Comment l'IA et l'observabilité renforcent la sécurité cloud
L'observabilité devient le socle de la sécurité cloud à l'ère de l'IA, unifiant visibilité, détection et analyse pour mieux comprendre et prioriser les risques.
Les équipes s’appuient sur les données d’observabilité pour comprendre pourquoi un système s’est comporté d’une certaine manière lors d’une panne ou d’un incident de sécurité. Longtemps associée au seul monitoring des performances, cette visibilité est en réalité tout aussi essentielle pour les analyses de sécurité. Pour reconstituer le déroulé d’une attaque, il est indispensable de comprendre comment les identités cloud, les services et les ressources ont interagi entre eux. Les données d’observabilité : métriques, événements, logs et traces (MELT) fournissent précisément ce niveau de contexte.
Avec la montée en puissance des applications et services LLM dans des environnements de plus en plus distribués, les coûts et les problèmes de visibilité liés à la fragmentation des outils et des infrastructures ne font qu’augmenter. Le Vibe Coding augmente significativement le nombre des vulnérabilités applicatives, tandis que de nouvelles attaques exploitant l’IA peuvent provoquer des comportements imprévisibles de certains systèmes. Dans le même temps, l’IA peut se révéler redoutablement efficace pour aider les équipes de sécurité, en accélérant les investigations grâce à sa capacité à corréler de gros volumes de signaux. De fait, les données d’observabilité deviennent une brique indispensable du dispositif de sécurité, à la croisée de la performance applicative et de la sécurité.
Exploiter les données d’observabilité pour détecter, analyser et répondre aux menaces
Si une visibilité unifiée et centralisée est indispensable pour comprendre les incidents cloud, les seuls signaux de sécurité vont souvent se révéler insuffisants. Chaque incident génère une multitude de flux associés aux authentifications, aux applications, aux données d’infrastructure qui interceptent chacun des éléments de contexte à différents moments dans le temps. Sans la possibilité de corréler les contextes de sécurité et d’observabilité, les équipes se retrouvent à reconstituer le puzzle après
La compromission de Cloudflare fin 2023 illustre concrètement l’intérêt de croiser données opérationnelles et signaux de sécurité lors d’un incident. En exploitant des identifiants et un jeton d’accès compromis via un prestataire tiers, les attaquants ont réussi à pénétrer les systèmes internes, notamment l’environnement Atlassian auto-hébergé. Face à une série de signaux faibles (flux d’authentification inhabituels, activités de reconnaissance, tentatives d’accès à d’autres systèmes), aucun élément pris isolément ne permettait de comprendre l’attaque. C’est la corrélation des données d’observabilité (métriques, événements, logs, traces) qui a finalement permis aux équipes de reconstituer le fil des événements et d’établir une chronologie précise.
Comme le montre cet exemple, les équipes peuvent s’appuyer sur leurs données existantes pour répondre aux questions clés d’une enquête de sécurité: qu’est-ce qui a changé dans le système? Qui ou quoi est à l’origine de ce changement? Quels autres éléments ont été impactés? Quels endpoints ont été appelés? Dans le cas des services intégrant de l’IA, une question supplémentaire s’impose: quel prompt ou quel appel d’outil a déclenché l’action?
Ce besoin de contexte partagé pousse les organisations à rapprocher voire fusionner leurs équipes SRE et sécurité. En combinant connaissance fine de l’architecture et expertise en sécurité, elles rendent leurs systèmes plus résilients face aux défaillances. La sécurité cloud n’est alors plus perçue comme une couche à part, mais comme une extension naturelle de l’observabilité des environnements. Les signaux de sécurité sont ainsi plus fidèles au comportement réel des systèmes, donc plus pertinents et exploitables en cas d’incident.
Cette approche permet également à l’IA de mieux prioriser les incidents en synthétisant les changements, en identifiant les acteurs impliqués et en cartographiant les systèmes impactés.
Utiliser les données d’observabilité pour l’analyse des menaces
Lorsque l’analyse des menaces s’appuie sur les données d’observabilité existantes, les équipes peuvent réutiliser le même contexte que celui du monitoring des performances pour relier le comportement d’un système à un chemin d’attaque ou à une vulnérabilité exploitée. Ce socle de données permet également à l’IA de gagner en pertinence, en facilitant la génération de synthèses d’investigation et de recommandations de remédiation.
Nous constatons une valeur immédiate à lier les données d’observabilité aux signaux de sécurité grâce à l’analyse basée sur l’IA, notamment pour générer des cartographies d’événements claires et exploitables lors d’incidents. Cet apport est particulièrement visible lors des phases de triage et d’investigation, souvent longues et itératives, où les équipes doivent vérifier la pertinence et la priorité des différents signaux.
Par exemple, imaginons un signal SIEM indiquant l’ajout d’une politique AdministratorAccess à un compte de service, associé à une adresse IP source identifiée comme un proxy résidentiel suspect. Dans une investigation classique, l’analyse suivrait généralement plusieurs étapes :
1. Vérifier si l’adresse IP correspond à un administrateur légitime et si la session est cohérente avec ses habitudes de connexion.
2. Reconstituer les événements survenus au même moment: modifications de politiques, création de clés d’accès, échecs d’authentification ou appels API inhabituels.
3. Identifier les services et ressources impactés afin d’évaluer l’étendue des accès possibles.
4. Analyser les comportements réseau associés, notamment les localisations inhabituelles et les pics de trafic sortant.
Une analyse assistée par l’IA, s’appuyant sur les données d’observabilité, peut condenser ce processus complexe en une seule évaluation. Les équipes passent ainsi de plusieurs heures d’investigation à quelques minutes, et peuvent se concentrer sur les actions correctives, comme la désactivation d’identifiants compromis ou le renforcement des principes de moindre privilège.
Utiliser les données d’observabilité pour prioriser les risques
Les équipes doivent pouvoir s’appuyer sur les données d’observabilité à chaque étape du cycle de vie du développement logiciel (SDLC). Avec l’accélération de la production de code, portée par les workflows de développement assistés par l’IA, ces données deviennent essentielles pour prioriser efficacement les risques. Dans les faits, seule une fraction des vulnérabilités critiques mérite une attention immédiate. En reliant les résultats d’analyse du code aux comportements en production et aux services impactés, il devient possible d’identifier plus tôt les risques réellement significatifs. Lorsqu’elles exploitent ces données, les approches basées sur l’IA permettent en outre de réduire les faux positifs et d’éviter des efforts de remédiation inutiles.
L’intégration de ces données aux revues de code, via une analyse basée sur des LLM appliquée aux pull requests (PR), permet d’identifier les risques en amont de la mise en production. L’IA se révèle particulièrement utile pour analyser les PR volumineuses, où du code malveillant peut se dissimuler au milieu de modifications apparemment anodines.
Pour distinguer un code malveillant de modifications légitimes, les modèles ont besoin de contexte sur les attaques réelles et sur les pratiques de développement courantes. C’est pourquoi les jeux de données doivent être continuellement enrichis, à la fois avec des attaques observées ou simulées et avec des PR classiques, afin de réduire les faux positifs.
Concevoir des systèmes résilients en unifiant observabilité et sécurité
Les environnements cloud continueront de se transformer avec l’adoption de nouvelles technologies, tandis que l’intégration de l’IA ajoute un niveau de complexité supplémentaire. À chaque nouvelle couche, de nouveaux angles morts apparaissent et la surface d’attaque s’élargit. Dans ce contexte, pour interpréter, investiguer et corriger avec précision, les données d’observabilité doivent être considérées comme le socle de la sécurité cloud, en particulier dans les environnements reposant sur l’IA.