L’interconnexion des réseaux et des objets démultiplie les risques d’attaques malveillantes. Mais l’IA peut aider à les déjouer, tout comme elle peut, en amont, identifier les failles potentielles. Peut-elle aussi protéger notre vie privée ? Et dans quelle mesure peut-on se fier à une IA ? C’est toute la confiance dans le monde numérique qu’il reste à construire.
Peut-on construire un monde hyperconnecté et sécurisé ? La révolution numérique construit un vaste espace de jeu dans lequel se déploie une cybercriminalité de plus en plus sophistiquée. Les attaquants ne sont pas des personnes physiques, mais des machines qui effectuent des millions de tests par seconde pour exploiter la moindre faille. Tout le monde est exposé. Les grands groupes, mais aussi les petites structures. Une culture de la sécurité reste donc à construire, avec de bonnes pratiques, des mises à jour régulières, des audits de sécurité. Sans négliger le maillon faible qui reste l’élément humain : l’employé qui branche sur son ordinateur une clé USB remise par un tiers ou qui se trouve piégé par un email malveillant... Les experts insistent : la sécurité doit être prise en compte dès les premiers stades de la conception d’un projet, et non rajoutée a posteriori. Un conseil souvent négligé, car les mesures de protection engendrent des coûts sans bénéfice financier immédiat. Mais lorsque l’attaque survient, et réussit, le coût de l’absence d’anticipation se révèle catastrophique, en terme financier comme d’image. À titre d’exemple, Accenture Security a évalué à 13 millions de dollars par entreprise le préjudice total moyen d’une cyberattaque en 2018. L’enjeu n’est pas seulement celui de la cybercriminalité crapuleuse. C’est aussi celui de l’espionnage industriel, voire des tentatives plus globales d’attaques stratégiques, tant il est plus facile aujourd’hui – et moins risqué – pour un État d’en déstabiliser un autre en fragilisant ses réseaux de communication et de distribution via Internet que de l’attaquer physiquement. Face à ces menaces émergentes, la cybersécurité peut s’appuyer sur des intelligences artificielles capables de surveiller l’ensemble du réseau, d’identifier la signature d’une attaque et de développer des contre-mesures en temps réel pour protéger le code et le réseau. Le cas échéant, les systèmes se réinitialisent dans l’état où ils étaient avant l’attaque. Le CEA-List développe dans ce cadre une approche dite de cyber-centaure. Elle associe l’expertise humaine et l’intelligence artificielle, utilisant l’apprentissage machine par réseaux de neurones pour évaluer, simplifier et donner à l’expert des recommandations, aussi vite que possible, face à une anomalie. Le CEA-List participe en outre au réseau européen Sparta, qui fédère 44 structures de 14 États européens pour construire une expertise commune en cybersécurité et proposer des solutions robustes.
La plateforme Frama-C, développée par le CEA-List, vérifie le code C d’un programme pour identifier les failles qui constituent autant de portes pour une attaque potentielle. Open source, cette plateforme a remporté le concours de sécurité organisé par le NIST (National Institute of Standards and Technology), l’institut américain des standards, repérant toutes les erreurs dissimulées dans des milliers de lignes de codes. Elle a également été utilisée par Airbus pour valider les codes de son A380. Son homologue, Binsec, traite de vérification des failles potentielles sur le code binaire cette fois..
attaques de ransonwares (rançongiciels) traitées par l’Anssi (Agence nationale de la sécurité des systèmes d’information) en 2020 en France
des entreprises et organisations ont signalé des attaques quotidiennes sur leurs services d’application (source : Agence de l’UE pour la cybersécurité)
des entreprises et organisations touchées par des logiciels malveillants transmis d’un employé à l’autre
d’accroissement des tentatives d’hameçonnage en un mois seulement lors de la pandémie de Covid-19
L’omniprésence des GAFAM (Google, Amazon, Facebook, Apple, Microsoft) fait peser une menace sans précédent sur l’utilisation par ces acteurs de nos données personnelles. Est-il possible de faire marche arrière ? Pour les entreprises, ce sera difficile, car elles ont besoin de solutions robustes. Et force est de reconnaître que les GAFAM proposent aujourd’hui des services très performants.
