesse, adaptabilité et contrôle intuitif. Nous pouvons citer :

• L’ASUS RT-AX86U,
• Le NETGEAR Nighthawk RAXE500,
• Le TP-Link Archer AX6000,
• Le Linksys Velop MX12600,
• Google Nest Wi-Fi,
• etc.

2.5. Switchs utilisant l’IA

Les switchs intégrant l’intelligence artificielle ont une approche analogue à celle des routeurs sus-évoqués. Grâce à l’IA, il sont capables eux aussi d’analyser en temps réel les schémas de trafic réseau, l’utilisation de la bande passante et l’état des appareils. Les algorithmes dont ils sont dotés leurs confèrent des capacités d’optimisation automatisée du réseau ; l’identification proactive des problèmes, etc. Les appareils répertoriés dans cette logique et bien évidemment de façon non exhaustive, sont :

• Le switch FS 800G PicOS,
• L’Edgecore AIS800-64O,
• Etc.

2.6. Parefeux à intelligence artificielle

S’imposant comme successeur évident d’anciennes générations de parefeux, le parefeu à intelligence artificielle utilise une grande quantité d’échantillons et d’algorithmes pour entraîner les modèles de détection des menaces, lui permettant ainsi de détecter les plus avancées et inconnues.

Alors que ses prédécesseurs se basaient sur des règles et signatures prédéfinies, les parefeux IA utilisent leurs algorithmes avancés pour détecter et contrer les menaces complexes, y compris celles ciblant les systèmes IA eux-mêmes. Les modèles suivants excellent déjà en ce sens :

• FortiGate NGFW : offre une protection contre les menaces optimisée par l’IA et le Machine Learning ;
• Check Point Quantum Force : permet d’avoir une sécurité réseau complète, incluant VPN, SASE, SD-WAN, attaques DDoS et zero-day.
• Huawei AI Firewall : évolue à l’échelle du térabit pour offrir une atténuation des menaces particulièrement utile aux centres de données, grandes entreprises et réseaux de campus.

2.7. IDS / IPS, SIEM et Optimisation de l’usage d’un parefeu grâce à l’IA : cas de PfSense

En informatique, nous avons coutume de dire que c’est le logiciel qui fait la machine, qui lui confère un rôle. Ainsi avec le bon logiciel, un ordinateur classique peut faire n’importe quoi, y compris se transformer en routeur ou en parefeu.

C’est en ce sens que de nombreuse entreprises et organisations gouvernementales utilisent le logiciel pfSense qui est une distribution opensource conçue pour fonctionner comme parefeu et un routeur, administrable via une interface web.

Toutefois, à l’ère de l’intelligence artificielle, nous avons vérifié à l’heure de la rédaction de ce billet de blog, où il en était avec cette avancée technologique. Et bien, force a été de constater que tout au moins dans sa version community (sans support et autres services complémentaires du principal éditeur, Rubicon Communications, LLC), ce parefeu ne fait pas encore usage de l’IA.

Ainsi, nous avons cherché comment améliorer sa sécurité et ses capacités d’analyse en l’intégrant à des solutions externes basées sur l’IA. La création d’un système de défense réseau beaucoup plus intelligent, proactif et résilient intégrant le parefeu pfSense peut se faire en y associant les éléments suivants :

