A la Une

#Cyberday. Tribune libre à Jean-Pierre Malle. La malveillance, un phénomène de société. Ce qu'apporte l'I.A différenciative à la cyber-sécurité.


Jean-Pierre Malle - M8


Nous sommes véritablement entrés dans une cyber-guerre où se mêlent aux petits hackers individuels, de gros acteurs privés et des Etats dans un feu d'artifice de malveillances.




87% des grandes entreprises et grosses PME disent avoir été touchées en 2018 par au moins une cyber-attaque.

Cyber-day 2019 c'est un cycle de 8 conférences, 5 master-class et 4 ateliers sur le thème de la cyber sécurité organisée par Veille Magazine chaque année en partenariat avec l'EGE. L'édition 2019 a accueilli près de 600 participants et s'est achevée sur un constat sans appel : la cyber criminalité augmente et se diversifie de façon conséquente depuis le début des années 2010 pour atteindre aujourd'hui un triste record. 87% des grandes entreprises et grosses PME disent avoir été touchées en 2018 par au moins une cyber-attaque ayant une réelle répercussion sur leur activité. Les chiffres communiqués par Alain Bouillé du Cesin établis avec OpinionWay sont édifiants.
 

La malveillance est dans l'air du temps

On pense bien sûr aux dégradations orchestrées sur la voie publique ou sur les biens privés par ceux qui inscrivent des tags hideux ou rayent au diamant les vitres d'un RER tout neuf, juste pour montrer qu'ils peuvent nuire à la société. Il en est de même de ceux qui incendient des voitures, détruisent des devantures de magasins lors des manifestations, là aussi pour défier la société.
Cette malveillance devient un état commun. Quand un individu n'a pas les compétences ou la possibilité de s'exprimer par la construction, il le fait par la destruction, il active sa capacité de nuisance, c'est sa manière d'exister. Et nous savons pertinemment qu'il faut beaucoup d'efforts pour construire alors que détruire est si facile.
 

Ce climat de malveillance devenue conventionnelle, associé à un sentiment d'impunité induit par le laxisme des états, créé des vocations. Le milieu de l'informatique n'échappe pas à ce fléau, c'est même un milieu particulièrement favorable comme le montre Philippe Chabrol d'Affinis Conseil au cours des audits de sécurité qu'il mène auprès des entreprises révélant les nombreuses menaces contrées.
En effet, un hacker dispose de moyens bons marchés, il suffit d'un ordinateur.
Il dispose d'une capacité d'action mondiale, une cyber-attaque peut concerner des milliers d'entreprises en une fois. Et enfin il dispose de techniques permettant de se camoufler derrière des serveurs faisant office d'écrans. Et là il ne s'agit plus de petits voyous, il s'agit d'ingénieurs informaticiens parfaitement conscients de leurs actes.
La violence des black box, mais aussi celle des terroristes et des intégristes de tout poil, ou celle des hackers sont de même nature et dirigées vers la même cible : nos institutions et nos entreprises qui constituent notre espace de vulnérabilité.

 

Le rôle des Etats

Cela fait une trentaine d'années que l'on parle de cyber-attaque et une dizaine que l'on parle de cyber-arme. Il ne faut pas être naïf, les moyens techniques mis en œuvre pour concevoir, déployer et exploiter des cyber-armes du niveau de celles qui circulent, révèlent le rôle prégnant des Etats comme le rappelle Emmanuel Meneut expert et enseignant en cybersécurité.
On voit même des Etats mettre en œuvre des cyber-armes dirigées contre des entreprises d'autres Etats, en atteste les condamnations aux USA à l'encontre de dignitaires chinois accusés d'avoir fomenté des cyber-attaques contre des entreprises américaines. Il ne fait aucun doute que des actions soient orchestrées potentiellement par tout Etat envers d'autres Etats du monde y compris ceux réputés amis.
Nous sommes véritablement entrés dans une cyber-guerre où se mêlent aux petits hackers individuels, de gros acteurs privés et des Etats dans un feu d'artifice de malveillances.

Se protéger. Le facteur humain en première ligne !

 Il faut les détecter et les éradiquer. Dans ce domaine de nombreuses solutions existent mais au fil des conférences #Cyberday on comprend que ces moyens de protection sont nécessaires mais insuffisants.

La première réaction pour se protéger est naturellement de se doter de moyens de lutte contre les cybermenaces.
Les éditeurs, s'ils veulent opérer aux Etats Unis, ont par exemple l'obligation de "laisser passer" les investigations émises par les autorités américaines. L'attitude consistant à se croire protégé et abaisser sa garde peut être fatale à une entreprise.
Pour amoindrir le risque, les entreprises empilent les couches de protection en sélectionnant des outils créés par différents éditeurs. Elles évitent ainsi une grande quantité de cybermenaces identifiées et dont la probabilité et la criticité ne sont pas simultanément importantes. Mais les vraies cyber-attaques orchestrées par des organisations malveillantes puissantes ne sont pas concernées par ces filtres.
Le principal risque face à ces cyber-armes réside dans le comportement des individus comme le rappelle Victor Waknine de Mozart Consulting. Il peut s'agir d'employés inattentifs ou complices, ou bien de visiteurs indélicats ou inconscients du danger dont ils sont le véhicule.

