Chercheur associé à la Chaire cyber défense et cyber sécurité Saint-Cyr, Thierry Berthier est un expert reconnu en cybersécurité & cyberdéfense. Il a publié de nombreux articles dans des revues de recherche et a participé à des conférences en France et à l’international.
Membre de l’Institut Fredrik Bull, Thierry Berthier copilote le groupe « Sécurité Intelligence Artificielle » du Hub France IA et est l’auteur de l’ouvrage « From digital traces to algorithmic projections » publié en 2018 aux éditions ISTE Wiley & Elsevier.
Il est cofondateur des sites EchoRadar, VeilleCyber, SécuritéIA et fondateur du blog Cyberland.
Quelle est, selon vous, la plus grande menace existante ou à venir, en matière de cyber sécurité ?
Les menaces évoluent régulièrement avec les progrès technologiques et la transformation digitale. L’internet des objets, le cloud, l’intelligence artificielle transforment en profondeur nos environnements, modifient nos pratiques numériques tout en apportant de nouvelles solutions souvent très puissantes. Ces transitions technologiques induisent aussi de nouvelles vulnérabilités, de nouveaux risques. La montée en puissance de l’intelligence artificielle fait progresser la cybersécurité en défense comme en attaque. En théorie des jeux, on pourrait dire que l’IA profite à l’ensemble des joueurs. C’est presque un paradoxe.
De son détournement naitront les menaces les plus impactantes pour nos sociétés. Les premières cyberattaques mondiales (WannaCry , Not Petya,..) ont montré la vitesse de propagation de la menace dans nos environnements ultra connectés et ont mis en lumière les vulnérabilités de certaines organisations. Ces attaques mondiales vont certainement s’amplifier et se complexifier avec l’IA (désolé si mon propos est un peu anxiogène…).
La France est-elle en mesure de faire face aux potentielles attaques de cyber sécurité ? Existe-il des disparités entre les régions du monde à ce sujet ?
En matière de cybersécurité, la première règle à respecter est l’humilité ! Les fanfarons, les arrogants et ceux qui annoncent avoir sécurisé leurs systèmes de manière optimale sont souvent ceux qui ignorent qu’ils ont été attaqués mais qui le sauront bientôt ! Un dicton bien connu de la cybersécurité classe les organisations en deux groupes : le premier groupe est celui des entreprises qui ont déjà subi une cyberattaque. Le second groupe est celui des entreprises qui ne savent pas encore qu’elles ont subi une attaque. C’est assez proche de la réalité ! Cela dit, tous les pays ne se sont pas dotés des mêmes niveaux de défense en matière de sécurité numérique.
Il y a les bons élèves et les moins bons. La France a pris conscience très tôt de la nécessité de protéger ses infrastructures critiques et a mis les moyens pour cela. Elle a créé l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) qui a plusieurs missions notamment celles de protéger les infrastructures sensibles civiles, de sensibiliser les organisations privées et publiques aux risques cyber, aux bonnes pratiques et de rappeler à l’ordre quand il existe des retards ou des négligences. L’ANSSI porte la bonne parole dans les territoires. Sans son action quotidienne, nous aurions été certainement beaucoup plus exposés et impactés par les cyberattaques. Au niveau mondial, il existe un principe systémique assez simple : plus un pays a été attaqué, plus il a développé une culture de la cybersécurité en réaction. C’est le cas de l’Estonie, de l’Iran, d’Israël et de quelques autres cibles récurrentes.
Quels conseils donneriez-vous à nos lecteurs pour se prémunir efficacement contre des failles de cyber sécurité ?
Votre question est à la fois complexe et ambitieuse ! Tout d’abord, il faut bien comprendre que la sécurité absolue n’existe pas dans le domaine informatique (c’est même un théorème mathématique lié au problème de l’arrêt de Turing !). Nous devons donc nous résoudre à vivre et à évoluer dans un monde de relative insécurité numérique. Une fois ce constat effectué, il est tout de même possible de limiter le risque en adoptant quelques règles élémentaires « d’hygiène informatique ». Il faut par exemple éviter d’ouvrir les fichiers joints accompagnant un mail dont on ne connait pas l’expéditeur. Il ne faut pas non plus cliquer sur des liens douteux contenus dans ce mail.
Lorsqu’un message arrive semblant provenir d’un émetteur de confiance, il faut être attentif et vérifier qu’il ne s’agit pas d’une usurpation d’identité faite pour vous tromper et vous faire cliquer sur le lien malveillant, en toute confiance… Sur son système (son ordinateur personnel ou son smartphone) il faut effectuer les mises à jour (ne pas les différer ou les bloquer) quand elles arrivent. Les mises à jour contiennent souvent des patchs ou correctifs de sécurité. Enfin, il faut se méfier des connexions wifi dans les lieux publics, les hôtels, les gares car elles sont le plus souvent très peu sécurisées.
