La vitesse ne suffit pas à garantir la sécurité : l'avantage concurrentiel réside dans le contexte
Et si vos analystes SOC étaient votre meilleur atout contre l'IA des attaquants ? A condition de les armer correctement ?
J'ai moi-même été au cœur des équipes SOC pendant des attaques en cours. Je sais ce que l'on ressent quand on voit les alertes s'accumuler, quand on doit informer le RSSI tout en s'efforçant de garder les idées claires. Cette pression n'a pas changé.
Ce qui a changé, ce sont les chiffres. Il y a cinq ans, la plupart des organisations disposaient encore d'une marge de manœuvre. Les attaques sophistiquées coûtaient cher. Les campagnes ciblées nécessitaient de réels investissements. Cette marge de manœuvre a disparu.
Les attaquants ont toujours eu l'avantage structurel en matière de cybersécurité, mais l'IA l'a amplifié. Les défenseurs ne peuvent regagner du terrain qu'en déployant des systèmes d'IA fondés sur le contexte et l'automatisation.
Les chiffres jouent désormais en faveur des attaquants
L'IA accélère considérablement le développement logiciel, et les attaquants s'en servent pour découvrir et exploiter les vulnérabilités avec une rapidité inédite. Ainsi, les attaquants passent plus vite de la faille à l'exploitation, comme le montrent les chiffres.
Les délais d'intrusion s'effondrent. Les attaquants se déplacent souvent latéralement en moins d'une heure, voire en quelques minutes. L'exécution a pris le pas sur la dissimulation : les attaquants privilégient la rapidité et la livraison de la charge utile plutôt que la furtivité. L'exploitation des failles est désormais quasi instantanée. Les acteurs malveillants commencent presque immédiatement à scanner et à sonder les vulnérabilités nouvellement divulguées.
S'ils peuvent atteindre leur objectif avant que nous ayons terminé notre triage, ils n'ont pas besoin de se cacher pendant des semaines. Nous sommes désormais confrontés à l'ingéniosité humaine propulsée par la vitesse des machines, et les procédures manuelles ne peuvent pas gagner ce combat.
L'IA n'est pas une stratégie, c’est l'architecture
Les responsables de la sécurité intègrent des fonctionnalités d'IA dans les architectures existantes, mais cela ne suffit pas. Pour survivre à l'ère de l'IA, il faut repenser la manière dont les analystes, les données et l'automatisation interagissent.
Cinq principes doivent guider cette évolution :
1. Ne remplacez pas les analystes, renforcez leurs capacités
L'idée selon laquelle l'IA devrait remplacer les analystes du SOC est une vision à court terme. Même si certains outils peuvent reproduire des résultats basiques, en faire un remplacement aux apprentis élimine le vivier qui produira les futurs experts.
La véritable valeur de l'IA réside dans sa capacité à raisonner à la vitesse d'une machine, à partir d'un contexte approfondi, en fournissant des informations exploitables aux défenseurs en temps réel. Alors que les équipes de sécurité opèrent depuis longtemps sous pression, l'IA renforce leur efficacité. Non pas en remplaçant le jugement humain ou en devançant instantanément les adversaires, mais en amplifiant l'expertise humaine. Lorsque l'IA et les humains travaillent en tandem, l'IA peut mettre en évidence des schémas et fournir des recommandations, tandis que les humains les valident, créant ainsi une approche collaborative en maintenant l'humain dans la boucle. Nous avons besoin d'une technologie qui crée une couche d'intelligence partagée, offrant à la fois aux modèles d'IA et aux experts humains le contexte approfondi et exploitable nécessaire pour résoudre des problèmes complexes.
2. Transformer le bruit en intelligence souveraine
Nous avons tous ressenti le poids du volume des logs. La gravité des données est bien réelle. Et avec des exigences croissantes en matière de souveraineté et de résidence, tout envoyer vers un « cerveau » centralisé n’est pas toujours pratique.
L’approche la plus intelligente consiste à déplacer l’intelligence vers les données. L’époque de la centralisation de toutes les données est révolue. Aujourd’hui, l’IA devrait être capable d’ingérer, de corréler et de hiérarchiser les menaces là où se trouvent les données.
