Le groupe Arche fait appel à l’IA pour « augmenter » ses experts cyber

Le quotidien d’un analyste dans un centre d’opérations de sécurité (SOC) est parfois ingrat quand il doit passer en revue des centaines de lignes de logs. L’IA peut désormais avantageusement le remplacer sur cette activité permettant à l’expert de se concentrer sur des missions plus nobles et essentielles comme l’analyse de l’origine des menaces.

Les experts qui interviennent pour la cybersécurité du groupe immobilier Arche peuvent compter sur ce nouveau collègue virtuel rapidement devenu indispensable. Cette holding, qui emploie plus de 23 000 collaborateurs et franchisés, détient un grand nombre de marques dont Citya Immobilier, Brosset Immobilier, Laforêt, Guy Hoquet, Le Bon Agent ou l’Agence Référence.

La messagerie et les applications métiers (ERP, CRM…) du groupe Arche sont hébergées en mode on-premise. La holding possède pour cela deux datacenters qui fonctionnent de manière redondante dans le cadre du plan de continuité des systèmes informatiques (PCSI).

Q1C1, une des ESN du groupe, fournit différents services tels que l’hébergement des solutions, la gestion des infrastructures, le help desk ou l’archivage des données et prodigue des conseils en termes de sécurité et de sauvegarde. Sur les 26 collaborateurs de Q1C1, trois sont dédiés à la cybersécurité.

Assurer une défense proactive

Q1C1 fait, par ailleurs, appel à un SOC externalisé auprès d’Exaprobe (groupe Econocom). « Notre politique de cybersécurité consiste à surveiller et à contrôler le système d’information de bout en bout afin d’alerter au plus vite en cas de tentative de pénétration, explique Dominique Reuillon, directeur chez Q1C1. Il s’agit de tracer le parcours de l’attaquant afin d’éviter d’éventuels déplacements latéraux. »

Pour cela, Q1C1 utilise les outils de Palo Alto Networks pour la connexion VPN, le firewalling et la brique XDR (Extended Detection and Response). Depuis cinq ans, l’ESN a également recours à la plateforme de NDR (Network Detection and Response) de l’éditeur français Gatewatcher.

Baptisé Gaia, l’assistant IA de Gatewatcher analyse les événements remontés par la solution NDR qu’elle corrèle avec l’ensemble des événements issus de l’écosystème cyber en place comme celui managé par le SOC. L’IA construit ainsi automatiquement un contexte exhaustif d’informations liées à tous les signaux disponibles afin de catégoriser et prioriser leur traitement.

« Cet assistant d’IA générative permet d’assurer une défense proactive, estime Dominique Reuillon. Il nous fait gagner énormément de temps en identifiant les faux positifs parmi les tonnes de logs. En le déchargeant de cette activité chronophage et fastidieuse, un ingénieur cyber peut se concentrer sur les tâches à réelle valeur ajoutée qui requièrent toute son attention. »

Gaia assiste le SOC à tout moment. Il donne, par exemple, des indications en cas de doute sur un « hash » pour assurer la levée de doute et catégoriser de manière probante que le problème est de nature ou non malveillante. Puis, l’IA propose des règles de sécurité à appliquer sur les solutions de Palo Alto Networks. Les actions de remédiation sont contextualisées à l’environnement technique du groupe Arche.

Pas d’accompagnement au changement

« Le recours à l’IA est, pour nous, plus qu’une évidence, poursuit Dominique Reuillon. Gaia analysera plus rapidement les logs que n’importe quel analyste ne pourrait le faire. L’IA nous aide à être plus productif. » Pour autant, elle n’agit pas en totale autonomie. Si l’IA génère des propositions de règles de sécurité, c’est l’ingénieur cyber qui les valide. « Un changement de règle sur un firewall ou la fermeture d’un proxy peut avoir des conséquences importantes sur l’activité », rappelle l’expert.

En tant qu’« early adopter », Dominique Reuillon trouve l’interface de Gaia plutôt simple et intuitive, comparativement à celle d’autres solutions cyber. « Son adoption a été rapide. C’est quasiment du « plug and play ». Il suffit de nourrir l’IA avec les composantes spécifiques à votre métier – procédures, politiques de sécurité interne ou encore documentation produit – ainsi que de définir son champ d’action via ses outils ou connecteurs. »

L’assistant dispose nativement de connecteurs pour s’interfacer aux outils du marché comme ceux de Palo Alto, Fortinet ou SentinelOne. « En l’interfaçant avec VirusTotal, nous pouvons obtenir l’ensemble des détails sur un indicateur par une simple demande écrite sans avoir à faire d’autre manipulation répétitive et chronophage ». Le fonctionnement de Gaia garantit, par ailleurs, la segmentation d’information lors de son usage en prenant en compte les informations publiques, semi-privées ou privées.

« Qu’au début de l’histoire »

Le recours à l’IA n’a pas nécessité d’accompagnement au changement. « Le déploiement de Gaia s’est fait sans résistance en interne, juge Dominique Reuillon. Au contraire, l’IA était attendue. Quand vous passez la journée à lire des logs pour catégoriser des faux positifs, vous avez la tête explosée le soir. Il y a aussi un gain de temps immédiat. La catégorisation se fait en quelques heures contre quelques jours en mode « manuel ». »

Selon lui, l’IA peut palier le problème de pénurie d’experts dans le domaine de la cybersécurité. « Un analyste de logs montera en compétence, un ingénieur cyber se concentrera sur ses missions prioritaires comme la gestion de l’antispam et du firewall. L’IA peut être également un élément d’attractivité et de rétention. Un jeune diplômé n’a pas envie de débuter sa carrière à lire des logs. »

En faisant appel à un éditeur français, le groupe Arche répond, par ailleurs, à l’enjeu de souveraineté, un critère de choix dans le contexte actuel. Quels pourraient être les usages à venir de Gaia ? Selon le directeur de Q1C, l’IA pourrait intervenir sur la messagerie mail. « Plus généralement, elle pourrait gérer tous les flux entrants du SI mais aussi automatiser le contrôle des accès extérieurs. Nous sommes qu’au début de l’histoire en termes d’adoption de l’IA », conclut-il.