Les limites du fonctionnement actuel d’un CDC
Le fonctionnement classique d’un CDC repose sur des règles, qui s’exécutent à la détection de certains signaux et émettent une alerte, voire prennent automatiquement des mesures de précaution ou de remédiation prédéfinies. La limite de cette méthode est qu’elle ne permet de combattre que ce que l’on connaît. Si on élargit la détection à ce qui est seulement douteux, on risque de générer d’innombrables faux positifs qui engorgeront les processus. En outre, c’est une approche très consommatrice de ressources puisque de nombreux experts sont nécessaires pour concevoir, valider, et implémenter les règles.
L‘IA : un outil révolutionnaire au service des CDC
Ce besoin de toujours créer de nouvelles règles, l’IA pourrait potentiellement l’éliminer pour une large part, et ainsi révolutionner les CDC. En effet, l’IA pourrait apprendre seule ce qui est ou pourrait être révélateur d’un acte malveillant et comment y réagir. Par déduction, elle pourrait aller jusqu’à déceler des mécanismes d’attaque encore inconnus à partir de signaux faibles, et donc alerter sur des menaces que l’on n’avait pas anticipées. Le bénéfice serait alors triple :
- Des gains importants de productivité sur les processus post-mortem, qui vont de l’analyse des incidents, du traitement des incidents, à la mise en œuvre de nouvelles règles pour s’en prémunir ;
- Une plus grande prédictibilité et une plus grande efficacité de la détection, avec à la fois une couverture plus large, une analyse plus fine, des réactions appropriées plus rapides et moins de faux positifs ;
- Une contextualisation accrue des analyses : étant capable d’absorber énormément de paramètres, l’IA pourrait aussi prendre en compte des connaissances de CTI (Cyber Threat Intelligence) et des éléments propres à l’entreprise (modèles et critères de gestion de risque, processus critiques, données confidentielles et sensibles…) pour mieux comprendre les attaques qu’elle détecte, évaluer leur dangerosité, et ainsi prioriser, contextualiser et optimiser la réponse. Ce glissement d’une gestion purement technique des incidents cyber à une approche davantage basée sur le risque métier est l’une des tendances actuelles des SOC, et l’IA pourrait grandement accélérer cette évolution.
Points de vigilance lors de la mise en œuvre de l’IA dans le contexte des CDC
Si le conditionnel reste de mise, c’est qu’il faudra malgré tout lever les obstacles qui séparent encore le potentiel évident de l’IA pour le CDC et sa mise en œuvre effective. Trois points nécessiteront une attention particulière :
- L’automatisation : pour ne pas gâcher les bénéfices de la rapidité, de la finesse et de la qualité d’analyse de l’IA, il sera indispensable de la coupler à une large automatisation des processus. À certaines étapes, l’expertise, la validation et le contrôle resteront indispensables, mais, autant que possible, il faudra éliminer les interventions manuelles, potentielles sources de lenteurs et d’erreur. C’est aussi par ces gains de productivité que la solution d’IA trouvera pour l’essentiel son équation économique.
- Le changement organisationnel et humain : l’automatisation des processus et l’intervention de l’IA va profondément changer le travail au sein du CDC. Ainsi, l’IA pourra assurer un premier tri, éliminer bon nombre de faux positifs, traiter automatiquement les incidents basiques… Soulagés de nombreuses activités peu intéressantes et chronophages, les analystes pourront se consacrer à des tâches à plus forte valeur ajoutée, l’une d’elles étant d’ailleurs de contrôler et valider les résultats de l’IA. Pour tirer le meilleur parti de l’IA, il faudra donc remettre à plat l’organisation du CDC et faire évoluer les compétences.
- La gestion des modèles : pour garantir l’efficacité du CDC dans la durée, il faudra avoir la capacité à développer, maintenir et sans cesse améliorer le modèle d’IA, ce qui exige d’avoir les compétences et les données nécessaires. Celles-ci devront présenter la pertinence, la qualité, l’intégrité et la fraîcheur adéquates, ce qui, dans le domaine de la cybersécurité, sera une gageure car les technologies et les mécanismes d’attaque évoluent constamment. Ceci pose aussi la question de l’intégration de la solution : sera-t-elle directement incorporée par les éditeurs à leurs outils (au risque de devoir se fier à une boîte noire générique), ou bien dans l’infrastructure même du CDC (ce qui sera plus lourd et plus coûteux) ?
Sans que leurs utilisateurs en aient toujours conscience, l’IA est déjà intégrée à de nombreux outils de sécurité avec des résultats très prometteurs. Même s’il reste des points à traiter, elle représente certainement l’avenir du CDC et l’alliée puissante dont a aujourd’hui besoin la cybersécurité face à des attaquants déterminés, créatifs, et de mieux en mieux armés.