🎤 L’IA peut-elle stopper une cyberattaque avant l’humain ? (Cyril Demonceaux, Orange Cyberdefense)

Cyril Demonceaux: [0:01] Avec l'IA, ce qu'on essaye de faire, notamment avec un partenaire qui s'appelle Kevlar, c'est ce qu'on appelle de détecter des signaux faibles. Cyril Demonceaux: [0:09] Aujourd'hui, jusqu'à présent, on faisait une détection simple, on a une règle forte, une alerte, on réagissait. Avec des solutions complexes d'IA, ça nous permet de pouvoir avoir une vue globale des signaux et d'identifier potentiellement quelques éléments qui n'auraient pas été faciles à analyser par un humain, mais qui, vu de manière globale, sont les prémices d'une attaque plus complexe. Monde Numérique : [0:42] La cybersécurité à l'ère de l'intelligence artificielle, nouvel épisode de cette série spéciale en partenariat avec Orange Cyber Défense. Je suis ravi de recevoir Cyril Demonceaux, bonjour. Cyril Demonceaux: [0:52] Bonjour. Monde Numérique : [0:52] Vous êtes responsable du centre de défense Orange Cyber Défense. On va parler avec vous d'un sujet qui est de plus en plus en actualité, un sujet brûlant. On sait que l'IA est à la fois une opportunité bien sûr pour les entreprises, mais également une menace. Et depuis peu, cette menace a pris un nom, si on peut dire, avec ce qu'on pourrait appeler l'affaire Mythos. Alors Mythos, voilà cet outil développé par Anthropic, spécifiquement pour la cybersécurité. Monde Numérique : [1:23] Qu'est-ce que ça change concrètement ? Cyril Demonceaux: [1:26] Donc Anthropik est une société, comme vous l'avez dit, spécialisée en intelligence artificielle générative. Et Anthropik a développé des modèles qu'on appelle large modèles langage, les fameux moteurs LLM. Et il n'a pas développé que Mythos. C'est Claude, principalement. Voilà. Autour de Claude, il y a différentes familles. Il y a Opus, il y a Sonnet, il y a également IQ. Et Mythos est le dernier de la famille, on va dire. Et la particularité de Mythos, c'est qu'il est capable de pouvoir interpréter et analyser des logiciels complexes, identifier des vulnérabilités et tester leur exploitabilité. Alors, qu'est-ce que ça veut dire ? C'est qu'une fois qu'il a trouvé des failles, il va pouvoir prouver qu'il sait les exploiter ? L'objectif pour un attaquant, c'est ce qu'on appelle de l'escalade de privilèges, c'est-à-dire qu'il va obtenir plus de droits que ce qu'il est censé avoir. Il va potentiellement changer de rôle, d'un rôle d'utilisateur à administrateur, obtenir de secrets. C'est tout l'enjeu de ses capacités. C'est, on va dire, j'avais envie de dire la promesse, en tout cas l'effort et les capacités que Mythos propose. Monde Numérique : [2:32] Donc le début de votre phrase est plutôt rassurant. C'est faire un audit des logiciels en utilisation dans les entreprises pour savoir où il y a des problèmes potentiels. D'ailleurs, vous m'expliquez, je crois qu'il le fait encore mieux que des êtres humains. Mais la suite de votre phrase, elle, est un peu inquiétante. Comment exploiter éventuellement ces vulnérabilités ? Si on parle d'abord de l'aspect scan, justement, c'est une véritable avancée technologique, au fond. Cyril Demonceaux: [2:57] Alors, je rappelle que Mythos, c'est un projet fermé. il n'est pas public, et donc on peut se référer qu'aux publications qui sont faites de... Monde Numérique : [3:05] On ne peut pas y accéder librement aujourd'hui. Cyril Demonceaux: [3:06] Exactement. Et donc, aujourd'hui, ce que je tiens quand même à rappeler, c'est qu'évidemment, sur le papier. Monde Numérique : [3:12] Potentiellement de manière autonome, Mythos est capable de trouver des milliers de vulnérabilités qui. Cyril Demonceaux: [3:18] Vont toucher des systèmes d'exploitation. Je vais utiliser des noms comme OpenBSD, FreeBSD, des navigateurs, des équipements réseau. On a également une société priori qui s'appelle EasyAil, pardon, excusez-moi, qui, comment dirais-je ? À analyser les vulnérabilités trouvées et finalement à démontrer qu'avec des moteurs qui étaient peut-être moins