Avis d’experts – IBM : Utiliser les technologies cognitives en cybersécurité

L’informatique cognitive des années 90 a vu le développement des systèmes experts visant à modéliser la connaissance, imiter et raisonner comme les experts avec des langages de programmation logique (type Prolog). Ces systèmes ont montré des limites dans leur capacité d’adaptation et d’évolution de l’expertise.

Au paradigme hypothético-déductif de leur recherche, les chercheurs en informatique cognitive l’ont complété par le paradigme inductif afin de repousser les limites atteintes.

Ainsi, l’apprentissage et la compréhension holistique de l’expertise ont été développés par les chercheurs pour compléter les capacités de l’informatique cognitive.

Aujourd’hui, l’informatique cognitive est utilisée en cybersécurité. Les capacités d’apprentissage, de compréhension et de raisonnement permettent de renforcer la sécurité dans ses fonctions de surveillance, de détection et d’analyse des incidents de cybersécurité.

Les centres opérationnels de sécurité, outillés des technologies SIEM, Big Data ou Ticketing Workflow, doivent faire face à des menaces de plus en plus sophistiquées et discrètes, à des systèmes d’information de plus en plus complexes et intégrés, à des volumes de traces informatiques très importants en croissance continue.

L’analyse des incidents nécessite des experts rares de haut niveau dont les investigations peuvent prendre de nombreux jours pour rechercher, qualifier, confiner, remédier, restaurer, capitaliser, piloter.

L’utilisation d’assistant cognitif dans les SOC permet de compléter, enrichir et renforcer l’expertise des analystes.

En plus de renseignements qualifiés sur les incidents de sécurité et les menaces afférentes, issus de données structurées ou non, les solutions cognitives produisent des réponses qualifiées, des hypothèses, des fonctions, des modèles, des raisonnements, des corrélations sémantiques, des tendances, des contextes de sécurité nouveaux et des recommandations basées sur des faits, permettant ainsi d’améliorer la prise de décisions en temps réel.

Les retours d’expérience sur l’assistant IBM Watson for CyberSecurity nous enseignent une réduction du temps de traitement des incidents de l’ordre de 50 à 70% avec ses 75 000 vulnérabilités logicielles documentées, et la croissance continue du corpus de connaissance des menaces et la sécurité (10 000 documents de recherche publiés sur la sécurité par an, 60 000 articles de blogue affichés par mois).

Demain, les développements de la sécurité cognitive avec l’Apprentissage Automatique (Learning Machine) vont apporter des nouvelles capacités à la cybersécurité pour compléter la détection des SOC pour faire face aux menaces toujours plus difficiles à détecter et à comprendre.