![[Forum InCyber 2024] Comment l’[IA générative] va « augmenter » le SOC](https://incyber.org//wp-content/uploads/2024/03/incyber-news-threat-cybersecurite-cybersecurity-2160x735.jpg)
Forum InCyber 2024 Comment l’IA générative va « augmenter » le SOC
![Image France : création d’une « Ligue pour la sécurité du [Web3] »](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-web3-exploration-2024-885x690.jpg)
![Image Chez les [opérateurs télécom], la cybersécurité est omniprésente](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-telecom-communication-center-2024-885x690.jpg)
![Image [Odile Duthil] nommée directrice de la cybersécurité de la Caisse des Dépôts](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
Et si l’intelligence artificielle résolvait le déficit structurel de compétences dans la cybersécurité. Non seulement les profils cyber sont rares mais ils sont souvent affectés à des tâches rébarbatives et sans grande valeur ajoutée qui pèsent sur leur santé physique et morale. Selon une étude de l’association américaine ISACA (Information Systems Audit and Control Association), 60% des sociétés peinent à retenir leurs experts et le stress au travail est l’une des principales causes de démission.
De fait, l’IA est appelée à alléger le quotidien dans les SOC’s. Assurant une analyse de premier niveau, elle vient décharger les analystes de la lecture de centaines de lignes de logs – un travail particulièrement ingrat – pour les laisser se concentrer sur les événements essentiels méritant leur attention. Plus généralement, un assistant virtuel permet de passer en revue l’exhaustivité des données toujours plus nombreuses remontées par les systèmes de supervision. Ce qu’aucun être humain ne peut matériellement réaliser.
L’arrivée de l’IA générative devrait faire passer un niveau supérieur dans la détection, la qualification et l’analyse des menaces puis la réponse aux incidents. « Quand ChatGPT d’OpenAI est arrivé sur le marché [en novembre 2022, NDLR], j’ai immédiatement perçu son utilité dans nos métiers », avance Philippe Gillet, cofondateur et CTO de Gatewatcher, éditeur français d’une plateforme de NDR (Network Detection and Response).
Contextualiser les alertes
Près d’un an et demi plus tard, Gatewatcher effectuait une démonstration technique au Forum InCyber 2024, de Gaia, son assistant reposant sur l’IA générative. Actuellement en bêta-test auprès de quelques clients historiques, il devrait être officiellement dévoilé à la fin du premier semestre 2024. Gaia vise à accélérer la mise en œuvre des politiques de sécurité, en facilitant la prise de décision voire en automatisant les actions de remédiation. « Nous avons voulu mettre l’IA au service des métiers, poursuit Philippe Gillet. Les cas d’usage explorés correspondent aux souhaits exprimés par nos clients. »
Dans une approche de « SOC augmenté », l’IA apporte tout d’abord une dimension de conseil en contextualisant les alertes complexes et en établissant des corrélations avec des menaces déjà répertoriées. « Pour lutter contre les faux positifs, l’IA donne des indications à l’analyste pour faciliter la levée de doute, explique Philippe Gillet. Et si l’attaque est avérée, l’outil lui livre des informations contextuelles pour l’aider à cerner la nature de la menace et à investiguer. »
Est-ce que ladite menace a déjà été vue ailleurs ? Pour le savoir, Gaia s’interface à des bases de connaissances sur les menaces comme LastInfosec, appartenant à Gatewatcher, ou à une plateforme de « Threat Intelligence » tierce comme celle de Mandiant. L’IA remontera, par exemple, que le malware détecté a pour origine un groupe de pirates informatiques affilié à la Russie et cible spécifiquement le secteur industriel. Elle renverra vers une analyse réalisée il y a quelques semaines par des chercheurs australiens.
Automatiser l’orchestration de la réponse
Après l’aide à la décision, l’étape suivante porte sur l’orchestration et la remédiation. Quelle série d’actions mener sur le système d’information pour contrer ou tout du moins contenir une attaque jusqu’à ce que les experts interviennent ? Dans le cas d’un malware qui a réussi a passé les filtres anti-phishing, l’IA décidera de mettre en quarantaine le mail suspect dans les 25 boîtes aux lettres où il a été signalé.
« La réponse ne peut pas être binaire mais multivectorielle et proportionnée afin d’éviter tout arrêt d’activité inopiné, tempère Philippe Gillet. Elle peut se traduire par une nouvelle règle sur le firewall, la fermeture d’un proxy voire le blocage temporaire d’un poste de travail. Si un expert technique est capable de faire des règles sur un firewall, ce n’est pas le cas de tout le personnel IT. Le recours à l’IA permet d’éviter des erreurs humaines qui seraient contreproductives. »
Jusqu’à quel point faut-il laisser la machine autonome dans la réponse ? Tout dépend du niveau de maturité de l’organisation, juge Philippe Gillet. « Dans le SOC d’une grande banque, l’IA restera cantonnée à un rôle de conseil, les experts ‘maison’ menant eux-mêmes les actions d’investigation et de remédiation. A l’inverse, l’automatisation sera bien accueillie dans le cas d’un hôpital aux ressources cyber, techniques comme humaines, particulièrement contraintes. »
Suggérer une stratégie globale de défense
Quoi qu’il en soit, l’automatisation maximale va dans le sens de l’histoire selon l’expert. Face à des menaces persistantes avancées (ATP) toujours plus nombreuses et complexes, il faut pouvoir très rapidement mettre en place les mesures qui s’imposent. Faisant le parallèle avec une plateforme qui, comme Palantir, modélise les théâtres d’opérations militaires et aide les armées à agir rapidement sur le champ de bataille, « l’IA va suggérer une stratégie globale de défense en fonction de la nature de la menace et des outils de protection existants. »
De manière plus anecdotique, Gaia va générer automatiquement les reportings et autres tableaux de bord recensant les alertes sur la semaine ou le mois écoulé. Gaia sera proposée en deux phases. Dans un premier temps, l’outil reposera à 10 % sur le grand modèle de langage (LLM) d’OpenAI, le reste étant composés modèles supervisés conçus par Gatewatcher.
Dans une phase ultérieure, Gaia sera commercialisée dans une version fermée, déconnectée du modèle d’OpenAI, pour les acteurs évoluant dans des environnements sensibles. Gatewatcher prévoit aussi de l’interfacer à différents EDR/XDR du marché comme ceux de Fortinet ou de SentinelOne.
Bien sûr, Gatewatcher n’est pas le seul éditeur spécialisé à intégrer de l’IA dans sa solution. Également présents au Forum InCyber 2024, Tehtris a présenté Cyberia eGuardian, un assistant qui qualifie et priorise les alertes et les évènements au sein d’un SOC, tandis que la startup Sekoia.io utilise l’IA générative pour donner plus de contexte dans l’interprétation des alertes.