avancés et concurrents, on pouvait également trouver ces vulnérabilités pour pouvoir un peu balancer finalement les publications qui ont pu être faites. Monde Numérique : [3:48] Donc finalement, Mythos a peut-être été un peu survendu, c'est ça que vous voulez dire ? Cyril Demonceaux: [3:52] Survendu, pas forcément, mais en tout cas, il y a des perspectives. Cyril Demonceaux: [3:56] Il y a potentiellement effectivement une promesse de pouvoir détecter de nombreuses vulnérabilités. Après, Mythos, sa force évidemment, c'est de pouvoir identifier des vulnérabilités, mais sa capacité essentielle, c'est de pouvoir combiner des vulnérabilités pour faire des chemins d'attaque complexes dans un système d'information. Et donc là, on peut se référer à un autre papier d'un institut de recherche anglais, gouvernemental, qui a testé sur un banc, finalement, ses capacités Mythos. Et comme d'autres, il a pu faire un comparatif dans son test. Et ce qu'il a pu voir, c'est que Mythos est capable de pouvoir faire de l'intrusion, ce qu'on appelle du déplacement latéral, de l'escade de privilèges, de compromettre le système d'information. Mais par contre, ce que dit aussi cet institut, c'est que le test, il a été fait sur un système d'information qui n'était pas protégé. Donc il n'était pas durci, il n'y avait pas de détection, il n'y avait pas de mesure de prévention. Et Mythos a été capable en moyenne de réaliser 70% des étapes du test et il n'a réussi que 3 fois sur 10 l'intégralité des étapes. Donc ce n'est pas non plus totalement magique. Et ce que dit également cet institut de recherche, c'est que sur un environnement pur industriel, là Mythos était en échec il n'a pas su réaliser l'intégralité des étapes Cyril Demonceaux: [5:18] Donc, ça permet aussi de contrebalancer. Monde Numérique : [5:20] Oui, ça permet de relativiser un peu la menace. Qui a accès à Mythos aujourd'hui ? Cyril Demonceaux: [5:25] Alors, Mythos a créé un projet qui s'appelle Glasswing, qui regroupe une quarantaine d'éditeurs. On peut citer, par exemple, Amazon, Apple, Microsoft, Palo Alto ou d'autres. Et ce projet vise, en fait, à mettre à disposition cette plateforme de ses éditeurs pour qu'ils puissent l'éprouver et identifier potentiellement des vulnérabilités. Donc, c'est potentiellement un apport pour ces éditeurs pour identifier des vulnérabilités. Monde Numérique : [5:47] Tous Américains. Cyril Demonceaux: [5:49] Je n'ai pas vu d'autres acteurs qu'Américains à ce stade. Monde Numérique : [5:53] C'est un atout alors pour ces entreprises qui peuvent y accéder, en quelque sorte ? Cyril Demonceaux: [5:59] Alors oui, oui, effectivement, c'est un atout. Après, il y a d'autres solutions, je dirais, sur le marché qui permettent d'identifier des vulnérabilités. Qu'est-ce que apporte aujourd'hui cette solution à des éditeurs comme Microsoft ou Apple à ce stade ? Monde Numérique : [6:11] On ne sait pas encore, en fait. Cyril Demonceaux: [6:12] Je ne savais pas vous le dire. Monde Numérique : [6:12] Il va falloir attendre pour avoir une idée de l'impact de Mythos, finalement. Cyril Demonceaux: [6:16] Alors, Mythos ou d'autres. C'est-à-dire qu'il existe plein de familles de modèles différents qui peuvent proposer ce type de solution de recherche de vulnérabilité. Monde Numérique : [6:25] Donc, en fait, il faut parler de ces outils de manière globale au-delà de Mythos. Cyril Demonceaux: [6:29] Exactement. C'est le plus connu, effectivement, mais il y a d'autres modèles avec des capacités analogues. Ils sont évidemment en perpétuelle concurrence. Monde Numérique : [6:38] Pour une entreprise aujourd'hui, c'est intéressant d'avoir accès à ce type d'outils. Est-ce qu'elles peuvent y accéder ? Cyril Demonceaux: [6:46] Alors à ce stade, non, le projet n'est pas rendu. Monde Numérique : [6:48] Mythos ou d'autres ? Cyril Demonceaux: [6:51] Alors, il y a des solutions entre guillemets open source qui peuvent être utilisées. Après, la famille Mythos en tant que telle n'est pas accessible. Monde Numérique : [7:02] Ça, c'est le côté