Alors que les réseaux se basent de plus en plus sur de nouvelles architectures essentiellement logicielles, la question de la sécurité ne peut être évitée. L’une des pistes des chercheurs pour fournir une protection suffisante à ces nouveaux réseaux, tels que la 5G (et au-delà) et les réseaux contraints comme l’IoT ? L’intelligence artificielle. Une approche explorée notamment par les chercheurs en cybersécurité d’IMT Lille Douai.
« En quelques dizaines de millisecondes, une attaque bien ciblée peut anéantir tout un réseau et les services qui vont avec. » C’est le rappel redoutable que fait Ahmed Meddahi, enseignant-chercheur à IMT Lille Douai, au sujet des menaces qui pèsent en particulier sur les réseaux d’objets connectés. Derrière son écran de contrôle, dans son centre des opérations de sécurité, un opérateur de réseau peut donc recenser une multitude d’attaques diverses et variées le temps d’un battement de cils. Certes, toutes les attaques ne sont pas aussi rapides. Reste que cet exemple illustre bien les contraintes qui pèsent sur les chercheurs et les ingénieurs qui développent des systèmes de cyberdéfense. Il faut surveiller, analyser, trier, détecter et réagir, le tout en quelques millisecondes.
À ce jeu l’être humain dispose de deux atouts technologiques complémentaires : les nouvelles architectures de réseaux, et l’intelligence artificielle. 5G ou WPAN (une technologie réseaux de l’internet des objets) se basent en effet sur deux caractéristiques importantes aux acronymes cryptiques : le SDN — SDN-WISE pour l’IoT — et le NFV. Le SDN, pour software-defined network, « c’est la capacité du réseau à être programmé, configuré et contrôlé de manière dynamique et centralisée » simplifie Ahmed Meddahi, qui travaille depuis plusieurs années sur la sécurité de ces architectures. Quant au NFV, « c’est la virtualisation du monde informatique, adaptée au monde des réseaux. Les fonctions réseaux qui étaient jusque-là des fonctions purement matérielles deviennent des fonctions logicielles. » SDN et NFV sont complémentaires et visent essentiellement à réduire le cycle de développement des services télécom, mais aussi le coût lié à l’exploitation et à la maintenance du réseau.
À lire sur I’MTech : SDN et virtualisation : plus d’intelligence dans les réseaux 5G
Dans le cas de la cybersécurité, NFV et SDN peuvent servir de base pour donner une vision globale du réseau, ou encore supporter une partie de la complexité des réseaux IoT. L’opérateur du réseau en charge de la sécurité pourra ainsi, depuis son poste de contrôle, définir une politique de sécurité globale, avec des règles et un comportement de base du réseau. Il pourra ainsi ensuite laisser le réseau prendre ses propres décisions de manière instantanée. L’objectif est d’aller vers une plus grande autonomie de la sécurité réseau.
En cas de menace ou d’attaque, cette organisation permet d’instaurer rapidement des interdictions d’accès, ou des règles de filtrage du trafic informatique, et ainsi d’isoler ou de migrer des segments du réseau sous attaque. Ce type d’architecture ou d’approche est un atout pour répondre de manière efficace à certains types de menaces et rendre le réseau plus résilient. Mais parfois, la vitesse d’analyse et de décision de l’humain ne suffit pas, et c’est là qu’intervient l’intelligence artificielle.
Détecter plus vite que l’humain
« C’est l’une des grandes pistes de recherche en cybersécurité : d’un côté, comment remonter les informations les plus pertinentes sur l’activité du réseau, parmi un volume de données de trafic immense et varié, qui en plus ne cesse de croitre ? De l’autre, comment détecter, identifier et isoler une attaque qui ne dure qu’une fraction de seconde, voir l’anticiper, avant que le pire n’arrive ? » présente Ahmed Meddahi. Une question à laquelle les nouvelles architectures SDN et NFV pourront justement apporter une partie de la réponse, car ces technologies faciliteront l’intégration d’algorithmes d’apprentissage dans les systèmes de contrôle des réseaux. Il s’agit d’un nouveau sujet de travail attractif pour les scientifiques en sécurité informatique et réseaux, qui intéresse donc naturellement les chercheurs d’IMT Lille Douai.
La difficulté tient dans un premier temps au choix de l’approche. Quels algorithmes utiliser ? Supervisés, non supervisés ou hybrides ? Avec quelles données ? Les méthodes classiques d’apprentissage consistent à montrer à l’algorithme comment le réseau se comporte en situation normale, et comment il se comporte en situation anormale ou sous attaque. Il sera ensuite capable d’apprendre et de reconnaître des situations quasi identiques à celles qu’il a apprises. Problème : ces méthodes d’apprentissage basées sur des exemples ou sur l’historique ne sont pas vraiment compatibles avec la réalité des cybermenaces.
« Les attaques sont dynamiques et changent en permanence » insiste Ahmed Meddahi. « Même les contre-mesures et les défenses les plus robustes peuvent être dépassées car les attaquants modifient régulièrement leur approche et changent constamment de signature. » Or le propre de l’apprentissage supervisé est d’entraîner un algorithme avec des attaques existantes, au risque de se retrouver rapidement dépassé par les attaques de demain.
C’est pour cela que chercheurs et industriels misent plutôt sur une approche par apprentissage non-supervisé ou hybride, voire même sur de nouveaux algorithmes d’IA adaptés spécifiquement au contexte de la cybersécurité. Dans ce cas, un algorithme apprendrait de lui-même ce qui relève d’un fonctionnement normal ou non du réseau. Plutôt que d’apprendre à détecter la trace ou signature d’une attaque, il va donc plutôt apprendre à reconnaître dans quelles conditions une attaque s’est produite par le passé, et remonter l’information que les conditions sont en train de se reproduire ou d’être réunies.
« L’approche non supervisée pose également un autre problème : cela demande d’apprendre en permanence sur le réseau, ce qui implique un coût en ressources non négligeable » souligne le chercheur d’IMT Lille Douai. C’est là tout le challenge des scientifiques : trouver un moyen réaliste de faire de l’apprentissage dans un environnement extrêmement dynamique et en perpétuel changement. Si les chercheurs commencent à travailler sur ces nouvelles questions de sécurité des réseaux 5G et IoT, les entreprises sont naturellement déjà pleines d’attente. Alors que la 5G doit faire son apparition en France en cette année 2020, opérateurs et gestionnaires de ces réseaux de nouvelle génération sont plus que jamais concernés par la sécurité des utilisateurs et de leurs données.
2 comments
Pingback: Veille Cyber N271 – 24 février 2020 |
Pingback: Veille Sécurité IA – N98 – Veille Sécurité – Intelligence Artificielle