Auparavant, la détection traditionnelle des menaces s'appuyait fortement sur des techniques basées sur les signatures - essentiellement des empreintes numériques de menaces connues. Ces méthodes, bien qu'efficaces contre les logiciels malveillants connus, peinaient à répondre à la demande d'attaques « zero-day » et aux tactiques de plus en plus sophistiquées des cybercriminels.

Cette situation a fini par créer une lacune suscitant un vif intérêt pour l’usage du machine learning. Ce dernier identifie les anomalies, détecte des schémas révélateurs de comportements malveillants et, en fin de compte, anticipe les attaques avant qu’elles ne se concrétisent. Parmi les premières applications probantes du machine learning dans ce domaine figuraient, par exemple, la détection de spam et les systèmes de détection d'intrusions basés sur les anomalies (IDS).

Ces premières itérations s'appuyaient fortement sur l'apprentissage supervisé, où des données historiques - à la fois bénignes et malveillantes - étaient transmises aux algorithmes pour les aider à faire la différence entre les deux. Au fil du temps, les applications alimentées par le ML ont gagné en complexité, incorporant l'apprentissage non supervisé et même l'apprentissage par renforcement pour s'adapter à la nature évolutive des menaces existantes.

Des outils prometteurs, mais encore insuffisants

Ces dernières années, les conversations se sont tournées vers l'introduction de grands modèles de langage (LLM) comme le GPT-4. Ces modèles excellent dans la synthèse de grands volumes d'informations, le résumé de rapports et la génération de contenu en langage naturel. Dans le domaine de la cybersécurité, ils ont été utilisés pour analyser les flux de renseignements sur les menaces, générer des résumés et contribuer à la documentation. Autant de tâches qui nécessitent de traiter de grandes quantités de données et de les présenter sous une forme compréhensible.

Dans ce contexte, nous avons vu émerger « Copilot for Security », un outil conçu pour assister les analystes sécurité, à l’image de ce qu’un copilote de codage apporte à un développeur. Idéalement, ce copilote alimenté par l'IA agirait comme un analyste virtuel du centre d'opérations de sécurité (SOC). Il traiterait de grandes quantités de données, les présenterait de manière lisible, trierait les alertes, contextualiserait les incidents et proposerait même des actions de réponse.

Cependant, cette vision n'a pas abouti. Malgré une utilité prometteuse dans des workflows spécifiques, les LLM n'ont pas encore apporté de transformation, ni de cas d'utilisation indispensable pour les opérations de cybersécurité. Comment l’expliquer ?

Les analystes SOC travaillent dans un environnement sous haute pression. Ils rassemblent des informations fragmentées, comprennent les implications plus larges d'une menace et prennent des décisions qui requièrent une compréhension nuancée de leur entreprise. Ces copilotes ne peuvent ni remplacer l'expertise d'un analyste chevronné, ni résoudre efficacement les problèmes criants auxquels ces analystes sont confrontés. En effet, ils n'ont pas la connaissance de la situation et la compréhension approfondie nécessaires pour prendre des décisions critiques en matière de sécurité.

Bien que des outils comme Security Copilot de Microsoft soient prometteurs, ils ont eu du mal à répondre aux attentes en tant que complément efficace des analystes SOC, en fournissant parfois des suggestions contextuelles superficielles qui ne répondent pas aux exigences opérationnelles.

Lever les limites de l’IA grâce à l’autonomie proactive

Il ne fait aucun doute que les mises en œuvre actuelles de l'IA peinent à trouver leur rythme de croisière. Mais si les entreprises veulent vraiment soutenir leurs analystes SOC, comment surmonter cet obstacle ? La réponse pourrait résider dans le développement de l'IA agentique - des systèmes capables de prendre des mesures proactives indépendantes, contribuant à combler le fossé entre l'automatisation et l'autonomie. Son introduction contribuera à faire passer l'IA du statut d'assistant utile à celui de membre à part entière de l'équipe SOC.

L'IA agentique offre une orientation plus prometteuse pour la sécurité défensive en permettant potentiellement aux entités pilotées par l'IA de défendre activement les systèmes, de s'engager dans la chasse aux menaces et de s'adapter aux nouvelles menaces sans avoir constamment besoin d'être dirigées par l'humain.

Par example, au lieu d'attendre qu'un analyste interprète des données ou donne des instructions, l'IA agentique pourrait agir de manière autonome : isoler un poste de travail compromis, rediriger le trafic réseau, ou encore recourir à des techniques de tromperie pour induire les attaquants en erreur. De telles capacités constitueraient un bond en avant par rapport aux rôles d'assistance et de passivité que joue actuellement l'IA.

Cependant, les entreprises ont généralement été lentes à adopter toute nouvelle technologie de sécurité capable d'agir de manière autonome. Et qui peut les en blâmer ? Les faux positifs représentent toujours un risque, et personne ne souhaite provoquer une interruption de la production ou empêcher un dirigeant d'utiliser son ordinateur portable sur la base d'une hypothèse erronée.

Faire confiance à la machine

Néanmoins, la relation entre ML et cybersécurité continuant d'évoluer, les entreprises ne peuvent pas se permettre de se laisser décourager.

Contrairement aux entreprises, les attaquants n'ont pas ce handicap. Sans perdre de temps, ils utiliseront l'IA pour voler, perturber et extorquer les cibles qu'ils auront choisies. Malheureusement, cette année, les entreprises seront probablement confrontées au paysage de menaces le plus sombre jamais enregistré, en raison d'une utilisation malveillante de l'IA.

Par conséquent, la seule réponse possible consiste à entrer dans cette course technologique – en s’appuyant sur une IA agentique pour soulager des équipes SOC surchargées. Cela passe par des actions autonomes et proactives, permettant aux entreprises de traquer les menaces, de défendre leurs systèmes et de s’adapter à de nouvelles attaques, sans intervention humaine.

Plus d'infos sur nos solutions

Avez-vous des questions ?

Contacter un de nos experts