positif, on va dire, de Mythos. Alors l'autre côté, c'est si effectivement il est capable de donner un mode d'emploi clé en main pour aller mener des cyberattaques. Effectivement, c'est ça qui peut occasionner quelques nuits blanches à quelques, RSSI dans les entreprises. Cyril Demonceaux: [7:23] Oui, alors, je reviens sur finalement la démarche de Mythos, c'est de pouvoir identifier des failles et les exploiter. Donc, ça rejoint des séances d'attaque assez similaires de ce qu'on peut trouver chez les attaquants. Évidemment, dans des cycles de vie qui sont différents, sur des potentiels, une temporalité qui n'est pas la même. Cyril Demonceaux: [7:42] Néanmoins, ça reste des séances d'attaque classiques. Et nous, en tant que prestataires de cybersécurité, ce qu'on recommande évidemment, c'est de revenir aux fondamentaux. Un premier point qui nous semble essentiel, c'est de pouvoir réduire ce qu'on appelle la surface d'exposition. Donc, on est tous exposés vis-à-vis d'Internet, par rapport à nos partenaires, des éditeurs type SaaS et à notre propre infrastructure. Et donc déjà, de pouvoir faire un inventaire de nos assets exposés sur Internet, de pouvoir identifier les vulnérabilités, les corriger, faire du patching, ça paraît basique, mais c'est déjà un essentiel sur lequel il faut se concentrer et ça devient de plus en plus important. Jusqu'à présent, on avait l'habitude de dire qu'entre la publication d'une vulnérabilité et l'exploitation, il se passait entre un et deux jours, et la moyenne de, D'application des patchs, c'était 30 jours. Là, on voit bien que la temporalité n'est plus adaptée et il va falloir repenser, déjà en anticipation, identifier ces assets et ces vulnérabilités, et ensuite avoir vraiment ce qu'on appelle une amélioration continue, et une remédiation des vulnérabilités en permanence. Ça nécessite des moyens techniques, une organisation, des process. Monde Numérique : [8:49] Qu'est-ce que vous proposez justement à vos clients pour les aider à faire face à cette menace ? Cyril Demonceaux: [8:53] Face à ce type de menace, on a des équipes, des experts, des produits qu'on peut déployer chez nos clients pour justement faire ses inventaires, ce suivi des vulnérabilités, cette application continue des correctifs pour pouvoir réduire la surface d'exposition. Avec des produits spécialisés, ça peut être sur les applications, le code source, les applications, on a parlé de Mythos, Il y a des solutions spécialisées là-dedans, ça peut être sur leur service web, ça peut être sur l'interne. Donc on est du site de scan qu'on va opérer et exploiter pour corriger ces vulnérabilités. On va accompagner nos clients de bout en bout pour pouvoir réduire leur surface d'exposition. Et après, à la fin, une fois qu'on a maîtrisé ce système et corrigé ces vulnérabilités, ça reste important de réaliser des pen tests pour pouvoir vérifier... Dans les bots d'un attaquant, si véritablement il n'y a pas des séances d'attaque qui permettraient, je dirais, de compromettre le système d'information. Monde Numérique : [9:51] Les pen-test, donc les tests de pénétration, est-ce que c'est accessible à toutes les entreprises, y compris aux petites, aujourd'hui ? Cyril Demonceaux: [9:59] Bien sûr, bien sûr. Ce sont évidemment des expertises complexes. Néanmoins, c'est une opération qui peut se dérouler en quelques jours. Et donc, cette expertise, on peut la dérouler sur des petites entreprises, moyennes et très grandes entreprises, sur évidemment des périmètres qui peuvent être différents. Cyril Demonceaux: [10:19] Mais c'est vraiment un service qui est accessible vraiment à toutes les tailles d'entreprise. Monde Numérique : [10:23] Donc, vous avez dit une partie audite, une partie test. Il y a d'autres volets encore ? Cyril Demonceaux: [10:30] La partie détection. Voilà, il ne faut pas oublier la partie détection des attaques, évidemment. Je dirais la dernière barrière de la défense en profondeur. La partie détection le principe de base dans la détection c'est de déployer des