Les systèmes autonomes fonctionnent enfin. La sécurité est la prochaine étape

Au cours de la dernière décennie, le secteur de la sécurité s’est concentré sur la détection. L’accent a été mis sur la génération d’un plus grand nombre d’alertes, l’amélioration de la qualité du signal et l’extension de la couverture. Ces efforts ont été significatifs, mais nous approchons d’un point de saturation. Malgré les progrès continus en matière de détection, les défenseurs restent à la traîne tandis que les attaquants conservent l’avantage.

Selon CrowdStrike, un mouvement latéral peut désormais se produire en seulement 29 minutes en moyenne. Dans cette fenêtre, la différence entre compréhension et incertitude détermine si un incident est contenu ou s’aggrave. La visibilité reste importante, mais la capacité à parcourir la boucle OODA – comprendre, orienter, décider et agir – dans un laps de temps de plus en plus réduit compte davantage.

Les équipes de sécurité ne sont pas contraintes par un manque d’alertes ou de données ; ils sont contraints par le manque de réponses. Chaque alerte lance un processus qui oblige les analystes à passer d’un outil à l’autre, à assembler un contexte fragmenté, à reconstruire les événements et à déterminer leur impact. Ce processus est fondamentalement limité dans le temps et, dans la plupart des environnements, il prend encore des heures.

Les attaquants opèrent selon un calendrier beaucoup plus court, créant une asymétrie structurelle que les enquêtes menées par l’homme ne peuvent égaler. L’industrie n’a pas manqué d’améliorer la détection ; il a mal identifié la contrainte principale. La rapidité de l’enquête est le facteur limitant.

Malgré les progrès de l’infrastructure, du cloud et de l’IA, le flux de travail sous-jacent des opérations de sécurité n’a pas fondamentalement changé. À la base, la sécurité fonctionne toujours comme un processus piloté par l’humain : des alertes sont générées, les analystes enquêtent, le contexte est assemblé manuellement et les décisions sont prises sous pression. Ce modèle était suffisant lorsque les environnements étaient plus petits et la vitesse des attaquants était plus faible, mais il ne fonctionne plus dans les conditions modernes.

Les environnements actuels génèrent un volume et une diversité de signaux qui dépassent ce que les investigations manuelles peuvent traiter dans les délais impartis. La limitation ne réside pas dans l’accès aux données, mais dans la capacité à les assembler et à les interpréter suffisamment rapidement pour agir. En conséquence, les équipes ont du mal à passer de l’observation à l’orientation dans les délais, ce qui retarde les décisions et les réponses en aval.

Dans un flux de travail traditionnel, une alerte indiquant un accès inhabituel à une charge de travail de production déclenche une séquence d’actions : les analystes interrogent les journaux, corrèlent l’activité des identités, examinent les modifications du système et tentent d’établir une chronologie. Chaque étape introduit une latence, ralentissant la transition de l’observation à l’orientation.

Dans les systèmes modernes, l’enquête peut commencer par une compréhension structurée de l’événement lui-même. La séquence d’enquête est absorbée dans le système. Au moment où l’alerte est présentée, le contexte pertinent a déjà été assemblé : l’identité impliquée, le chemin d’accès, les modifications apportées et si le comportement s’aligne sur des modèles établis ou représente un risque.

Le rôle de l’analyste évolue également en conséquence. Au lieu de reconstruire les événements, l’analyste évalue une analyse terminée et détermine la réponse appropriée. Cela comprime la première moitié de la boucle OODA, permettant aux équipes de passer de l’observation à la décision avec beaucoup moins de frictions. Il réduit la latence, améliore la cohérence et aligne la vitesse de prise de décision sur la vitesse de l’environnement.

L’accélération des enquêtes ne résout qu’une partie du problème. Le défi restant consiste à boucler la boucle OODA. Même lorsque les équipes prennent une décision rapidement, l’action est souvent retardée par les processus manuels. La remédiation nécessite une coordination entre les systèmes, une validation de l’impact et une exécution minutieuse. En pratique, cela introduit une latence entre la décision et la réponse.

À mesure que les organisations adoptent l’IA, la même contrainte devient plus sévère. Ces risques ne créent pas de nouveau problème ; ils l’accélèrent. Les applications basées sur l’IA fonctionnent à la vitesse de l’interaction, et non à celle de l’infrastructure. L’environnement n’est plus seulement constitué de charges de travail, mais d’interactions entre utilisateurs, modèles et données.

Les risques tels qu’une injection rapide, une mauvaise utilisation du modèle et une exposition involontaire des données se propagent rapidement et sur des surfaces distribuées. Ces risques nécessitent une compréhension et une réponse rapides, souvent au cours d’une seule interaction. Leur gestion nécessite la même capacité : la capacité à exécuter la boucle OODA plus rapidement que la menace.

Avec l’adoption de l’IA, les systèmes de sécurité doivent observer les interactions, s’orienter en fonction de l’intention et du contexte, décider des risques et agir en temps réel. Les approches traditionnelles telles que les tests périodiques ou l’observation comportementale en surface sont insuffisantes. Des modèles de validation continue émergent, dans lesquels les systèmes de sécurité recherchent activement les faiblesses et vérifient les défenses de manière continue.

La conduite autonome n’a pas réussi parce qu’elle a atteint la perfection ; elle a réussi parce qu’elle a démontré de meilleurs résultats dans des scénarios critiques. Waymo n’a pas gagné en voyant plus de données ou en générant de meilleures alertes ; il a gagné en réduisant le temps entre la perception, la décision et l’action plus rapidement qu’un conducteur humain ne le pourrait.

La sécurité connaît la même transition. Dans les environnements où les attaquants opèrent dans des délais infimes, les flux de travail qui dépendent de la rapidité humaine pour terminer la boucle OODA sont structurellement désavantagés. L’avenir de la sécurité ne sera pas défini par une meilleure visibilité ou une détection plus précise. Il sera défini par des systèmes capables d’observer, d’orienter, d’agir et de décider – de bout en bout – plus rapidement que les attaquants ne peuvent exploiter l’environnement.