On est arrivé aux limites de l’analyse basée uniquement sur des règles de détection
Si l’IA offre plus de rapidité et de précision aux attaquants, elle transforme également les pratiques de cybersécurité partout où elle est intégrée, comme dans le SOC Advens. Explications d’Arnaud Hess, Head of Business Development.
« Avec l’IA, on peut surveiller des périmètres jusque-là hors de portée : permettre des approches de big data, détecter des événements inconnus, anticiper et faciliter des gestes de réactions aux incidents… »
Et c’est heureux. En effet, on est arrivé aux limites de l’analyse basée uniquement sur des règles de détection, est venu expliquer Arnaud Hess devant un parterre d’experts et de décideurs réunis à Bruxelles par Cyber Security Management autour des enjeux majeurs de la sécurité numérique.
Les problématiques sont connues : complexité de maintenance face aux contextes clients changeants, vulnérabilité aux zéro days et nouvelles menaces sans compter les questions de volumes.
« Depuis plusieurs années, les SOC sont confrontés à une inflation continue des alertes, dont une part significative relève du bruit ou de faux positifs, observe Arnaud Hess. De là, un environnement où la fatigue des analystes, les retards de traitement et les erreurs deviennent structurels. »
Reconfiguration du rôle humain
Il ne s’agit pas pour autant de remplacer l’humain. Mais de le seconder. Et, par là même, changer la dynamique. Au passage, soulignons que l’IA n’est pas nouvelle dans les SOC; elle a déjà apporté son lot d’évolutions, via le machine learning en modélisant le comportement humain afin d’ajouter des capacités aux seuls SIEM pour détecter les comportements humains anormaux sur le système d’information et réduire ainsi les faux positifs.
Pratiquement, l’IA va permettre de corréler des données issues de multiples outils, d’intégrer le contexte et de déclencher des réponses standardisées transforment la chaîne de traitement des incidents. Certaines actions peuvent être résolues avant même qu’une alerte ne soit examinée par un humain, réduisant les délais et la charge.
« Cette évolution ne se traduit pas par une disparition du rôle humain, mais par sa reconfiguration, insiste Arnaud Hess. Les équipes de sécurité deviennent des orchestrateurs, responsables de la supervision, de la validation et de l’adaptation continue des modèles et des processus. »
L’investigation change
Dans la philosophie d’Advens, l’IA offre un filet de sécurité. L’intuition, l’expérience et le jugement des experts en cybersécurité restent indispensables pour traiter les incidents de manière efficace. Concrètement, chaque détection ou alerte générée par un système d’IA nécessite une validation par un analyste.
Libérées des taches non stratégiques, les équipes du SOC peuvent se concentrer sur des taches à plus forte valeur ajoutée comme l’accompagnement, la chasse aux menaces ou la recherche proactive d’indicateurs de compromission et améliorer qualitativement les analyses.
« L’investigation, à l’image des enquêtes judiciaires, nécessite de faire preuve d’intuition, de se mettre dans la tête de l’attaquant ou de changer son angle d’attaque si le raisonnement entre dans une impasse », illustre Arnaud Hess.
La gouvernance, question centrale
L’IA ne résout pas tout pour autant. On voit de nouveaux angles morts, liés notamment aux points terminaux non couverts, aux outils périphériques et aux agents IA non maîtrisés. Qui plus est, l’efficacité de l’IA dépend entièrement de la qualité et de l’intégrité des données utilisées pour son entraînement. Des données biaisées ou de mauvaise qualité peuvent entraîner des faux positifs ou, pire, des menaces non détectées.
La question centrale devient alors celle de la gouvernance. Automatiser le tri et la réponse ne suffit pas sans protocoles clairs d’escalade, de contrôle et d’audit. La promesse d’efficacité offerte par l’IA s’accompagne d’une responsabilité accrue des organisations dans la supervision de ces dispositifs et dans l’anticipation de leurs dérives potentielles.
« Le SOC managé a de beaux jours devant lui grâce à l’IA, conclut Arnaud Hess. Car l’humain est véritablement la valeur ajoutée, axée sur l’accompagnement des entreprises qui nécessitent d’être rassurées et mieux préparées face aux cyberattaques. »