• Services proxy intégré à une passerelle de sécurité web cloud : pour le filtrage web et la protection avancée contre les menaces, certains proxy disponibles sous forme de package pfSense, peuvent être intégrés à une passerelle de sécurité web cloud exploitant l’IA, améliorant de fait les capacités de pfSense.
• Plateformes de renseignement sur les menaces alimentées par l’IA (TIP) : elles agrègent de vastes quantités de données sur les menaces provenant de diverses sources (OSINT, dark web, fournisseurs de sécurité, etc.) et utilisent l’IA ou le Machine Learning pour analyser, corréler et identifier les menaces émergentes, les adresses IP malveillantes, les domaines et les schémas d’attaque. Pour un croisement réussi avec pfSense, notre attention devra davantage se porter sur les listes de blocage automatisées, mises à jour sous divers formats dont STIX/TAXII, CSV ou texte brut. Une fois en leur possession, il est possible de les importer dans le package pfBlockerNG de pfSense permettant alors à cette solution de bloquer automatiquement le trafic vers et depuis ces indicateurs malveillants connus.
• Règles personnalisées pour un contrôle plus précis : nous pouvons créer des règles de parefeu personnalisées dans pfSense en fonction de flux de renseignements sur les menaces spécifiques (par exemple, bloquer le trafic vers un serveur C2 identifié par un TIP sus-évoqué).
• Intégration d’API (avancé) : si un TIP propose une API, nous pouvons écrire des scripts en langage Python ou autre, dans le but d’extraire des données sur les menaces en temps réel et mettre à jour les règles ou les alias du parefeu pfSense de façon dynamique.
• Gestion des informations et des événements de sécurité (SIEM) avec capacités d’IA/ML : les systèmes SIEM collectent les journaux de tous vos périphériques réseau (y compris pfSense), applications et terminaux. L’IA/ML du SIEM peut ensuite analyser ces journaux pour détecter les anomalies, corréler les événements, identifier les comportements suspects et signaler les incidents de sécurité potentiels qui passeraient inaperçus avec une détection traditionnelle basée sur des règles. Pour réussir une intégration avec pfSense, il faudra pouvoir le configurer de manière à ce que ses journaux soient transmis vers un serveur Syslog distant. Par la suite, la configuration de la solution SIEM devra se faire pour intégrer ces journaux et les analyser afin qu’il puisse détecter les anomalies. En d’autres termes, afin qu’il puisse identifier les écarts par rapport à la référence, tels que les analyses de ports inhabituelles, les pics de trafic soudains provenant d’une source particulière ou les tentatives de connexion infructueuses depuis des emplacements inhabituels. Le SIEM devra aussi pouvoir corréler les événements, se servir de son moteur d’IA pour prioriser les alertes, etc. Les SIEM suivants, tournant à l’IA/ML peuvent notamment être utilisés: Splunk, Elastic SIEM (pile ELK avec fonctionnalités d’apprentissage automatique), IBM QRadar, Microsoft Sentinel, Exabeam, etc.
• Solutions de détection et de réponse réseau (NDR) avec IA : surveillent en continu le trafic réseau. Grâce à l’IA embarquée, il leur est possible d’effectuer une inspection approfondie des paquets ou de données de flux rendant la détection de menaces toujours plus poussée. Pour une intégration réussie avec pfSense, il faudra pouvoir exporter les données issues de pfSense afin que la solution NDR puisse les ingérer et les analyser. Dans certains déploiements, il est possible de mettre en miroir le trafic d’un port de commutateur connecté à pfSense vers un capteur NDR pour une analyse plus approfondie des paquets. Cette opération est plus complexe et dépend de votre architecture réseau. Aussi, bien que pfSense intègre Snort/Suricata, de nombreuses solutions NDR offrent des fonctionnalités IDS/IPS plus avancées, basées sur l’IA, qui peuvent être plus efficaces pour détecter les nouvelles menaces. Vous pouvez exécuter Suricata sur pfSense en mode « alerte uniquement » et laisser la solution NDR gérer le blocage, ou utiliser le NDR comme couche de détection supplémentaire. Exemples de NDR : Vectra AI, Darktrace, CySight, Extrahop.
• Plateformes d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) permettent d’automatiser les opérations de sécurité, en intégrant divers outils, en définissant des protocoles de réponse aux incidents et en utilisant l’IA/ML pour faciliter la prise de décision et automatiser les tâches répétitives. Pour un usage simultané avec pfSense, la plateformes SOAR peut ingérer les alertes d’un SIEM configuré pour recevoir les journaux pfSense. Ainsi, en fonction des menaces détectées, le protocole SOAR pourra : mettre à jour les règles pfSense ; ajouter automatiquement une nouvelle règle de pare-feu pour bloquer une adresse IP malveillante identifiée par le SIEM/TIP ; mettre en quarantaine les appareils en demandant à pfSense de déplacer un appareil compromis vers un VLAN de quarantaine. De plus le SOAR pourra aussi générer des rapports en utilisant l’IA pour synthétiser les détails des incidents à partir des journaux pfSense et d’autres sources. Parmi les SOAR pouvant être utilisés, nous pouvons citer Splunk SOAR (anciennement Phantom), Palo Alto Networks Cortex XSOAR, IBM Resilient, Swimlane.
• Services de sécurité IA dans le cloud qui sont des services basés sur l’IA pour la veille sur les menaces, le filtrage web, la sécurité DNS et la protection contre les attaques DdoS. Avec pfSense, il faudra le configurer pour utiliser un service DNS basé sur l’IA (par exemple, Cisco Umbrella, Cloudflare for Teams) pour la résolution DNS. Ces services offrent la possibilité de bloquer l’accès aux domaines malveillants avant même qu’ils n’atteignent votre réseau.