3. Fermer la fenêtre des vulnérabilités
Un attaquant peut agir en 11 minutes alors que votre réponse en prend trente. Après avoir suivi le comportement des adversaires pendant des années, nous avons constaté que la phase d’exécution du framework MITRE ATT&CK émergeait comme le signal prédominant. Les attaques sont plus rapides, et les adversaires sont de plus en plus disposés à recourir à des techniques sophistiquées pour gagner en vélocité et en impact. Les attaquants ont automatisé leurs chaînes d’attaque, tandis que les défenseurs restent bloqués à trier manuellement les alertes.
Adoptez une norme claire : prévenez ce qui peut l’être, automatisez le reste. L'IA doit d'abord agir comme un bouclier, bloquant les attaques avant l'exécution du code. Pour les menaces qui se concrétisent, les défenses ont besoin d'un système nerveux qui réagisse instinctivement, en corrigeant le problème en utilisant les mêmes moyens d’automatisation que ceux utilisés par l'adversaire pour attaquer.
4. Combler le fossé entre les outils et le savoir-faire
De nombreuses organisations disposent de plateformes puissantes, mais seule une poignée d'ingénieurs est capable de les exploiter pleinement. Une syntaxe complexe, des langages de requête obscurs et une télémétrie fragmentée créent des barrières artificielles.
L'IA est ici le facteur d'égalisation. Elle démocratise la cybersécurité, rendant les capacités d'investigation et d'analyse avancées accessibles à bien plus de personnes qu'auparavant. Lorsqu'un analyste junior peut formuler son hypothèse en langage clair et obtenir des résultats contextualisés et précis, la capacité défensive collective d'une organisation s'accroît, car elle n'est plus limitée à une poignée d'experts hautement spécialisés.
5. L'effet communautaire
Le dernier changement crucial est d'ordre philosophique. La confidentialité ne s'adapte pas à la vitesse des machines. La communauté, oui. La diversité des perspectives crée un système mondial d'alerte précoce. Une détection rédigée par un chercheur au Brésil peut sauver une banque à Londres cinq minutes plus tard.
Mais la communauté à elle seule ne suffit pas. Nous devons associer cette intelligence collective à l'accessibilité de l'IA. La communauté apporte l'étendue, l'IA apporte la profondeur. Ensemble, elles nous permettent de riposter à grande échelle.
Mettre en œuvre le changement
Et maintenant ? Cette philosophie ne sert à rien sans processus. Pour réellement tirer parti de cet avantage, les responsables de la sécurité doivent se concentrer sur ces changements immédiats :
- Repérez les tâches répétitives : Identifiez les cas où les analystes agissent comme des robots, en corrélant manuellement les logs, en rédigeant des requêtes basiques ou en résumant des tickets. C'est là que l'IA a sa place.
- Ouvrez les canaux de communication : Évaluez la manière dont vous interagissez avec la communauté dédiée au sens large. Si vous ne participez pas activement aux ISACs, aux rencontres professionnelles et au partage de renseignements entre pairs, vous créez vos propres angles morts. Travailler au-delà de votre équipe présente un avantage.
- Formalisez les flux de travail assistés par l'IA : Mettez à jour les guides opérationnels pour définir quand et comment les analystes doivent exploiter l'IA dans le cadre d'une enquête. Mais n'oubliez pas que l'IA est un multiplicateur de force, pas une solution miracle pour des processus défaillants. Intégrez ce « super-pouvoir » dans un flux de travail bien conçu, en veillant à ce que des processus solides guident son utilisation plutôt que de vous fier uniquement à l'IA.
- Choisissez des partenaires, pas seulement des fournisseurs : Votre pile technologique est votre ligne de défense ; ne la remplissez pas de boîtes noires. Recherchez des partenaires qui développent de manière ouverte et considèrent l'IA comme une base native plutôt que comme un module complémentaire payant. Dans un combat aussi rapide, vous ne pouvez pas vous permettre d'être coupé du reste du monde.
Les outils pour remporter ce combat existent. La communauté est prête. La seule variable qui reste est de savoir si nous avons la discipline nécessaire pour mettre à jour nos processus afin de nous adapter à la vitesse de la menace.