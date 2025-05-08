Depuis des années, les centres d’opérations de sécurité (SOC) sont confrontés à des défis permanents en matière de détection et de réponse aux menaces. Ces défis incluent la distinction entre les signaux de sécurité authentiques et le bruit de fond, le contexte inadéquat pour les enquêtes sur les alertes, le manque d’automatisation, les blocages des workflows et la baisse de la vigilance, pour n’en nommer que quelques-uns.
Cela fait des années que je répète que les opérations de sécurité, ou la gestion des cybermenaces sous toutes ses formes, doivent subir un changement majeur, à l’instar de ce qui s’est passé pour les compagnies aériennes commerciales au milieu du XXe siècle : des machines pilotent les avions commerciaux, et les pilotes interviennent dans des situations limitées. De même, le nouveau SOC gérerait des opérations autonomes avec un minimum d’intervention humaine.
Les analystes SOC deviendraient alors des pilotes SOC, choisissant où et quand ils interviennent, tandis que la machine virtuelle gère les opérations standard.
La cybersécurité est la seule à faire face au mystérieux phénomène du « zero-day » : des vulnérabilités nouvellement mises au jour dans les logiciels ou le matériel, jusque-là non détectées par la communauté de la sécurité. Ce concept englobe l’imprévisibilité entourant l’émergence de la prochaine menace, y compris sa source, son calendrier et sa méthodologie.
Lorsque des incertitudes se matérialisent, les pilotes du SOC (analystes humains) prennent le commandement, en utilisant leur expertise pour contrer et neutraliser ces nouvelles menaces.
Alors pourquoi ne disposons-nous pas déjà de SOC capables de fonctionner avec une intervention humaine minimale ? Depuis des années, les fournisseurs de logiciels de sécurité intègrent l’automatisation dans leurs produits. Les équipes SOC ont repoussé les frontières de l’automatisation, développant parfois des solutions sophistiquées et locales pour accélérer et accroître l’efficacité de la détection et de la réponse aux menaces. Mais les SOC ont besoin de plus que de l’automatisation. Ils ont besoin d’autonomie numérique.
L’intelligence artificielle (IA) peut reproduire les processus de prise de décision humains. Cette technologie peut faciliter un changement transformateur dans les opérations de cybersécurité, en particulier dans les opérations de sécurité de routine.
La détection des menaces utilise déjà des capacités IA telles que machine learning (ML). Grâce à l’intégration des principaux éditeurs de logiciels, diverses technologies SOC utilisent le ML pour des tâches allant de l’identification des menaces à la catégorisation des alertes. Cependant, l’automatisation des opérations de sécurité est soumise à certaines contraintes.
La plupart des équipes chargées des opérations de sécurité ont des règles d’engagement qui exigent un certain degré de certitude avant l’exécution. Cette certitude explique pourquoi l’automatisation est courante dans les systèmes fermés tels que les systèmes de détection et de réponse des terminaux (EDR). Le logiciel de point de terminaison et la console connaissent toutes les variables pertinentes et peuvent automatiser les réponses de manière efficace.
Un spécialiste de la sécurité d’un grand hyperscaler donne un exemple pratique. Leur entreprise nécessite une implication minimale du SOC en raison de sa connaissance approfondie de chaque technologie et de chaque actif de sa pile. Leur installation fonctionne essentiellement comme un système fermé, permettant une automatisation poussée.
Pour les entreprises qui ne disposent pas de tels systèmes fermés, en particulier celles qui utilisent des systèmes de gestion des informations et des événements de sécurité (SIEM), le scénario est différent. Ici, un protocole d’application d’orchestration, d’automatisation et de réponse en matière de sécurité (SOAR) gère l’automatisation.
Par exemple, un protocole de réponse automatique peut être programmé pour mettre en quarantaine un hôte s’il ne s’agit pas d’un serveur et qu’il exécute des activités malveillantes reconnues. Toutefois, cette automatisation ne peut s’activer que si l’identité de l’actif est connue, par exemple s’il s’agit d’un serveur critique ou d’un poste de travail.
Le contexte joue un rôle primordial dans l’automatisation des fonctions de sécurité, et c’est là que les analystes humains du SOC se démarquent. Grâce à la collecte manuelle, au jugement et à l’analyse des données en « chaise pivotante », ils fournissent le contexte nécessaire à l’automatisation pour fonctionner efficacement dans les systèmes ouverts. Les opérations en chaise pivotante doivent faire place au nouveau paradigme des opérations autonomes multi-agents.
C’est là qu’intervient le cadre autonome et multi-agents. Les services de cybersécurité d’IBM utilisent l’IA pour comprendre les besoins en matière de contexte, établir le contexte, prendre des décisions et autoriser l’automatisation pour la terminer ou la gérer entièrement, même en contournant le SOAR.
Notre orchestrateur du travail numérique, la machine autonome d’opérations des menaces (ATOM), élabore une liste de tâches pour l’enquête sur une alerte. Si ATOM détermine que le contexte de l’actif est inadéquat, il fait appel à d’autres agents IA pour recueillir les informations manquantes.
Pour poursuivre notre analogie avec la chaise pivotante, lorsque ATOM détecte un contexte d’actif manquant, il agit. Il interagit de manière proactive avec les agents associés à la gestion des vulnérabilités, à la gestion de l’exposition, aux bases de données de gestion de la configuration (CMDB) et aux systèmes EDR ou de détection et de réponse étendues (XDR) afin de rassembler ce contexte.
ATOM détermine alors qu’un actif spécifique, sur la base de son nom d’hôte et de son emplacement sur le réseau, correspond à des modèles de postes de travail typiques, et conclut qu’il s’agit bien d’un poste de travail. Ce raisonnement est le même type de logique qu’un analyste humain appliquerait.
Après avoir pris la décision contextuelle, ATOM formule une réponse unique à cette alerte spécifique. Par exemple, il peut déterminer si un appel d’interface de programmation d’application vers une console EDR est la meilleure option ou si un workflow doit revenir au système SOAR.
On ne sait pas encore si l’IA permettra au personnel du SOC passer dans la chaise de pilote du SOC. Cependant, les capacités de travail numérique orchestrées sont plus proches de ce qui est nécessaire pour les opérations autonomes de SOC que n’importe quelle technologie avec laquelle nous avons travaillé chez IBM jusqu’à présent. Bien que la transition complète vers des SOC entièrement autonomes reste à réaliser, le parcours vers ce modèle efficace et à intervention minimale humaine est considérablement avancé avec l’avènement de l’IA agentique.
Ce changement majeur promet de révolutionner la gestion des menaces en permettant aux équipes de sécurité de prioriser les initiatives stratégiques plutôt que d’être accablées par des tâches répétitives. Alors que l’IA continue d’évoluer, nous attendons avec impatience un avenir où nos SOC ne seront pas simplement automatisés, mais véritablement autonomes, prêts à prendre leur envol et à laisser les tâches banales aux machines.