La course à l’IA à laquelle se livrent éditeurs, constructeurs et prestataires de services web cloud, pose les jalons d’une nouvelle ère. Toute personne un tant soit peu alerte en matière de sécurité, devrait se douter que des avancées majeures se dessinent également en ce sens, les plus à craindre étant celles qui se préparent dans l’ombre. L’histoire, nous l’a enseigné à maintes reprises, les personnes malveillantes arrivent toujours à faire un usage détourné de ce genre d’évolutions technologiques. Les usages positifs sus-évoqués devraient donc autant nous galvaniser, qu’à nous amener à rester sur nos gardes et en aucun cas, perdre la maîtrise du sujet. Je n’oserai pas m’aventurer mais quand même, une partie de moi se demande, et si jamais, une attaque informatique venait également intégrer l’intelligence artificielle pour contourner les systèmes classiques ou déjà intelligents, que se passerait – il ? La guerre entre IA bons et mauvais, white et black, ne serait-elle pas de façon sous-jacente lancée ? Et non des moindres, jusqu’où pourrons-nous mener les attaques ciblant les IA elles-mêmes ? Peut-on réellement capter le potentiel de l’IA en sécurité informatique ? Nous ne sommes qu’au début …

Références

• https://leclaireur.fnac.com/article/455375-npu-quand-lia-sempare-de-nos-cpu/
• https://support.microsoft.com/en-us/topic/getting-started-with-copilot-on-windows-1159c61f-86c3-4755-bf83-7fbff7e0982d
• https://www.astera.com/fr/type/blog/how-to-build-an-ai-agent/
• https://research.aimultiple.com/ai-firewall/
• https://www.bitdefender.com/en-us/business/ai-advantage-enterprise-cybersecurity
• https://www.snaplogic.com/fr/glossary/what-is-an-llm
• https://www.actian.com/fr/large-language-models/
• https://pcsigma.com/tech-news/get-fit-fast-effective-workout-routines-you-can-do-at-home/
• https://www.kbvresearch.com/blog/ai-powered-routers/
• https://www.versitron.com/pages/impact-of-ai-powered-switches?srsltid=AfmBOoraCWe8gngt9-qxfr1l_a2xFqRY38hdEdfQi6YBkdlxE6vS1YxL
• https://medium.com/@Asterfusion/the-ultimate-switches-for-artificial-intelligence-80fb8033ce86
• https://www.fs.com/blog/ai-switch-vs-traditional-data-center-switch-4-critical-differences-to-guide-your-choice-17529.html
• https://www.edge-core.com/product/ais800-64o/
• https://www.pfsense.org/about-pfsense/
• https://mindflow.framer.website/integrations/pfsense
• https://www.crowdstrike.com/en-us/cybersecurity-101/cloud-security/ai-and-cloud-security/
• https://penntoday.upenn.edu/news/hidden-costs-ai-impending-energy-and-resource-strain
• https://t2d2.ai/blog/the-confusion-matrix-false-positives-and-false-negatives-in-ai
• https://www.balbix.com/insights/what-is-security-orchestration-automation-and-response-soar/#:~:text=Investigate%20alerts,triage%2C%20enrichment%2C%20and%20containment.
• https://aws.amazon.com/marketplace/solutions/security/what-is/soar-software#:~:text=Additionally%2C%20the%20combined%20insights%20and,powerful%20tools%20for%20strategic%20decision%2D
• https://www.darktrace.com/products/network
• https://www.netgate.com/blog/packet-flow-data#:~:text=By%20using%20pflow(4)%2C,v10)%20and%20RFC8158%20NAT44%20information.
• https://www.paloaltonetworks.com/cyberpedia/what-is-network-detection-and-response
• https://www.ibm.com/think/topics/alert-fatigue
• https://www.scworld.com/perspective/how-ai-powered-iam-can-bolster-security
• https://www.manageengine.com/products/firewall/help/configure-pfsense-firewalls.html
• https://www.crowdstrike.com/en-us/cybersecurity-101/next-gen-siem/ai-siem/#:~:text=Through%20machine%20learning%20and%20behavioral,that%20traditional%20methods%20might%20overlook%2C
• https://www.bitlyft.com/resources/siem-log-management-what-it-is-and-why-its-vital-for-cybersecurity
• https://blog.criminalip.io/2024/09/25/c2-threat-feed/
• https://www.youtube.com/watch?v=L2NSLt_tV58
• https://www.anomali.com/blog/ai-and-threat-intelligence
• https://www.zenarmor.com/docs/network-security-tutorials/pfsense-security-monitoring
• https://smartdev.com/fr/ai-model-type/#Deep_Learning_AI_Models