Une offensive de cybersécurité ? Attention aux dommages collatéraux

Pour presque toutes les organisations - publiques et privées, la cybersécurité traditionnelle et défensive a été et sera toujours la seule approche. La cybersécurité offensive est une approche proactive qui implique de lancer une cyberattaque contre des adversaires pour perturber ou paralyser leurs opérations et décourager leurs futures attaques. Cette approche est parfois appelée « piratage en retour » (hacking back) et repose sur la détermination précise de la personne qui mène les attaques contre l’entreprise. En général, les cibles des cyberoffensives sont les acteurs de la menace qui ont été identifiés comme lançant des cyberattaques contre l’organisation.

Comme tout professionnel de la sécurité devrait le savoir, le piratage n'est pas un exercice trivial et l'approche peut être criblée de défauts. Actuellement, la pratique du piratage reste illégale car elle violerait différentes lois nationales et internationales, même si dans certains pays tels que les Etats-Unis, des projets de loi ont récemment été présentés afin de permettre aux organisations de prendre des mesures offensives contre leurs intrus sur leur réseau informatique.

Des ravages comparables à une guerre conventionnelle

Le plus gros problème des stratégies de cybersécurité offensive est le risque, ou le risque perçu, d'une attaque lancée par erreur. Une cyber-offensive à part entière pourrait infliger des ravages d'une ampleur comparable à celle d'une guerre conventionnelle ou d'une bombe nucléaire. Ce n'est pas farfelu. Si une attaque se produisait au sein d'une infrastructure critique ou de services extrêmement sensibles, nous pourrions voir des poisons dans notre approvisionnement en eau, une perte massive d'électricité et même la manipulation d'avions civils. Ce sont les risques de toute attaque offensive à grande échelle.

Ensuite, considérons l'utilisation croissante de l'intelligence artificielle (IA), en particulier en ce qui concerne l'automatisation et l'orchestration de la sécurité informatique. L'IA est basée sur des algorithmes d'apprentissage automatique - des programmes qui apprennent sur la base d'exemples et formulent des résultats dérivés de statistiques ou d'autres modèles. Bien que l'IA manque d'un concept de bon ou de mauvais, elle pourrait être programmée avec des paramètres pour différencier les comportements « bons » et « mauvais » ou les résultats souhaités. Le problème est que l'IA peut apprendre un mauvais comportement, comme un jeune enfant, et pourrait déclencher une réponse très indésirable, un peu comme une crise de colère. Si l'IA est autorisée à attaquer automatiquement, un scénario de cyber-guerre pourrait dégénérer rapidement et devenir hors de contrôle. 

Des réponses automatisées à vérifier

À titre d'exemple concret, considérez la vidéo en streaming. Le résultat souhaité est clair : des paquets de multidiffusion vers toutes les cibles abonnées au flux. Si un périphérique réseau en ligne corrompt ces paquets en raison d'une défaillance matérielle / logicielle ou d'une autre attaque, les paquets reçus pourraient être mal formés. L'IA pourrait interpréter ces paquets mal formés comme une attaque ou l'exploitation potentielle d'une vulnérabilité. Aujourd'hui, les solutions de filtrage de contenu web peuvent facilement faire cette erreur même lorsque quelque chose d'aussi simple que la source du flux vidéo n'est pas reconnu. Vous pensez que cela semble fou ? C'est en fait ce que font aujourd'hui les solutions de système de détection d'intrusion (IDS) basées sur les signatures. Si les moteurs du système de prévention des intrusions (IPS) sont dotés de données pour des actions automatisées, le résultat pourrait être de mettre fin au flux, ou pire, d'attaquer la source.

Le scénario de réponses automatisées déclenchées tel que décrit ci-dessus explique pourquoi même la guerre conventionnelle est verrouillée. Les réponses automatisées aux menaces, en particulier pour les comportements offensants, doivent toujours être vérifiées et il ne faut jamais leur faire confiance en l'état.

Un risque de réaction incontrôlable

Bien que l'automatisation sous de nombreuses formes aide l'informatique et la sécurité informatique à résoudre les problèmes d'évolutivité et d'efficacité, il convient de toujours faire preuve de prudence en ce qui concerne les technologies qui offrent une automatisation complète, surtout de nature offensante. Ce niveau de prudence devrait être encore plus élevé pour les technologies d'automatisation et les plateformes régies par l'IA, où la logique pour initier une réponse peut même ne pas être expliquée logiquement. Et, mieux vaut laisser aux humains certains domaines de prise de décision très sensibles - aussi imparfaits que nous le soyons.

En réalité, Internet est fragile. Les actions et les réactions peuvent rapidement y devenir incontrôlables, et l'IA avec automatisation pourrait l'aggraver considérablement. Mieux vaut respecter les meilleures technologies de sécurité informatique défensive et éviter le battage médiatique, les problèmes juridiques et les dommages potentiels liés à l'adoption d'une posture de cybersécurité offensive.