systèmes de détection au plus près de nos assets donc sur un poste de travail ou un serveur on a ce qu'on appelle des EDR des endpoints qui vont superviser et observer ce qui se passe sur le serveur ou le poste de travail ce. Monde Numérique : [10:57] Qui n'avait pas été fait dans l'étude anglaise que vous citiez au début. Cyril Demonceaux: [11:00] Voilà. Monde Numérique : [11:00] On ouvrait les portes exactement. Cyril Demonceaux: [11:02] Donc ça peut déjà permettre d'intervenir et de stopper une attaque de détecter au plus tôt. On a aussi des solutions de détection qui vont collecter des journaux qu'on Cyril Demonceaux: [11:12] appelle des siems. Donc voilà, on a des solutions de détection. Je dirais qu'avec l'IA, ce qu'on essaye de faire, notamment avec un partenaire qui s'appelle Kevlar, c'est ce qu'on appelle de détecter des signaux faibles. Aujourd'hui, jusqu'à présent, on faisait une détection simple, on a une règle forte, une alerte, on réagissait. Avec des solutions complexes d'IA, ça nous permet de pouvoir avoir une vue globale des signaux et d'identifier potentiellement quelques éléments qui n'auraient pas été faciles à analyser par un humain, mais qui, vus de manière globale, sont les prémices d'une attaque plus complexe. D'accord. Et donc, grâce à des capacités IA, au niveau détection, on peut détecter des signaux faibles et réagir beaucoup plus tôt. Monde Numérique : [11:57] Ça revient à traiter du bruit, en fait ? Cyril Demonceaux: [11:59] Exactement. Trouver l'utile dans le bruit. Monde Numérique : [12:02] Et puis évacuer les fausses alertes, les choses comme ça. Il y en a beaucoup des fausses alertes dans les systèmes de détection. Cyril Demonceaux: [12:09] Oui, c'est tout le problème. Monde Numérique : [12:12] Dès qu'un collaborateur branche une clé USB, s'il se tentait que ça existe encore. Cyril Demonceaux: [12:17] Alors oui, il y a encore des clés USB, notamment dans les systèmes industriels, les systèmes sensibles. Donc ça reste important comme capacité. Il y a, je dirais, un ratio qui est l'ordre de 1 pour 1 000. C'est-à-dire que pour 1 000 événements de sécurité, il y en a une potentiellement d'intérêt. Donc, l'intérêt est de filtrer, d'avoir des règles, des capacités d'analyse. Et nos analystes font face à ce qu'on appelle l'alerte fatigue. C'est-à-dire qu'il faut être capable de traiter toutes ces alertes-là dans des laits très courts, avec les bonnes procédures, les bonnes réactions. Et donc des capacités d'IA les aident à ce qu'on appelle l'analyste augmentée aujourd'hui, donc à pouvoir avoir l'ensemble du contexte de nos clients, corréler les informations et les fameux signaux faibles dont j'ai Cyril Demonceaux: [13:03] parlé pour pouvoir avoir la bonne interprétation et la bonne réaction. Monde Numérique : [13:06] D'accord. On parlait tout à l'heure de Mythos et de tous les outils similaires qui vont explorer le code, mais au fond, dans les entreprises, en règle générale, on utilise des outils, des logiciels qui viennent d'ailleurs. Donc en fait, c'est l'éditeur qui va faire ce travail de détection. Sauf qu'aujourd'hui, on sait que de plus en plus, avec le vibe coding, etc., les agents, est-ce que les entreprises ne sont pas tentées de développer de plus en plus leurs outils, même des petits outils ? Et du coup, est-ce que ça aussi, ça n'augmente pas la fameuse surface d'attaque ? Cyril Demonceaux: [13:39] Alors, je vais vous soulever un sujet important, c'est que finalement, le suivi des vulnérabilités, ça va être les vulnérabilités que j'aurais potentiellement développées avec mes propres capacités, mais ça va adresser également l'intégralité des vulnérabilités des briques logicielles, des bibliothèques que j'ai utilisées tierces. Je vous donne un chiffre. Le NIST maintient une base des vulnérabilités qui s'appelle NVD et cette base a référencé de mémoire à peu près 42 000 vulnérabilités en 2025. Monde Numérique : [14:11] Tout système compondu ? Cyril Demonceaux: [14:14] En 2026, apparemment, nous sommes sur une phase de croissance