Les réglementations européennes, RGPD (Règlement général sur la protection des données) en tête, imposent cependant des contraintes fortes sur l’utilisation de ces données. C’est le cas, notamment, de l’anonymisation obligatoire des informations médicales. Les algorithmes sont capables d’analyser des milliers, voire des millions de dossiers médicaux pour établir des corrélations, suggérer un diagnostic, une prescription ou un pronostic. Mais le secret médical doit être strictement conservé. D’où le développement par le CEA-List de nouvelles technologies de cryptographie, comme la cryptographie homomorphe, qui permet d’effectuer des calculs sur des données cryptées sans jamais les décrypter. La confidentialité reste donc totale d’un bout à l’autre de la chaîne de traitement. Un outil qui intéresse un grand nombre d’industriels, bien au-delà du seul domaine médical.
Comment concilier sécurité des systèmes et respect des libertés individuelles ? Le débat concerne tous les acteurs de la sécurité numérique. Car de l’algorithme trop performant au big brother intrusif, il n’y a souvent que l’épaisseur d’un texte législatif. La reconnaissance faciale automatisée, par exemple, peut aussi bien être utilisée pour sécuriser un système que pour surveiller massivement une population. La question de la responsabilité sociale est donc posée aux fournisseurs de technologies numériques, qui ne peuvent éviter de s’interroger sur la finalité réelle des technologies qu’ils sont amenés à développer.
Malgré toutes ses promesses, l’IA soulève des questions. Faute de transparence, les technologies les plus performantes, à base de réseaux de neurones complexes, sèment le doute chez les utilisateurs, ce qui fragilise leur acceptation par la société. Leur déploiement dans le monde industriel est par ailleurs également ralenti par manque de conformité aux critères de qualité, robustesse, sûreté et cybersécurité exigés dans cet univers. Instaurer la confiance dans l’IA est un enjeu essentiel dans lequel le List s’investit par sa recherche (développement d’outils de création d’IA explicables, développement de logiciels de validation formelle de réseaux de neurones, etc.) et aussi par son implication dans différentes communautés nationales, internationales et dans des projets collaboratifs européens.
Pour en savoir plus, lire l’article Intelligence artificielle : l’enjeu du déploiement
Les algorithmes ont été jusque-là dans la performance ; il reste maintenant à apporter de la confiance pour que l’adoption soit totale.
Popularisées par le bitcoin, les technologies de blockchain peuvent être utilisées dans des domaines bien plus variés que les seules cryptomonnaies. Elles constituent une alternative aux bases de données centralisées : dans une blockchain, les données sont au contraire distribuées, via un algorithme cryptographique, dans l’ensemble des acteurs interconnectés, garantissant par un système de validation par tous, la fiabilité des informations contenues dans toute la chaîne, du premier maillon au dernier. Plus besoin, donc, d’une autorité centrale jouant le rôle de tiers de confiance. On se réfère à la capacité du réseau à converger, de lui-même, vers la bonne information et à garantir que les transactions faites entre les différents points de la chaîne sont bien valides.
Ces qualités en font un outil d’avenir pour assurer la traçabilité d’un produit, notamment dans l’agroalimentaire. Ou pour garantir, par exemple, que l’électricité fournie par tel producteur provient bien d’une source verte. La blockchain apporte la confiance nécessaire. Sauf que construire une blockchain nécessite beaucoup de calculs, en particulier les blockchains basées, comme le bitcoin, sur la technologie de « preuve de travail » pour valider les transactions. Avec, comme conséquence, un coût écologique désastreux.
De nouvelles approches, non basées sur la preuve de travail, réduisent de façon drastique la quantité de calculs nécessaires. Le CEA-List travaille à la mise au point de ces blockchains « vertes », pour agréger par exemple des données médicales à partir de centres hospitaliers et d’acteurs médicaux différents. La blockchain garantit alors la provenance de l’information et sa fiabilité.
Pour en savoir plus, lire l’article Des blockchains robustes pour les marches financiers