L’Université Concordia et Hitachi Cyber conçoivent une solution fondée sur l’IA pour révolutionner la détection des cybermenaces

La croissance rapide des cybermenaces engendre de nouveaux défis pour toute l'infrastructure informatique des entreprises industrielles et des organismes gouvernementaux. C'est dans dans ce contexte que l'École de génie et d'informatique Gina-Cody de l'Université Concordia et Hitachi Cyber* ont entrepris un projet de recherche collaboratif ayant pour but de s'attaquer à un problème crucial : comment les analystes en sécurité peuvent-ils repérer efficacement les menaces parmi le flux ininterrompu d'événements et d'alertes qui prennent d'assaut les centres modernes des opérations de sécurité et établir un ordre de priorité dans le traitement de ces menaces?

La recherche est centrée sur une technologie d'intelligence artificielle (IA) générative conçue pour aider les analystes de ces centres à évaluer les événements et incidents de sécurité au moyen de systèmes automatisés. Les équipes de sécurité sont chargées de surveiller le réseau et de répondre aux menaces de sécurité auxquelles sont exposés les entreprises et des organismes. Les systèmes et réseaux informatiques modernes présentent une surface d'attaque vaste et vulnérable et génèrent une quantité sans précédent de données parmi lesquelles il faut détecter les activités suspectes. Face à cet afflux massif de données, les centres des opérations de sécurité ont déjà atteint la limite de leurs capacités.

En outre, les opérations de cybersécurité deviennent de plus en plus complexes et dynamiques, tandis que les individus mal intentionnés modifient constamment leurs techniques, tactiques et procédés pour contourner les mécanismes de défense existants. Par conséquent, il est de plus en plus difficile de distinguer les comportements bénins des comportements malveillants. Il en résulte une augmentation du nombre d'alertes, dont beaucoup sont de faux positifs, c'est-à-dire des signaux indiquant erronément la présence d'une menace.

Ce déferlement d'alertes cause l'épuisement des analystes et mine leur capacité de concentration; ils risquent alors de ne pas voir passer des menaces réelles.

« Les analystes de la sécurité consacrent souvent plus de 80 % de leur temps à la détection de faux positifs - à l'origine de la grande majorité des alertes - et à la collecte d'informations provenant de sources externes », explique Michel-Ange Zamor, vice-président de l'innovation technologique et de l'assistance technique à Hitachi Cyber.

« Notre technologie fondée sur l'IA, conçue en partenariat avec des chercheuses et chercheurs de l'École de génie et d'informatique Gina-Cody, permettra d'automatiser une bonne partie de ce processus, ce qui réduira le temps nécessaire à l'évaluation des alertes et accroîtra la précision du processus », ajoute-t-il.

« L'amélioration de l'efficacité des centres des opérations de sécurité contribuera également à augmenter la satisfaction de la clientèle en permettant d'apporter une réponse plus rapide aux menaces, d'améliorer la précision de la détection et d'effectuer des enquêtes plus efficaces afin de rationaliser le processus de validation de la clientèle. En outre, en réduisant au minimum le temps consacré à la recherche d'informations, nous atténuerons le risque de violation des contrats de niveau de service et améliorerons le temps moyen de détection. »

Cette technologie de cybersécurité fondée sur l'IA s'appuie sur une télémétrie de sécurité étendue provenant de diverses sources et bases de connaissances externes élaborée par des experts en cybersécurité. Les alertes sont ainsi automatiquement assorties d'une aide supplémentaire à la décision comme la notation des vulnérabilités, la vérification des faits et les résumés sensibles au contexte.

Ce processus rationalisé peut entraîner une réduction considérable de la charge de travail des analystes des centres des opérations de sécurité, leur permettant ainsi de porter rapidement leur attention sur les menaces les plus graves sans être distraits ou épuisés par les faux positifs.

