Lors de son événement Protect 2023 organisé les 6 et 7 septembre 2023 à New York, l'éditeur de sécurité Proofpoint a notamment levé le rideau sur sa dernière plateforme Aegis Threat Protection dopée à l'IA pour aider les entreprises à lutter contre la compromission des e-mails professionnels (BEC). Moins d'un mois plus tard, le CEO du groupe, Ashan Willy, est à Paris pour présenter la vision du groupe, l'état de la menace et mettre en avant les innovations de Proofpoint. Pour le dirigeant, il ne fait aucun doute que les cyberattaquants aiguisent de plus en plus leurs techniques pour atteindre leurs objectifs aussi bien en matière d'extorsion de données, de compromission d'e-mails pro ou encore de vol d'identités. « Si vous regardez toutes les attaques réussies au cours des 18 derniers mois, la majorité d'entre elles sont des vols d'identité », indique Ashan Willy. « Aujourd'hui, les pirates utilisent de nouveaux moyens pour trouver comment voler votre identité, mais une fois qu'ils l'ont dérobée et qu'ils se font passer pour vous, il est très difficile de les arrêter ».

Si les ransomwares montent en puissance, le CEO de Proofpoint précise aussi que la compromission d'e-mails ressort comme l'attaque la plus préjudiciable d'un point de vue économique, totalisant ainsi un préjudice de plus de 30 Md$, dont plus de 190 M$ dans le cas d'une « attaque multi-vecteurs » ayant visé une firme pharmaceutique internationale. Le point commun de toutes ces campagnes ? Indépendamment des techniques utilisées - toujours plus nombreuses, variées et sophistiquées - l'intention derrière reste la même : « si vous regardez bien, il y a une sorte de cahier des charges qui se construit derrière toutes ces attaques, avec une compromission initiale qui passe par l'envoi d'un e-mail contenant un lien malveillant : en cliquant dessus vous donner des informations d'identification. Il s'agit là de loin le premier vecteur d'attaque à 90 % », explique Ashan Willy. L'autre vecteur d'attaque répandu actuellement se trouve dans un outil bien connu des entreprises, Office 365, avec la capacité de plus en plus forte des pirates à contourner l'authentification multi facteurs grâce des techniques devenues suffisamment sophistiquées pour réussir. Sans oublier bien sûr les sempiternelles exploits de failles pour s'introduire dans des systèmes, suivi par du déplacement latéral et de l'escalade de privilèges. Pour Proofpoint, ces multiples chemins d'attaques, aussi balisés soient-ils, n'apparaissent pas comme une fin en soi, bien au contraire. « Ce que nous voulons faire c'est briser la chaine d'attaque », annonce Ashan Willy. « Notre stratégie consiste donc à faire en sorte qu'il soit très difficile d'entrer dans le système par le biais du courrier électronique ou de tout autre moyen avec notre plateforme Aegis ». 

3 trillions de courriels et 17 trillions d'URL engloutis par an

Aegis se présente comme une plateforme à multiples facettes, composée de plusieurs briques à savoir Threat Protection, Identity Threat Defense et Sigma Information Protection. « C'est en quelque sorte une plateforme globale », avance Ashan Willy. « Nous sommes capables d'obtenir une très grande efficacité car nous voyons passer près de trois trillions de courriels et 17 trillions d'URL par an. Et ce qui différencie une bonne plateforme c'est d'être alimentée par les bonnes données, sinon avec de mauvaises données nous obtiendrons de mauvais résultats ». Revendiquant plus de 230 000 clients dont 150 des plus grands FAI mondiaux et présent dans 87 des 100 plus grandes entreprises au niveau mondial, pousse plusieurs technologies pour protéger ses clients dont ses dernières avancées en termes d'IA.

Loïc Guezo

Loïc Guezo directeur, Stratégie Cybersécurité pour l'Europe du Sud, le Moyen-Orient et l'Afrique de Proofpoint. (crédit : D.F.)

