Si l’on mentionne le terme « cyberthreat intelligence » (CTI) aux équipes de cybersécurité des moyennes et grandes entreprises, la réponse est souvent la suivante : « nous commençons à étudier l’opportunité ». Ce sont ces mêmes entreprises qui peuvent souffrir d’un manque de professionnels expérimentés et de qualité dans le domaine de la cybersécurité.
Lors de la conférence Black Hat de cette semaine, deux membres de l’équipe Google Cloud ont expliqué comment les capacités des grands modèles de langage (LLM), tels que GPT-4 et PalM, peuvent jouer un rôle dans la cybersécurité, en particulier dans le domaine de la CTI, ce qui pourrait permettre de résoudre certains problèmes de ressources. Pour de nombreuses équipes de cybersécurité qui en sont encore à la phase d’exploration de la mise en œuvre d’un programme de renseignement sur les menaces, il peut sembler qu’il s’agit là d’un concept d’avenir ; dans le même temps, il peut également résoudre une partie du problème des ressources.
Pour réussir, un programme de renseignement sur les menaces doit comporter trois éléments essentiels : la visibilité des menaces, la capacité de traitement et la capacité d’interprétation. L’impact potentiel de l’utilisation d’un LLM est qu’il peut considérablement aider au traitement et à l’interprétation, par exemple, il pourrait permettre d’analyser des données supplémentaires, telles que des données de journal, qui, en raison de leur volume, pourraient être négligées. La possibilité d’automatiser les résultats pour répondre aux questions de l’entreprise enlève une tâche importante à l’équipe de cybersécurité.
La présentation a soulevé l’idée que la technologie LLM n’est peut-être pas adaptée à tous les cas et a suggéré qu’elle se concentre sur les tâches qui requièrent moins de réflexion critique et qui impliquent de grands volumes de données, laissant les tâches qui requièrent plus de réflexion critique entre les mains d’experts humains. Un exemple a été donné lorsque des documents doivent être traduits à des fins d’attribution, un point important car une erreur d’attribution peut entraîner des problèmes considérables pour l’entreprise.
Comme pour les autres tâches dont les équipes de cybersécurité sont responsables, l’automatisation devrait être utilisée, pour l’instant, pour les tâches les moins prioritaires et les moins critiques. Il ne s’agit pas d’une réflexion sur la technologie sous-jacente, mais plutôt d’une déclaration sur l’état d’avancement de la technologie LLM. Il ressort clairement de la présentation que la technologie a sa place dans le flux de travail CTI, mais qu’à l’heure actuelle, on ne peut pas lui faire entièrement confiance pour renvoyer des résultats corrects et que, dans des circonstances plus critiques, une réponse fausse ou imprécise pourrait causer un problème important. Cela semble être un consensus dans l’utilisation du LLM en général ; il y a de nombreux exemples où le résultat généré est quelque peu douteux. Un présentateur de la conférence Black Hat a parfaitement résumé la situation en décrivant l’IA, dans sa forme actuelle, comme « un adolescent, qui invente des choses, ment et fait des erreurs ».