Présentation du processeur d'intelligence artificielle différenciative "newrails". Ce processeur, dans le cas d'une application à la cybersécurité, permet de détecter des profils à risques.

La société que j'ai fondée, m8, s'est chargée d'animer un workshop au cours duquel nous avons présenté notre processeur d'intelligence artificielle différenciative "newrails" destiné à révéler des traits de personnalité des acteurs de l'entreprise. Ce processeur, dans le cas d'une application à la cybersécurité, permet de détecter des profils à risques.
Nous avons présenté les résultats d'une analyse effectuée auprès d'une entreprise mettant en évidence que des collaborateurs déjà sensibilisés révélaient des attitudes risquées ou crédules pour plus de la moitié d'entre eux. Une attitude risquée est par exemple l'ouverture d'un mail de phishing, une attitude crédule est par exemple l'excès de confiance accordée dans un firewall.
Point n'est besoin de solliciter les employés sur le sujet même de la cybersécurité pour évaluer le risque qu'ils représentent.
Au contraire ce sujet les placerait dans un mode connectant leur champ de conscience aux procédures apprises et ne testerait que leurs connaissances. L'investigation effectuée par "newrails" se mène sur des sujets anodins faisant entrer les employés en résonance par rapport a des attitudes qu'ils sont susceptibles de reproduire face à des cyber-menaces.
L'intelligence artificielle différenciative, parce qu'elle s'intéresse aux singularités plus qu'aux catégories, permet de mieux cerner chaque personnalité. Et ce, afin de disposer des informations utiles pour accompagner les employés individuellement dans un parcours de sécurisation de leurs attitudes ou pour les affecter à des postes moins exposés aux cybermenaces.

Respecter quand même la GDPR !

La tâche est difficile comme nous le rappelle Alexandre Diehl du cabinet Lawint.
Chaque entreprise doit aussi définir précisément les limites de ses actions, y compris en matière de suivi des activités de son personnel. Les référentiels de compliance, tel le GDPR, sont constitués de règles, d'un régulateur et de sanctions. Ils sont contraires aux principes judiciaires basés sur l'avis d'un juge exprimé au terme d'une procédure longue pouvant atteindre une dizaine d'années dans les faits. Le non-respect de la compliance est audité rapidement (2 mois environ), est fortement sanctionné et touche généralement aussi la responsabilité personnelle du dirigeant. Il n'est donc pas question pour une entreprise de ne pas rester dans le cadre strict de la compliance.

Cette disposition peut apparaitre comme un handicap pour les sociétés européennes devant respecter un cadre auquel leurs concurrentes ne seraient pas contraintes. Il s'agit plutôt d'une arme protégeant l'Europe et permettant de condamner des entreprises étrangères agissant sur le territoire européen en ne respectant pas nos directives, en témoigne les sanctions prononcées récemment à l'égard de certains des GAFAM.
 

Le cyberespace a justement été créé sur des principes d'anonymat et d'opacité qui ont contribué à son essor mais dont on mesure aujourd'hui aussi les effets nocifs.

La compliance est une pratique anglo-saxonne qui a fait ses preuves. Pourquoi ne pas l'appliquer aux cyber-attaques ?
 En établissant un référentiel excluant les pratiques malveillantes sur le net, il serait possible de sanctionner les individus, les entreprises et les états, agissant contre les intérêts de nos entreprises et institutions. Le véritable défi est de détecter les véritables auteurs des cyber-attaques. Or le cyberespace a justement été créé sur des principes d'anonymat et d'opacité qui ont contribué à son essor mais dont on mesure aujourd'hui aussi les effets nocifs.
 

Jean-Pierre Malle. Fondateur et Directeur Scientifique chez m8 - Expert IA et Sciences Cognitives chez Sirioos

Ingénieur Centrale Marseille, Jean Pierre a exercé pendant 10 ans au sein du
groupe Thales sur de nombreux projets secret défense.
Fondateur de m8 en 1998, il est à l’origine de méthodes, modèles, algorithmes
et logiciels de psychologie cognitive et de psychosociologie. Ses recherches et
ses brevets en intelligence artificielle permettent d’appréhender la situation d’un
acteur ou d’un groupe d’acteur, d’observer et d’anticiper leurs comportements
et leurs attitudes, d’analyser leurs champs de conscience et leurs schèmes cognitifs, de les orienter et de les informer.
  • Depuis plus de 20 ans m8 traite et valorise les données de ses clients, pour résoudre des problèmes complexes comme le ferait un humain : de façon unique. Nous développons nos propres technologies d’Intelligence artificielle différenciative et cognitive.
  • Sirioos accompagne les entreprises dans la compréhension de l’Intelligence Artificielle, l’élaboration et l’implémentation de leur stratégie data et cognitive.