Pour prévenir les attaques, Proofpoint mise sur les LLM pour aider à détecter ces attaques informatiques. « Nous sommes en train d'ajouter de grands modèles de langage pour prévenir et aider », indique Ashan Willy. Mais si Proofpoint - comme tous ses concurrents - embrassent l'IA, c'est également le cas des attaquants. « L'IA est devenue plus utile d'un point de vue défensif qu'auparavant où elle servait davantage les attaquants », analyse le dirigeant. Pour autant, recourir à des LLM pour entrainer ses algorithmes servant à automatiser les réponses aux questions de cybersécurité, pose deux problèmes principaux. « Le premier problème avec les grands modèles de langage c'est qu'ils coûtent chers, en moyenne 8 fois plus qu'une IA classique. Le deuxième est qu'ils sont relativement lents avec des temps de réponse qui peuvent devenir inacceptables pour les utilisateurs professionnels lorsqu'il s'agit de communication en temps réel, il est donc très important de réduire ce temps de latence », poursuit le CEO Dans un contexte où les interfaces homme-machine ont fortement évolué alors vers toujours plus d'expérience utilisateur, l'IA apporte une réponse pertinente : « Nous pensons que les entreprises veulent poser des questions très simples en français ou en anglais et d'obtenir les bonnes réponses de la part de tous les produits comme savoir par qui ils ont été attaqués ». Il ajoute « il s'agit d'une utilisation importante de l'IA générative qui est en train de naitre ».

Une imperméabilité du traitement des données automatisée à grande échelle

Conscient des coûts de conception de sa récente IA, Proofpoint indique - sans expliquer comment - que les ingénieurs du groupe sont parvenus à des résultats satisfaisants en travaillant l'IA de Google. « Le modèle Bert a tendance à être coûteux et lent et nous avons réussi à réduire son coût et aussi le temps de latence à moins de 30 millisecondes », indique Ashan Willy. A la question de savoir si cela donne satisfaction, la réponse fuse avec une pointe d'humour : « je paie trop d'ingénieurs pour que cela ne fonctionne pas ! ». L’implantation du LLM Bert se fera dans Clear, sa solution de signalement, d'analyse et de neutralisation des e-mails potentiellement malveillants.

En termes d'usage, l'IA chez l'éditeur américain n'est pas seulement utilisée pour générer des réponses mais arrêter des compromissions : sur les 100 % d'attaques stoppées, 80 % proviennent de techniques traditionnelles et 20 % sont générées par la pile d’IA. Pour profiter de ces fonctions, les clients devront encore un peu patienter, Proofpoint table sur une mise à disposition avant la fin de cette année. « L'IA va jouer un rôle de plus en plus grand dans notre portefeuille mais c'est déjà le cas depuis de nombreuses années car vous savez nous utilisont l'apprentissage automatique depuis 2003 pour arrêter les menaces », rappelle le CEO. Ces innovations seront poussées, dans une certaine mesure, sans surcoût : « toutes les innovations que l'on fait sont mises à disposition de tous nos clients, par exemple la détection basée sur du machine learning, les nouveaux modèles d'apprentissage sont rajoutés dans notre moteur de détection Supernova qui grossit au fur et à mesure avec des capacités gratuites répondant aux techniques des attaquants », a fait savoir Loïc Guezo, directeur de la stratégie cybersécurité pour l'Europe du Sud, le Moyen-Orient et l'Afrique de Proofpoint.

A noter que les données alimentant l'assistant Proofpoint sont traitées sur des instances dédiées tournant sur des infrastructures de l'éditeur hébergées sur AWS dont la zone n'a pas été précisée. Sachant que l'entrainement du modèle utilisé par le fournisseur s'effectue uniquement avec des données anonymisées. « Chaque client est dans son instance, il y a une continuité d'apprentissage avec ce qui est spécifique aux clients et qui ne sortira pas [...] Comme nous avons ces logiques de conformité, nous avons des instances qui tournent en Europe sur des infrastructures Proofpoint spécifiques. Pour ces aspects de conformité on a été parmi les 10 premiers à passer le tampon de la nouvelle conformité Data Privacy Framework », argumente Loïc Guézo pour rassurer sur l'imperméabilité du traitement des données automatisé à grande échelle. « Nous ne stockons pas de données de nos clients comme Microsoft. Nous recevons les requêtes du gouvernement américain mais nous leur expliquons que nous n'avons pas les données demandées ». Une posture idéale pour éviter les balles perdues ?