Car elle est la seule à ne pas s’appuyer sur des pièges d’hameçonnage connus de tous, comme l’utilisation de texte brut ou de sujets suspects, mais, grâce à ses programmes d’intelligence artificielle et de machine learning, sur une approche personnalisée et, surtout, adaptative, qui rend la formation formative beaucoup plus efficace et adaptée pour faire face aux nouvelles techniques d’attaque cybernétique, telles que celles résultant d’une utilisation malveillante de l’IA.
Nous approfondissons le sujet avec Leonida Gianfagna (retrouvez les autres interviews ici et ici), physicien théoricien spécialisé dans les particules élémentaires et aujourd’hui chef du secteur de la recherche et du développement de Cyber Guru.
Venons-en au sujet qui nous intéresse le plus. L’intelligence artificielle et toutes ses nouvelles expressions représenteront-elles un risque accru d’être attaquées par la cybercriminalité ? Et si oui, comment et pourquoi ?
La réponse n’est jamais univoque. D’une part, le crime sera de plus en plus raffiné car le pirate sera capable d’empoisonner le système d’IA, c’est-à-dire de le confondre et de le rendre incapable de reconnaître les signaux ou les données. Il peut le faire, par exemple, en changeant simplement le pixel d’une image afin de la rendre méconnaissable pour la machine.
Dans le même temps, cependant, l’Explainable AI sera en mesure de comprendre quand cela se produira, rendant ainsi l’ensemble du système plus résistant.
Naturellement, cela implique de la part des personnes un effort différent, et peut-être plus important, de compréhension pour se tenir derrière la vitesse de ces changements.
Il s’agit d’un apprentissage nécessaire devant prévoir un parcours de formation et de pratique spécifique et surtout, en phase avec le temps. C’est ce que Cyber Guru propose à ses clients.
De quoi s’agit-il exactement ?
D’une formation extrêmement individualisée et aussi réaliste que possible. Le modèle est très similaire à celui des algorithmes qui proposent des conseils d’achat : chaque personne reçoit des suggestions différentes en fonction de ses goûts, de ses horaires et de ses habitudes en ligne. C’est ainsi que je reçois certaines propositions, différentes de celles adressées à d’autres.
Et de temps en temps, le modèle ajuste le tir. Comme dans un jeu d’échecs où le mouvement de l’adversaire dépend de mon comportement sur l’échiquier.
Dans notre plateforme de formation, l’adversaire est le programme d’intelligence artificielle qu’il soumet aux étudiants, des problèmes de temps en temps différents en fonction des réponses qu’ils mettent en œuvre.
Ainsi, chaque e-mail d’hameçonnage sera envoyé à des heures où la personne à qui il est adressé est plus susceptible de cliquer et contiendra un défi qui sera adapté à son niveau de préparation. Bien sûr, je lève toujours la barre de la difficulté.
Pour nous, la question clé n’est pas « à quel point il est difficile pour vous de cliquer », mais « à quel point il est probable » que vous le fassiez. Cela semble être une petite différence, mais c’est essentiel.
S’agit-il d’une nouveauté dans le domaine de la formation à la cybersécurité ?
Absolument. Toute la formation sur l’hameçonnage qui est aujourd’hui présente sur le marché est étalonnée sur les pièges plus ou moins reconnus par tous : texte brut, e-mails avec des arguments suspects, fautes de frappe, etc. Un mode qui, à long terme, ne garantit pas les résultats escomptés car le public auquel il s’adresse est toujours très différencié et évolue avec des temps et des modes différents.
De plus, pour certains, une telle approche peut être peu stimulante et donc, démotivante. Au lieu de cela, une approche personnalisée et, surtout, adaptative, rend la formation beaucoup plus efficace. La grande sensibilisation et la conscience des risques chez tous les employés, ainsi qu’une capacité de réponse aux différents types d’attaques sur chaque individu, créent une barrière inattaquable pour tout pirate. Car, rappelons-le, le point faible de la sécurité est toujours le facteur humain.
Bien sûr, ce modèle adaptatif n’est réalisable que par le biais de programmes d’intelligence artificielle et de machine learning. Ce sont eux qui, sur la base des données collectées sur les utilisateurs, décideront du type d’e-mail à envoyer à chaque personne.
Est-ce un modèle de formation utilisable uniquement pour l’hameçonnage ?
Nous sommes partis de l’hameçonnage, mais l’objectif est d’élargir la méthode à l’ensemble de l’apprentissage pour accompagner chaque individu dans la consolidation d’une posture numérique structurée et capable de reconnaître tous les pièges et les dangers du réseau.
Si vous voulez en savoir plus sur Explainable AI with Python…