Pourriez-vous nous expliquer quelle est la relation existante entre intelligence artificielle et cyber sécurité ? L’intelligence artificielle peut-elle venir en aide à la cyber défense, ou est-elle davantage une menace à la cyber sécurité ?
« Les deux mon Capitaine ! ». Comme déjà dit, l’IA est de plus en plus intégrée aux systèmes de supervision du réseau. On parle ainsi d’UBA (User Behavior Analytics) pour désigner cette nouvelle approche de la sécurité. Les antivirus classiques sont construits sur des bases de signatures de malware. S’ils sont globalement efficaces sur des menaces connues, référencées au moins une fois dans la base de signature, ils demeurent inefficaces sur des codes malveillants inédits (non référencés). Le malware furtif passe alors sous toutes les barrières du système et peut faire des ravages. L’approche UBA permet de combler cette limitation. En simplifiant, le superviseur de réseaux commence par apprendre le comportement de toutes les composantes du réseau via des composantes de Machine Learning. Cet apprentissage s’effectue sur un très grand volume de données provenant de tous les points du réseau : matériels, logiciels, périphériques, objets connectés, smartphones et utilisateurs humains. L’apprentissage permet de construire des modèles de fonctionnement « normal » et de détecter ce qui sort de cette normalité. Une fois cette phase d’apprentissage passée, le superviseur collecte toutes les données dans un « grand entonnoir » et en sort une dizaine de cas très suspects correspondants à des séquences d’attaque. L’avantage de cette approche est qu’il n’est pas nécessaire d’avoir déjà rencontré le malware ou le type d’attaque pour le détecter. L’IA intervient également dans l’élaboration de codes dont la sécurité est prouvée de manière automatique. On parle alors de sécurité by design. En attaque, les choses sont plus récentes. En 2018, un laboratoire d’IBM a montré qu’il était possible d’encapsuler des malwares dans une coquille embarquant des capacités d’apprentissage automatique. Cette opération transforme alors un virus simple en un redoutable virus intelligent capable d’étudier sa cible et de s’activer au meilleur moment. Cette étude montre que le niveau de complexité et de furtivité des attaques va fortement progresser à courte échéance ! Seule l’IA sera en mesure de les contrer. L’opérateur humain assistera alors à des duels d’intelligences artificielles.
Une autre menace à prendre au sérieux concerne les architectures de données fictives immersives (ADFI) créées par des IA qui installent la confiance autour d’une cible pour mieux l’attaquer. L’IA permet ainsi de créer de fausses images, de fausses vidéos très réalistes et de faux discours avec un degré de réalisme très élevé. Là encore seule une IA sera en mesure de détecter la fausse donnée (DeepFake).
Vous êtes un expert reconnu en cyber sécurité, tant côté civil, que militaire. Les approches en matière de gestion des Big Data sont-elles propres à chacun de ces environnements ou bien identiques ?
Les technologies impliquées sont les mêmes mais le niveau de sécurité attendu fait que l’on choisira une architecture plutôt qu’une autre. On comprend bien que des données à caractère militaires très sensibles ne seront pas stockées sur un cloud public AWS ! La cryptographie apporte souvent des réponses pertinentes. Puis si elle ne suffit plus, alors il faut abandonner l’ordinateur connecté, ressortir du grenier la vieille machine à écrire mécanique puis envoyer le message papier à son destinataire par la poste ou à dos de cheval !
Vous êtes un membre actif de plusieurs Think Tank en France dédiés à la cyber sécurité et à l’intelligence artificielle. Pourriez-vous nous dévoiler quelques pistes de réflexions qui auraient émergé de ces échanges ?
Nous travaillons sur différentes pistes : l’usage de l’IA pour sécuriser les systèmes, la construction de bases de données étiquetées mutualisées (dataset) utilisables pour entrainer des composantes de Machine Learning. D’autres pistes concernent les attaques réalisables sur les composantes ML par injection de fausses données ou de données orientées. Le champ des possibles reste très vaste en matière d’insécurité numérique et de vulnérabilités à détecter ou à exploiter !
Quels sont les leaders qui vous inspirent et pourquoi ?
J’ai beaucoup d’admiration pour les bâtisseurs, les constructeurs et les inventeurs. Tout le monde ne possède pas la fibre du bâtisseur. C’est un don de la nature qui fait de vous un très grand pâtissier, un chef étoilé, un maitre horloger, un artiste peintre, un musicien, un architecte ou un concepteur de systèmes complexes. Les vrais leaders sont ceux qui construisent quand d’autres contrôlent, critiquent ou commentent cette construction.
Quelle est votre « citation » favorite ?
J’aime bien une citation de Diderot sur la croyance (religieuse, idéologique, scientifique) et le risque : « On risque autant à croire trop qu’à croire trop peu ».
En savoir plus sur Thierry Berthier
Vous êtes intéressé par Thierry Berthier pour votre prochain évènement?