Teknik - L'IA dans le contexte d'un CtF (Northsec)
16 mai 2025
Parce que... c'est l'épisode 0x590!
Spécial - Cybersécurité dans le secteur de la santé
08 avril 2025
Parce que... c'est l'épisode 0x589!
SéQCure/Spécial - Histoires d’erreurs
08 avril 2025
Parce que... c'est l'épisode 0x588!
Spécial - Souveraineté numérique - part 2
07 mai 2025
Parce que... c'est l'épisode 0x587!
Teknik - Revue de code - ChatGPT face aux vulnérabilités OWASP Top 10
08 avril 2025
Parce que... c'est l'épisode 0x586!
Spécial - Cyberchill numéro 4 - Des questions
24 avril 2025
Parce que... c'est l'épisode 0x585!
Teknik - Cyberdéfense en profondeur - Naviguer dans les défis de cybersécurité des technologies multi-environnements
08 avril 2025
Parce que... c'est l'épisode 0x584!
Parce que… c’est l’épisode 0x584!
Shameless plug
- 10 au 18 mai 2025 - NorthSec
- 03 au 05 juin 2025 - Infosecurity Europe
- 27 et 29 juin 2025 - LeHACK
- 12 au 17 octobre 2025 - Objective by the sea v8
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2065
Description
Dans ce podcast, Omar Abdul-Wahab, professeur adjoint à Polytechnique Montréal spécialisé en cybersécurité et cyberdéfense, présente le concept crucial de la défense en profondeur dans un contexte technologique moderne et complexe.
La défense en profondeur à l’ère des technologies convergentes
Omar souligne que le concept de défense en profondeur n’est plus un luxe mais une nécessité absolue dans un environnement où les entreprises utilisent simultanément des infrastructures TI traditionnelles, des services cloud, des objets connectés (IoT) et l’intelligence artificielle. La complexité croissante de ces environnements multitechnologiques exige une approche de sécurité qui prend en compte les spécificités de chaque couche et leurs interactions.
Les défis par couche technologique
1. Infrastructure TI traditionnelle
Omar identifie trois défis majeurs :
- Les mécanismes d’évasion de détection : Les attaquants exploitent désormais la confiance en utilisant des applications légitimes pour mener leurs attaques. Il cite l’exemple d’applications légitimes appelant des DLL malveillantes, échappant ainsi aux systèmes de détection traditionnels qui se fient à la légitimité de l’application parent.
- La fatigue face aux alertes (alert fatigue) : Les professionnels de la cybersécurité sont submergés par un volume excessif d’alertes, dont la majorité sont des faux positifs, ce qui les épuise avant qu’une véritable attaque ne survienne.
- Le besoin d’automatisation dans le triage des alertes et la génération de playbooks pour les réponses aux incidents.
Pour répondre à ces défis, Omar suggère :
- Développer des systèmes de détection capables de faire des corrélations plus complexes, analysant non seulement la légitimité des applications mais aussi les séquences d’appels API et d’autres indicateurs contextuels.
- Utiliser le machine learning pour améliorer l’automatisation du triage des alertes et la contextualisation des menaces.
2. Environnement Cloud
Le cloud présente des défis spécifiques qui diffèrent de l’infrastructure TI traditionnelle :
- L’élasticité : La capacité de créer et supprimer rapidement des ressources (containers, machines virtuelles) complique le suivi des logs et la détection d’activités malveillantes.
- L’architecture basée sur les API : Omar cite l’attaque de Capital One en 2019, où les attaquants ont exploité les API cloud sans avoir besoin de déployer un malware traditionnel.
- Les infrastructures définies par code (Infrastructure as Code) qui évoluent constamment.
Solutions proposées :
- Développer des modèles de menaces spécifiques au cloud qui tiennent compte de son caractère dynamique.
- Automatiser la modélisation des menaces pour s’adapter aux changements constants de l’environnement cloud.
- Concevoir des systèmes de détection et des playbooks de réponse adaptés aux spécificités du cloud.
3. Internet des Objets (IoT)
L’IoT présente des défis encore plus distincts :
- L’hétérogénéité extrême des appareils et des données qu’ils échangent, rendant difficile l’application de solutions de sécurité uniformes.
- La faible sécurisation native de nombreux appareils IoT (mots de passe par défaut, etc.).
- La vulnérabilité aux attaques physiques due à l’accessibilité des appareils.
- Le manque de renseignements sur les menaces (threat intelligence) spécifiques à l’IoT.
Omar suggère de combiner des approches mathématiques et de machine learning pour développer des solutions plus généralisables et adaptables à l’hétérogénéité de l’IoT.
4. Intelligence Artificielle (IA)
L’IA, tout en étant un outil de défense, présente elle-même des risques de sécurité, notamment :
- Les attaques furtives (stealthy) comme l’injection de backdoors dans les modèles, difficiles à détecter car elles ne s’activent que sous certaines conditions spécifiques (triggers).
- Ces attaques peuvent passer inaperçues pendant l’entraînement et les tests, ne se manifestant qu’en production.
Face à la difficulté de détecter ces attaques, Omar recommande de se concentrer sur la résilience : entraîner les modèles à résister aux attaques en injectant délibérément des backdoors simulés pendant l’entraînement pour renforcer leur robustesse.
Conclusion
Omar Abdul-Wahab conclut en insistant sur l’importance d’une véritable architecture de cyberdéfense en profondeur intégrant les spécificités de chaque couche technologique et leurs interactions. Dans un monde où les organisations utilisent nécessairement plusieurs de ces couches simultanément, comprendre leurs vulnérabilités particulières et développer des stratégies de défense adaptées est crucial pour une cybersécurité efficace.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux réels par Cybereco
Tags: cybereco, defense, ia, iot
Tweet