forte. Et pour faire face à cette croissance, alors même qu'on n'avait pas des solutions IA qui permettaient d'identifier des vulnérabilités, le NIST a décidé de prioriser les vulnérabilités qui suivaient pour, entre guillemets, les publier toutes, mais n'enrichir et de suivre que les plus importantes. Et je ne vous cache pas que c'est celles qui sont associées à des logiciels utilisés par le gouvernement fédéral américain, pour être clair. Donc on a déjà ce problème de gestion des vulnérabilités et des gestions des volumes aujourd'hui opéré par le NIST et donc demain si on a des capacités de détection de vulnérabilités beaucoup plus fortes, on va avoir vraiment un problème de seuil avec un changement de paradigme où l'organisation actuelle, qui est en place pour suivre, publier et diffuser les vulnérabilités n'est pas adaptée en fait une augmentation exponentielle des minorités ? Monde Numérique : [15:15] En effet, ça me laisse sans voix parce qu'on a l'impression que tout d'un coup, il y a un mur là qui est assez inquiétant. Encore une question quand même sur l'IA qui vous vient en aide de plus en plus. Monde Numérique : [15:28] Est-ce qu'il n'y a pas un risque aussi de lâcher la bride et finalement peut-être d'avoir moins de regards humains et un petit peu une perte de contrôle ? Cyril Demonceaux: [15:41] Je vois. Alors l'IA, tel qu'on le... l'angle sur lequel on le prend aujourd'hui, notamment en cybersécurité, c'est de pouvoir s'appuyer sur des capacités pour des tâches, je dirais, non complexes. Donc aujourd'hui, on a de l'automatisation, donc avec des briques qui permettent de pouvoir faciliter la notification, la qualification, la réponse aux incidents. On a déjà ce type de système aujourd'hui et on a quand même besoin d'analyses derrière pour pouvoir faire des investigations complexes. L'IA, évidemment, va remplacer ces briques d'automatisation en pouvant faire des routines, en enrichissant, en croisant des bases de données. Mais on aura toujours besoin d'un humain derrière. Je prends toujours le même exemple du pilote de ligne. On a le pilote automatique. Néanmoins, dès que les radars commencent à sonner, il faut à un moment donné quelqu'un derrière le manche pour pouvoir opérer les étapes les plus difficiles du parcours. Monde Numérique : [16:38] Mais l'IA, quand elle travaille seule, est-ce qu'elle est capable aujourd'hui de détecter une attaque par exemple et d'y faire face elle-même ? Je ne sais pas, de couper des accès, de même éventuellement peut-être de patcher elle-même le système ? Cyril Demonceaux: [16:54] Alors, sur le plan purement théorique, évidemment. Après, en pratique, on utilise beaucoup l'IA pour nous aider à comprendre des alertes, à pouvoir faire le tri entre ces fameux dans le bruit, pour pouvoir enrichir une alerte, nous aider à la qualifier. Aujourd'hui, on s'interdit d'utiliser l'IA pour pouvoir faire de la remédiation automatique, pour éviter évidemment les effets de bord, puisqu'on utilise au quotidien des capacités IA, on a besoin encore d'un humain derrière pour pouvoir corriger, redresser et vérifier ce qui est réalisé. Aujourd'hui, ce n'est pas automatique, ce n'est pas magique. On a besoin encore d'un expert derrière. Et donc, lui laisser les rênes sur le volet remédiation, c'est quelque chose qui est beaucoup trop tôt. On ne lui laisse même pas encore les rênes. Monde Numérique : [17:38] Peut-être un jour ? Cyril Demonceaux: [17:40] Peut-être un jour. Après, c'est une question de risque. mais en tout cas aujourd'hui on ne lui laisse pas les rênes et même sur la partie qualification des alertes, nos systèmes ne vont pas clôturer elles-mêmes les alertes on va toujours vérifier derrière on ne. Monde Numérique : [17:58] Va pas vous dire le matin qu'on vous réveille tiens au fait vous avez été attaqué cette nuit mais t'inquiète pas j'ai réglé le problème. Cyril Demonceaux: [18:03] Pas de manière automatique non non non. Monde Numérique : [18:07] Merci Cyril Demonceaux responsable du centre de défense Orange Cyber Défense Merci.