Les opérations de sécurité face à une nouvelle vague d’attaques automatisées
Les centres d’opérations de sécurité (SOC) subissent actuellement une pression intense en raison d’une montée des attaques automatiques de la part d’adversaires. Ces attaques se déplacent à une vitesse sans précédent, rendant leur détection, leur analyse et leur défense particulièrement ardues.
Alors que les adversaires parviennent à infiltrer en seulement deux minutes et sept secondes, il n’est plus question de savoir si un SOC sera attaqué, mais plutôt quand cela arrivera. En effet, 77 % des entreprises ont déjà été victimes d’attaques d’intelligence artificielle malveillante.
Pour qu’un SOC puisse protéger son infrastructure et celle de l’entreprise, la rapidité d’action est essentielle.
L’arrivée de l’IA agentique
L’IA agentique s’avère être une solution clé pour aider les SOC à automatiser la prise de décision, à s’adapter aux menaces émergentes et à rationaliser les flux de travail, comme le tri des alertes et la réponse aux incidents. Elle améliore l’efficacité tout en renforçant la sécurité en identifiant les risques, réduisant ainsi l’effort manuel nécessaire pour les suivre.
Parmi les principaux fournisseurs de solutions d’IA agentique pour les SOC, on retrouve Arcanna.ai, Cato Networks, Cisco Security Cloud, CrowdStrike (avec la plateforme Falcon et l’IA Charlotte), Dropzone AI, Google Cloud Security AI Workbench, Microsoft Security Copilot, Nagomi Security, Palo Alto Networks et Zscaler.
George Kurtz, président et CEO de CrowdStrike, a déclaré à un média reconnu lors d’une interview récente : « La rapidité des cyberattaques d’aujourd’hui oblige les équipes de sécurité à analyser des quantités massives de données pour détecter, enquêter et répondre plus rapidement. Les adversaires établissent des records, avec des temps d’intrusion d’à peine plus de deux minutes, laissant peu de place à la moindre hésitation. »
Renforcement mutuel entre équipes SOC et IA agentique
Pour que l’implémentation d’une IA agentique ou d’une IA plus large dans un SOC soit couronnée de succès, des flux de travail intégrant l’humain sont indispensables. Le récent rapport de Gartner, intitulé « Prédire 2025 : Il n’y aura jamais de SOC autonome », renforce cette observation en indiquant comment les SOC essaient d’adopter des solutions d’IA agentique et d’autres applications IA. Gartner conseille aux dirigeants de la sécurité et au personnel opérationnel senior d’identifier où subsistent des fonctions SOC dirigées par l’humain et de déterminer comment réorienter les analystes SOC vers des rôles nécessitant davantage de prise de décision humaine.
Le rapport prédit qu’à l’horizon 2026, l’IA augmentera l’efficacité des SOC de 40 % par rapport à 2024, amorçant un changement vers le développement, la maintenance et la protection des compétences en IA au sein des SOC.
Pour intégrer l’IA agentique de manière efficace, les SOC doivent disposer d’un cadre clair qui équilibre la technologie et l’expertise humaine. Le modèle élargi de SOC proposé par Gartner illustre comment les rôles, les capacités et les objectifs s’alignent pour améliorer l’efficacité et l’adaptabilité.
Source : Gartner, Guide du modèle SOC, 18 octobre 2023
Les défis des SOC, le cas parfait pour l’IA agentique
Les SOC ont besoin d’une IA agentique capable de rivaliser avec la rapidité et la perspicacité des attaquants pour contrer efficacement une tentative d’intrusion ou de violation.
Beaucoup de SOC sont sous-dotés en personnel. De plus, nombreux sont ceux qui ont du mal à interpréter les données des systèmes d’information de sécurité et de gestion des événements (SIEM) anciens, qui manquent de techniques de visualisation ou de la capacité à utiliser des bases de données graphiques pour cartographier les menaces.
Les défis quotidiens auxquels font face les équipes SOC incluent :
L’exposition aux menaces croissantes d’IA à cause de systèmes obsolètes : Les SOC restent accablés par des systèmes SIEM anciens, des solutions de détection et de réponse aux points de terminaison (EDR), ainsi que des pare-feu et des systèmes de détection d’intrusions qui ne sont pas adaptés à la rapidité et à la complexité des menaces pilotées par l’IA.
La fatigue chronique des alertes entraîne des occasions manquées et un fort turnover du personnel : Les analystes SOC sont confrontés à des milliers d’alertes et d’alarmes fausses, remettant en question l’utilisation de leur temps pour détecter les rares véritables menaces.
Les pénuries de personnel dans des rôles SOC clés : Il est devenu quasiment impossible pour de nombreux entrepreneurs de constituer leurs équipes SOC uniquement avec des talents internes.
- Une marée de données de sécurité croissante qui risque de submerger les équipes SOC : Les SOC doivent trier un volume massif de données pour identifier les menaces, ce qui constitue un véritable défi.
Impact de l’IA agentique
Les bénéfices les plus significatifs de l’IA agentique seront de compléter les analystes SOC en automatisant les tâches courantes, tout en leur offrant des outils d’intelligence de pointe.
L’IA agentique a un impact sur les domaines suivants :
Amélioration de l’efficacité : Les systèmes d’IA agentique automatisent des tâches répétitives à grande échelle, améliorant ainsi significativement l’efficacité.
Détection des menaces et analyse en temps réel : Les applications d’IA agentique sont efficaces pour identifier des menaces potentielles et des anomalies susceptibles d’échapper à l’attention humaine.
Accélération de la réponse aux incidents : L’IA agentique permet d’identifier et d’isoler les tâches essentielles de réponse aux incidents en temps réel, ce qui permet un traitement plus rapide des menaces.
- Apprentissage continu : L’IA agentique renforce l’ingénierie de détection au sein des SOC, où les systèmes analysent des ensembles de données massives sur les menaces à l’échelle.
L’importance de la collaboration humaine avec l’IA
Il ne s’agit pas de remplacer les travailleurs humains, mais de les renforcer. Elia Zaitsev, CTO chez CrowdStrike, exprime ce point de vue en affirmant que l’objectif est d’assister les humains dans leurs fonctions, plutôt que de les remplacer.
Bon à savoir
Collaboration nécessaire : La réussite de l’IA agentique repose sur la complémentarité entre technologie et expertise humaine.
Formation continue : Il est essentiel d’investir dans la formation et le développement des équipes SOC pour renforcer leur efficacité.
- Évolution des compétences : Les analystes doivent évoluer vers des fonctions nécessitant une prise de décision plus humaine, adaptant ainsi leur rôle aux nouvelles exigences de sécurité.
La fusion de l’IA agentique avec l’ingéniosité humaine ouvre un champ de réflexion fascinant sur l’avenir des opérations de sécurité. Comment pouvons-nous aligner au mieux l’innovation technologique avec le besoin d’un jugement humain éclairé ? La question reste ouverte.
L’intégration de l’IA dans la cybersécurité est fascinante. J’imagine des équipes plus efficaces, alliant innovation et instinct humain pour protéger nos systèmes.