Accroissement de la sécurité et du rendement

« Ce partenariat de recherche entre Concordia et Hitachi Cyber illustre le rôle que le milieu universitaire et l'industrie peuvent jouer ensemble pour faire progresser les solutions de cybersécurité », déclare Mourad Debbabi, qui supervise le projet de recherche. Mourad Debbabi est directeur du Centre de recherche sur la sécurité de Concordia et titulaire de la chaire de recherche en partenariat Concordia/Hydro-Québec/Hitachi sur la sécurité des réseaux intelligents.

« L'objectif est de créer une infrastructure numérique plus résiliente, où l'IA peut aider à automatiser la réponse aux incidents afin de contrer plus rapidement et plus efficacement les menaces. »

« En automatisant les opérations de cybersécurité et en améliorant la précision des évaluations des menaces, non seulement nous contribuons à accroître l'efficacité des équipes des centres des opérations de sécurité, mais nous avons également un effet positif sur le rendement de l'entreprise et l'expérience de la clientèle », fait valoir Shinichi Sasaki, vice-président de la stratégie de service à Hitachi Cyber.

« La rapidité accrue des vérifications et la réduction du nombre de faux positifs entraînent une réduction des coûts et une plus grande conformité avec les contrats de niveau de service, ce qui se traduit en fin de compte par une amélioration de la rentabilité pour notre clientèle. »

La collaboration entre Hitachi Cyber et Concordia s'inscrit également dans les projets de recherche plus vastes menés sous l'égide de la chaire de recherche en partenariat de Concordia sur la sécurité des réseaux intelligents, soutenue par Hydro-Québec, Hitachi, le Conseil de recherches en sciences naturelles et en génie du Canada et PROMPT. La chaire se concentre sur les défis émergents auxquels font face les réseaux intelligents en matière de cybersécurité, de la production et de la transmission de l'électricité jusqu'aux systèmes de distribution.

Les travaux de recherche de la chaire portent sur plusieurs thèmes, le principal étant la conception et la mise en œuvre de solutions d'IA efficaces capables de protéger les infrastructures essentielles, en particulier les technologies opérationnelles, contre diverses cybermenaces. Contrairement aux solutions d'IA courantes destinées aux applications grand public, la chaire permet de concevoir des technologies adaptées aux exigences et aux risques des systèmes vitaux tels que les réseaux électriques.

Le partenariat vise également à améliorer l'efficacité des activités des centres des opérations de sécurité grâce à la chasse automatisée aux cybermenaces ciblant à la fois les technologies de l'information et les technologies opérationnelles. Seront également intégrées et inventées de nouvelles technologies telles que les jumeaux numériques, qui simulent des systèmes réels fonctionnant ensemble dans un environnement synthétique de haute fidélité avec matériel dans la boucle - comme un bac à sable. Ces technologies permettront d'effectuer des tests systématiques et d'établir des défenses proactives à partir de divers scénarios de simulation.

L'équipe de recherche, composée de sept membres du corps professoral de l'École de génie et d'informatique Gina-Cody et de huit personnes doctorantes, se consacre à la conception de technologies de pointe et à leur transfert vers l'industrie. Il s'agit notamment d'outils de surveillance de la sécurité assistés par IA générative, de solutions avancées de chasse aux cybermenaces et de données d'accès vérifiables permettant d'améliorer l'authentification et l'autorisation des dispositifs de l'Internet industriel des objets (IIoT), également appelés dispositifs électroniques intelligents.

Ces innovations visent à renforcer la préparation et la résilience des secteurs des infrastructures critiques face aux cybermenaces, en assurant une solide capacité de défense dans le cadre des bouleversements numériques en cours.

« À l'avenir, cette technologie de l'IA évoluera non seulement pour être en mesure de prévenir, de détecter et de prévoir les cyberattaques, mais aussi pour répondre aux incidents sous-jacents, conclut Mourad Debbabi. L'objectif est d'intégrer l'information fournie par les analystes des centres des opérations de sécurité dans le processus d'apprentissage de la technologie, ce qui rendra celle-ci de plus en plus efficace pour détecter les menaces en temps réel. »

*Hitachi Cyber est le nom de service de la société Hitachi Systems Security Inc.

Apprenez-en davantage sur la cybersécurité à l'Université Concordia.