Considéré comme un copilote pour augmenter plutôt que révolutionner les opérations de sécurité, l’IA bien réglée peut fournir des résultats supplémentaires, selon les premiers rendements des dirigeants de la sécurité.
L’application de l’intelligence artificielle pour renforcer les défenses de cybersécurité – partiellement propulsées par le battage médiatique de l’industrie – est rapidement passé au sommet de l’ordre du jour pour de nombreux professionnels de la sécurité des entreprises.
L’IA offre la vitesse, l’évolutivité et l’adaptabilité que les outils de sécurité traditionnels ne peuvent pas correspondre dans le centre d’opérations de sécurité, le blocage des e-mails de l’escroquerie, la gestion de l’accès et de nombreuses autres fonctions de sécurité de base. Les cas d’utilisation émergents pour l’IA commencent à remodeler la réflexion des Cisos autour des opérations de cybersécurité alors qu’ils cherchent à exploiter la technologie pour mieux défendre leurs organisations contre l’escalade des menaces.
Télémétrie de Turbo Boost
L’IA de sécurité et l’automatisation commencent à démontrer une valeur significative, en particulier pour minimiser le temps de séjour et accélérer les processus de triage et de confinement, explique Myke Lyons, CISO à la télémétrie et le fournisseur de logiciels de pipeline d’observabilité CRIBL.
Leur succès, cependant, dépend fortement de la priorisation et de la précision de la télémétrie sous-jacente, prévient Lyon.
«Au sein de mon équipe, nous suivons une approche structurée de la gestion des données: la télémétrie à haute priorité, sensible au temps – telles que l’identité, l’authentification et les journaux des applications clés – s’adresse aux systèmes de haute assurance pour une détection en temps réel», explique Lyons. «Pendant ce temps, des données moins critiques sont stockées dans les lacs de données pour optimiser les coûts tout en conservant la valeur médico-légale.»
Lyon continue: «Cette stratégie améliore non seulement le rapport signal / bruit pour les analystes, mais raccourcit également les temps de réponse et atténue l’impact des incidents, ce qui entraîne finalement des économies de coûts tangibles.»
Le bord agentique
Les services financiers sont souvent un premier adoptant des technologies de sécurité de pointe.
Bien que l’automatisation ait contribué à réduire l’identification des violations et les temps de réponse grâce à l’orchestration, l’automatisation et la réponse (SOAR) basées sur des règles et les outils de détection et de réponse (EDR), les technologies d’IA agentiques offrent le potentiel de Turbo Boost Performances et les résultats.
«Par exemple, chez BOK Financial, nous avons déployé des solutions qui utilisent l’IA agentique pour identifier et bloquer les tentatives de compromis par e-mail commercial en temps réel, améliorant continuellement la précision avec les menaces en évolution», explique Rogers.
Un mot d’avertissement
D’autres experts étaient prudents quant à savoir si ces premières réussites pouvaient être reproduites dans plusieurs industries.
«Nous ne voyons pas encore la détection de l’IA, et c’est dangereux parce que nous pourrions être bercées dans un faux sentiment de sécurité», explique Shaila Rana, membre principal de l’IEEE.
Des recherches récentes, citées par RANA, ont montré que les systèmes d’IA peuvent signaler correctement 89% des fichiers malveillants comme logiciels malveillants. Cependant, dans les conditions de test les plus difficiles, un prototype de système basé sur l’IA autonome n’a attiré que 26% de tous les logiciels malveillants réels.
Ces chiffres proviennent d’expériences par Microsoft Research on Project IRE, un prototype de classification des logiciels malveillants basée sur l’IA, dans un test exigeant sur 4 000 fichiers non classés par des systèmes automatisés et prévus pour une revue manuelle.
«Nous devons être conscients de ce problème, et de nombreuses organisations découvrent que l’automatisation sans intégration appropriée crée simplement un chaos plus rapide plutôt qu’une résolution plus rapide», explique Rana.
Rana conclut: «La vraie« victoire »n’est pas seulement la vitesse ici; il s’agit de gérer les choses de routine afin que les experts humains puissent se concentrer sur la résolution de problèmes complexes et stratégique que les machines ne peuvent toujours pas correspondre.»
L’IA doit être traitée comme un copilote de sécurité – et non comme un pilote automatique
Anar Israfilov, fondateur et CTO chez Cyberon Enterprise spécialiste de la détection des menaces de l’IA, a déclaré que le travail de son entreprise avec les clients d’entreprise a illustré la valeur de la surveillance humaine et la nécessité de «vérifier la réalité» des résultats de l’IA.
«Dans l’un de nos projets, la détection des anomalies a commencé à produire diverses« alertes fantômes »parce que les sources de données n’ont pas été définies de manière appropriée», explique Israfilov. « Et tout d’un coup, les analystes chassaient à nouveau le bruit. »
Israfilov ajoute: « C’était un point d’apprentissage important: vous avez absolument besoin de gouvernance et de surveillance humaine, dès le début. Nous avons dû construire des outils d’explication et des boucles de rétroaction pour que le système apprenne et l’analyste lui fasse confiance. »
L’IA est la meilleure en tant que copilote – et non comme remplacement – pour les analystes de sécurité, conclut-il.
«Les entreprises étant proactives dans le traitement de l’IA comme un assistant pour leurs analystes – au lieu d’automatiser l’analyste – voient de bien meilleurs résultats», explique Israfilov.
Contexte
Denida Grow, directeur général de Boutique Security Consultancy Lemareschal, affirme que ses expériences suggèrent que l’outillage de sécurité basé sur l’IA en est encore à ses premiers stades de développement.
«À ce stade, nous ne pouvons pas baser les opérations de sécurité uniquement sur des rapports ou des recommandations générés par l’IA», explique Grow. « Ils peuvent aider avec des choses comme le résumé des journaux incidents, tirer des modèles des données ou accélérer la rédaction du rapport, mais quand il s’agit de soutenir les opérations de sécurité réelles, ils sont toujours trop immatures pour être invoqués sans être impliqué humain. »
Un manque de contexte fréquent est la lacune la plus importante des outils de sécurité basés sur l’IA naissants, selon Grow.
«Par exemple, dans les renseignements sur les menaces, ils feront surface des idées génériques mais négligeront les détails régionaux ou spécifiques à l’industrie», explique Grow. « Dans la réponse des incidents, ils peuvent rédiger une suggestion de livre de jeu, mais cela peut ne pas s’aligner sur les variables du monde réel comme le personnel, les lois locales ou la tolérance au risque du client. »
Les outils de sécurité basés sur l’IA servent de moyen utile pour obtenir une perspective différente sur un problème, mais ne remplacent pas le jugement professionnel. «Chaque résultat a encore besoin d’examen, de correction et de contexte d’un professionnel de la sécurité expérimenté», conseille Grow.
AI + Connaissances institutionnelles = gagner
Jonathan Garini, PDG de l’entreprise AI Platform Fifthelement.ai, soutient que l’IA est mieux utilisée pour réaliser des améliorations supplémentaires dans les centres d’opérations de sécurité des entreprises.
Une autre leçon clé est la nécessité d’intégrer l’IA aux connaissances institutionnelles.
«Plusieurs cisos avec lesquels j’ai parlé soulignent que le succès dans ce domaine n’est pas une question d’alimentation des données brutes à un modèle d’IA, mais de superposer dans un contexte telles que les flux d’intelligence des menaces et les rapports d’incident antérieurs, ainsi que les flux de travail organisationnels», conclut Garini.
