De la vision à la perception : le nouveau défi de l'ère de l'IA

Shane Buckley
CEO de Gigamon

Récemment, mon équipe a reçu un message vocal, soi‑disant de ma part, réclamant un virement de 85 000 $. La voix imitait parfaitement mon ton, mon rythme, jusqu'à mes tournures de phrases. Troublant…

Il s’agissait d’une fraude au président, dopée à l’intelligence artificielle. Si des attaquants sont capables d’imiter l’identité d’un dirigeant grâce à l’IA, quid de ce qu’ils peuvent accomplir au sein de l’écosystème d’une entreprise, surtout lorsque les RSSI ne disposent pas d’une visibilité complète sur le fonctionnement réel de leurs infrastructures ?

Plus d’outils, moins de visibilité : l’angle mort stratégique

La tendance observée dans le secteur se confirme : les défenses en cybersécurité se sont considérablement renforcées, mais l’accumulation d’outils ne garantit pas une visibilité complète. Les organisations ne reçoivent que des signaux partiels, sans vue d’ensemble. Les dirigeants se doivent de réévaluer l’importance cruciale d’une visibilité totale sur leurs environnements.

La plupart des organisations cumulent des dizaines d’outils de prévention, de détection, de réponse et de contrôle. Chacun de ces outils observe une partie de l’infrastructure, mais aucun n’offre une vision d’ensemble. On parle ici de fragmentation ou de vision partielle.

Nous n’avons jamais disposé d’autant de données et, pourtant, nous n’avons jamais eu aussi peu de clarté. C’est comme observer une scène avec un seul œil : on distingue les formes, mais on perd la précision, l’essentiel : bref, la vision d’ensemble. Les attaquants le savent parfaitement et exploitent pleinement cette vision partielle.

Les zones d’ombres : des failles potentielles

Bien souvent, c’est le même schéma qui se répète : l’intrusion initiale est rarement la plus dangereuse. Les véritables dégâts surviennent durant la longue phase silencieuse qui suit, lorsque les attaquants étendent progressivement leurs accès, se fondent dans l’activité et préparent discrètement leur attaque.

L’IA accélère cette progression : grâce à la reconnaissance automatisée, elle peut cartographier une architecture cloud en quelques minutes. L’IA redéfinit les règles du jeu. À mesure que les organisations lui confient leurs données internes pour gagner en efficacité, elles offrent aux attaquants un allié inattendu : un système compromis devient leur meilleur agent de renseignement, capable d’identifier, d’organiser et d’exfiltrer des informations sensibles sans qu’ils aient à lever le petit doigt.

La prévention est nécessaire mais insuffisante

La prévention est essentielle. Mais dans un monde marqué par la prolifération des identités et par des menaces amplifiées par l’IA, elle ne peut pas empêcher toutes les intrusions. La question n’est plus « peut‑on empêcher une violation ? », mais plutôt « à quelle vitesse peut‑on détecter et neutraliser un intrus ? ». Il est donc indispensable de disposer d’une visibilité complète des environnements hybrides. Une visibilité partielle contraint les défenseurs à agir sur la base d’hypothèses plutôt que de faits avérés.

L’observabilité avancée : les yeux grands ouverts

La télémétrie provenant du réseau est essentielle pour disposer d’une vision complète. Les paquets, flux et métadonnées d’application renseignent sur le comportement réel, et pas seulement sur des signaux interprétés. Les paquets ne mentent pas.

Combinée aux métriques, événements, logs et traces, la télémétrie réseau permet d’atteindre une observabilité avancée. Cette observabilité permet de visualiser les déplacements est‑ouest (déplacements internes d’un attaquant à l’intérieur d’un réseau) ; le principe du moindre privilège (système limitant les droits strictement nécessaires pour accomplir une tâche) ressort clairement ; le trafic chiffré fournit des informations exploitables ; et enfin, les logs des endpoints (tous les appareils connectés à un réseau) gagnent en pertinence grâce à la corrélation réseau.

L’observabilité avancée renforce les investissements dans les outils existants en ancrant les décisions de sécurité sur une télémétrie complète et fiable, et non sur une vision partielle.

La visibilité partielle n’est plus une option pour les dirigeants

L’IA a mis fin à l’époque où la prévention suffisait à bâtir une stratégie de cybersécurité. Les attaquants opèrent désormais avec une rapidité et une ingéniosité redoutables et, trop souvent, avec une meilleure visibilité que leurs cibles. Les organisations les plus résilientes seront celles qui disposeront d’une vision complète, capable d’identifier et d’éliminer ces zones d’ombre, de véritables angles morts susceptibles de se transformer en failles exploitables par les attaquants. Car, faut‑il le rappeler, on ne peut pas sécuriser ce que l’on ne voit pas. L’observabilité avancée permet de voir avec les deux yeux grands ouverts.