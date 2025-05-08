L’intelligence artificielle (IA) peut reproduire les processus de prise de décision humains. Cette technologie peut faciliter un changement transformateur dans les opérations de cybersécurité, en particulier dans les opérations de sécurité de routine.

La détection des menaces utilise déjà des capacités IA telles que machine learning (ML). Grâce à l’intégration des principaux éditeurs de logiciels, diverses technologies SOC utilisent le ML pour des tâches allant de l’identification des menaces à la catégorisation des alertes. Cependant, l’automatisation des opérations de sécurité est soumise à certaines contraintes.

La plupart des équipes chargées des opérations de sécurité ont des règles d’engagement qui exigent un certain degré de certitude avant l’exécution. Cette certitude explique pourquoi l’automatisation est courante dans les systèmes fermés tels que les systèmes de détection et de réponse des terminaux (EDR). Le logiciel de point de terminaison et la console connaissent toutes les variables pertinentes et peuvent automatiser les réponses de manière efficace.

Un spécialiste de la sécurité d’un grand hyperscaler donne un exemple pratique. Leur entreprise nécessite une implication minimale du SOC en raison de sa connaissance approfondie de chaque technologie et de chaque actif de sa pile. Leur installation fonctionne essentiellement comme un système fermé, permettant une automatisation poussée.

Pour les entreprises qui ne disposent pas de tels systèmes fermés, en particulier celles qui utilisent des systèmes de gestion des informations et des événements de sécurité (SIEM), le scénario est différent. Ici, un protocole d’application d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) gère l’automatisation.

Par exemple, un protocole de réponse automatique peut être programmé pour mettre en quarantaine un hôte s’il ne s’agit pas d’un serveur et qu’il exécute des activités malveillantes reconnues. Toutefois, cette automatisation ne peut s’activer que si l’identité de l’actif est connue, par exemple s’il s’agit d’un serveur critique ou d’un poste de travail.

Le contexte joue un rôle primordial dans l’automatisation des fonctions de sécurité, et c’est là que les analystes humains du SOC se démarquent. Grâce à la collecte manuelle, au jugement et à l’analyse des données en « chaise pivotante », ils fournissent le contexte nécessaire à l’automatisation pour fonctionner efficacement dans les systèmes ouverts. Les opérations en chaise pivotante doivent faire place au nouveau paradigme des opérations autonomes multi-agents.