L'IA en cybersécurité : l'automatisation seule peut-elle sécuriser votre organisation ?

À un moment donné, beaucoup croyaient que l'avenir serait dominé par des robots entièrement autonomes dirigeant le monde tandis que les humains se prélasseraient au bord de la piscine. Pourtant, cette vision d'une utopie pilotée par des machines relève plus de la fiction que de la réalité. Une dépendance excessive aux machines, loin de créer une société parfaite comme dans la série animée *Les Jetson*, pourrait nous mener vers un futur dystopique similaire à celui dépeint dans *Wall-E*. Dans ce film d’animation, l'humanité a perdu sa créativité, son indépendance et sa capacité de réflexion critique, devenant complaisante et dépendante de la technologie - un avertissement sévère de ce qui peut arriver lorsque les humains cèdent trop de contrôle à l'automatisation.

Alors que l'IA (Intelligence Artificielle) continue d'évoluer et que les organisations dépendent de plus en plus de l'automatisation, les professionnels de la cybersécurité devront veiller à ne pas devenir trop dépendants de la technologie. Maintenir un humain dans la boucle garantit que l'IA se comporte de manière conforme aux attentes pour empêcher les acteurs malveillants de pénétrer les systèmes critiques des entreprises sans introduire de risque supplémentaire. S'il existe une ligne entre une dépendance excessive à l'IA et une insuffisance d'IA, où se situe-t-elle et comment la franchir de manière à apporter de la valeur sans accroître les risques ?

L'IA transforme la cybersécurité des deux côtés 

L'IA et le ML (Machine Learning - apprentissage automatique) ont transformé la cybersécurité ces dernières années, et c'était nécessaire. L'explosion des surfaces de menace due à la transformation numérique, au cloud computing et aux modèles de travail hybrides a introduit une énorme complexité dans le domaine de la sécurité. Les organisations dépendent désormais de dizaines d'outils de sécurité pour surveiller cette surface de menace en expansion, entraînant une fatigue des alertes et un épuisement qui nuisent à la préparation cybernétique.

L'IA peut automatiser une grande partie de ces tâches fastidieuses, rationaliser les workflows de sécurité et fournir le contexte pertinent autour des événements et incidents. Cela simplifie les opérations de sécurité, garantit la cohérence dans l'ensemble de l'environnement informatique et libère des ressources humaines pour des tâches nécessitant une réflexion de plus haut niveau. Il n'est plus nécessaire de pourchasser chaque faux positif ou de surveiller les journaux d'événements pendant la nuit et le weekend. L'IA est désormais suffisamment intelligente pour identifier les événements nécessitant une attention particulière, fournir un contexte pertinent et faire des recommandations que les humains peuvent exécuter ou, dans certains cas, permettre à l'IA de déclencher automatiquement des actions.

Le problème est que les cybercriminels d'aujourd'hui utilisent également l'IA pour améliorer les tactiques et techniques qu'ils utilisent pour infiltrer les réseaux d'entreprise. Ils savent que les défenseurs sont débordés et comptent sur l'IA pour automatiser les tâches répétitives, et ils peuvent utiliser cette connaissance pour adapter leurs tactiques en conséquence. Les kits d'hameçonnage (phishing), les outils persistants, les shells de malwares et les attaques sans fichier sont conçus pour échapper aux solutions de sécurité traditionnelles et dissimuler leurs actions dans des comportements légitimes, laissant presque aucune signature que l'IA peut apprendre et identifier à l'avenir.

Une dépendance excessive à l'IA favorise la complaisance au sein des équipes de cybersécurité et facilite la tâche de ces attaquants pour se dissimuler.

Maintenir un humain dans la boucle est essentiel pour trouver l'équilibre 

Une Tesla peut sans doute se conduire seule, mais il faut encore un humain pour la recharger. On peut en dire autant de la cybersécurité. L'IA peut alléger considérablement le travail des analystes de sécurité, mais il est nécessaire de maintenir un humain dans la boucle pour former, mettre à jour et surveiller en continu ces outils - en particulier pour suivre un paysage de menaces en constante évolution. Il est important de se rappeler que l'IA n'est qu'un outil destiné à compléter les activités humaines.

Cela dit, l'IA n'est efficace que dans la mesure où les humains lui fournissent des données. Les analystes doivent continuellement mettre à jour et former leurs modèles avec les dernières informations sur les menaces, ainsi que les changements dans l'infrastructure numérique et le comportement des utilisateurs de leur organisation. Cela permet aux humains de garder une longueur d'avance sur leurs homologues malveillants, de créer des manuels de réponse à jour et de permettre à l'IA d'analyser les résultats et de faire des recommandations lorsqu'une tentative d'infiltration des systèmes est faite. Savoir quand laisser l'IA agir et quand intervenir est une science. Les utilisateurs doivent comprendre les capacités de l'IA, ses limites et la meilleure manière d'exploiter cet outil. En fin de compte, ce sont les humains qui doivent définir la stratégie et laisser les machines l'exécuter.

Bien entendu, il existe un outil pour vous aider à gérer vos capacités d'IA et à garder vos outils d'IA conformes aux politiques et comportements de sécurité actuels. Les solutions XDR (détection et réponse étendues) fournissent un inventaire en temps réel des actifs informatiques et de leur comportement ainsi qu'une évaluation à jour de la surface de menace des organisations et des vulnérabilités potentielles. Les solutions XDR peuvent absorber et analyser de grands volumes de données de sécurité et fournir des recommandations pour combler les lacunes de sécurité et atténuer l'impact des attaques. Mais l’XDR n'est qu'un outil, certes très intelligent, mais qui a besoin d'un humain pour l'appliquer de la manière la plus appropriée et optimale.

En plus de l’XDR, les SOC (centres d'opérations de sécurité) jouent un rôle crucial en assurant une surveillance et une défense 24h/24 et 7j/7 contre les cybermenaces. Les SOC fournissent l'expertise humaine nécessaire pour interpréter des données complexes, répondre aux incidents en temps réel et adapter continuellement les défenses à un paysage de menaces en évolution. Les services MDR (détection et réponse gérées) peuvent étendre cette capacité, offrant aux organisations une chasse continue aux menaces, une surveillance et une réponse aux incidents grâce à des SOC globaux. Cette combinaison d'outils alimentés par l'IA et d'intelligence humaine permet aux organisations de maintenir une posture de cybersécurité efficace et agile, garantissant qu'aucune alerte critique n'est manquée et permettant une remédiation rapide lorsque des menaces sont détectées.

Rester en tête 

L'IA transforme le domaine de la cybersécurité pour les défenseurs comme pour les attaquants. L'IA automatise les tâches fastidieuses à grande échelle, améliore la posture de sécurité, crée des gains d'efficacité opérationnelle et libère des ressources humaines pour des tâches nécessitant une réflexion de plus haut niveau. Cependant, une dépendance excessive aux capacités de l'IA peut engendrer de la paresse et permettre aux acteurs malveillants de prendre une longueur d'avance, mettant ainsi l'organisation en grand danger. Un humain doit rester dans la boucle avec toutes les solutions d'IA, en formant constamment les modèles pour suivre l'évolution du paysage des menaces tout en garantissant les résultats escomptés. Cela nécessite une connaissance de l'environnement informatique, des vulnérabilités potentielles et des dernières tactiques et techniques de menace. Les solutions XDR peuvent vous offrir cette visibilité en temps réel, vous permettant de tirer le meilleur parti de vos solutions de cybersécurité pilotées par l'IA sans mettre votre organisation en danger.