En cybersécurité, ne comptez pas trop sur l’IA !
Les LLM actuels pas assez matures pour les tâches de haut niveau, estime ESET. Encore « adolescente », l’IA est insuffisante pour le renseignement sur les cyber-menaces.
Lorsqu’on mentionne l’abréviation CTI ( CyberThreat Intelligence ) aux équipes de cyber-sécurité des entreprises moyennes et grandes, « nous commençons à étudier l’opportunité » est souvent la réponse. Ce sont les mêmes entreprises qui peuvent souffrir d’un manque de professionnels expérimentés en cyber-sécurité de haut niveau.
À Black Hat, deux membres de l’équipe Google Cloud ont expliqué comment les capacités des LLM (Large Language Models) tels que GPT-4 et PalM, peuvent jouer un rôle dans la cyber-sécurité et plus particulièrement dans le domaine de la CTI, résolvant potentiellement certains des problèmes de ressources. Cela peut sembler aborder un concept futur pour de nombreuses équipes de cyber-sécurité, car elles sont encore souvent dans la phase d’exploration de la mise en œuvre d’un programme de renseignement sur les menaces. En même temps, cela peut aussi résoudre une partie du problème des ressources.
Les éléments clés du renseignement sur les menaces
Pour réussir, un programme de renseignement sur les menaces a besoin de trois éléments clés : la visibilité des menaces, la capacité de traitement et la capacité d’interprétation. L’impact potentiel de l’utilisation d’un LLM est qu’il peut considérablement aider au traitement et à l’interprétation. Il pourrait, par exemple, permettre d’analyser des données supplémentaires telles que des données de journal, là où, en raison du volume, elles pourraient être négligées. La possibilité d’automatiser ensuite la sortie pour répondre aux questions de l’entreprise supprime une tâche importante pour l’équipe de cyber-sécurité.
La présentation a utilisé l’idée que la technologie LLM pourrait ne pas convenir dans tous les cas et a suggéré qu’elle devrait se concentrer sur les tâches nécessitant moins de réflexion critique et où de gros volumes de données sont impliqués. Ce qui laisse les tâches qui nécessitent une réflexion plus critique réellement entre les mains d’experts humains. Un exemple utilisé était le cas où des documents devraient être traduits à des fins d’attribution, un point important car une inexactitude dans l’attribution pourrait causer d’importants problèmes pour l’entreprise.
Surtout, ne pas se précipiter !
Tout comme pour les autres tâches dont les équipes de cyber-sécurité sont responsables, aujourd’hui, l’automatisation devrait être utilisée pour les tâches les moins prioritaires et les moins critiques. Ce n’est pas une réflexion sur la technologie sous-jacente, mais plutôt un énoncé de l’évolution de la technologie LLM. La présentation démontre clairement que la technologie a sa place dans les tâches CTI, mais au stade actuel on ne peut être certain des résultats corrects. Dans des circonstances plus critiques, une réponse fausse ou inexacte pourrait occasionner un grave problème. Cela semble être un consensus lors de l’utilisation de LLM. Il y a de nombreux exemples où le résultat généré peut être discutable (output is somewhat questionable). A Black Hat, un important présentateur a parfaitement décrit l’IA dans sa forme actuelle « comme un adolescent qui invente des choses, ment et fait des erreurs ».
« Je suis certain que dans seulement quelques années, nous confierons à l’IA des tâches qui automatiseront une partie de la prise de décision, telles que la modification des règles de pare-feu, la hiérarchisation et la correction des vulnérabilités, l’automatisation de la désactivation des systèmes en raison d’une menace, etc., estime Tony Anscombe, Chief Security Evangelist, ESET. Pour le moment, bien que nous devons nous fier à l’expertise des humains pour prendre ces décisions, il est impératif que les équipes ne se précipitent pas et ne mettent pas en œuvre une technologie qui n’en est qu’à ses balbutiements dans des rôles aussi critiques que la prise de décision en matière de cyber-sécurité. »