Leaders d’opinion

L’IA ne rĂ©parera pas les fondations de sĂ©curitĂ© cassĂ©es

mm
Publié le

L’IA affine la visibilité, l’analyse et la prise de décision, mais son efficacité est contrainte par la qualité de l’environnement sous-jacent

“Utilise-t-il l’IA ?” est devenu la question par défaut dans les conversations sur les produits de sécurité, posée par les dirigeants de la sécurité et répétée dans presque toutes les présentations des fournisseurs.

Le problème est que c’est la mauvaise question. Le fait qu’un produit utilise l’IA ne signifie pas qu’il aidera à renforcer la posture de sécurité d’une organisation. L’IA n’est pas un remède miracle pour tous les problèmes de cybersécurité. Sa valeur dépend de la façon dont elle est appliquée, ce qui commence par définir clairement le problème que l’on veut résoudre.

La meilleure question est : “Quelle lacune de sécurité spécifique essayons-nous de combler, et cette technologie alimentée par l’IA aide-t-elle vraiment à combler cette lacune ?”

Ce que l’IA fait bien

L’IA apporte une valeur ajoutée dans la sécurité à travers trois domaines clés. Tout d’abord, elle remplit les lacunes de données. Les équipes de sécurité tirent des données de dizaines de sources, notamment des inventaires d’actifs obsolètes, des systèmes d’identité qui ne capturent pas toutes les relations d’accès, et des télémesures qui manquent de certains trafics. L’IA peut déduire le contexte à partir de jeux de données incomplets pour construire une image plus complète des actifs, des identités, de la connectivité et du comportement des charges de travail.

L’IA améliore également l’analyse à grande échelle. Le problème du signal par rapport au bruit dans les opérations de sécurité est grave et s’aggrave. L’IA peut corréler les événements à travers plusieurs sources de données, mettre en surface les alertes qui méritent l’attention et éliminer le bruit de faible priorité du champ de vision de l’analyste. C’est là que la plupart des fournisseurs de sécurité ont concentré leurs investissements dans l’IA. Les équipes SOC passent moins de temps à trier les alertes de faible valeur et plus de temps sur les activités qui nécessitent un jugement humain.

Troisièmement, une fois que l’IA a enrichi les données et analysé les signaux, elle peut guider l’action en recommandant l’étape suivante, telle que le changement de politique qui atténuera le risque, l’action de réponse qui correspond au modèle de comportement, ou l’endroit où une configuration nécessite un changement.

L’IA apporte la plus grande valeur lorsqu’elle améliore le contexte, l’analyse et la prise de décision. Elle renforce les bonnes pratiques de sécurité, mais elle ne peut pas compenser les pratiques manquantes.

Pourquoi les fondations faibles échouent toujours

L’IA est limitée par les entrées qu’une organisation lui fournit. Ces entrées (par exemple, les télémesures, l’architecture, les politiques, les contrôles et les outils existants) définissent les limites de ce que l’IA peut faire. Affinez ces entrées, et l’IA produit des résultats plus affinés. Affaiblissez-les, et la sortie se dégrade.

Sans le contexte pour identifier une absence, l’IA n’a aucun moyen de signaler une absence. Elle ne se chargera pas d’examiner un environnement et de signaler ce qui manque. Elle ne dira pas à une équipe de sécurité que le réseau manque de segmentation adéquate, que les contrôles d’accès sont trop permissifs ou que les lacunes de visibilité laissent des segments entiers de l’environnement non surveillés.

L’IA ne peut pas échapper au vieux principe de qualité des données, “des déchets à l’entrée, des déchets à la sortie”, elle le renforce. Des télémesures faibles produisent une analyse faible. Des contrôles défectueux donnent à l’IA quelque chose à optimiser dans la mauvaise direction. Une visibilité incomplète signifie que les décisions sont prises à partir d’une image partielle, et l’IA prend ces décisions plus rapidement, pas plus précisément. La rapidité n’est pas une amélioration lorsque les informations sous-jacentes sont peu fiables.

C’est pourquoi la qualité de la fondation compte avant toute capacité d’IA. Une fondation solide comprend des contrôles d’identité et d’accès qui appliquent des limites significatives, des privilèges minimum pour les utilisateurs, les charges de travail, les applications, les données, une microsegmentation pour limiter les mouvements latéraux, et une visibilité/observabilité complète de l’environnement. Cela nécessite également des télémesures fiables et une compréhension claire de la façon dont les systèmes se connectent et dépendent les uns des autres.

Rien de tout cela n’est nouveau. Ce sont les mêmes disciplines que les équipes de sécurité ont discutées pendant des années, depuis le passage à la mobilité jusqu’au passage au cloud. Ce qui a changé, c’est le coût de la négligence de ces disciplines. L’IA peut amplifier une fondation de sécurité solide, mais elle ne peut pas la remplacer.

L’IA agente change l’équation des risques

Le changement n’est pas de passer de l’absence d’IA à l’IA ; c’est de passer de l’IA qui assiste à l’IA qui agit. L’IA traditionnelle analyse les données, met en surface les informations et recommande les étapes suivantes. L’IA agente exécute à travers les systèmes, les données et les flux de travail sans attendre une décision humaine.

Pensez-y de cette façon : déployer 100 agents d’IA en une nuit est effectivement comme embaucher 100 nouveaux employés qui ne se déconnectent jamais, opèrent à la vitesse de la machine et ont accès à tous les systèmes que leurs autorisations leur permettent. Mais contrairement aux employés humains, ces agents ne s’arrêtent pas, ne posent pas de questions et n’appliquent pas de jugement sur l’utilisation de cet accès. Ils exécutent en continu, se déplaçant à travers les systèmes et touchant plusieurs applications exactement comme ils sont autorisés.

C’est l’écart. Votre modèle d’accès suppose un comportement humain (par exemple, des actions discrètes, un rythme plus lent et un certain niveau de jugement). Les agents d’IA suppriment ces contraintes. Si les autorisations sont trop larges (ou inexactes), elles ne sont pas seulement inutilisées ou mal utilisées occasionnellement ; elles sont exercées en continu, à grande échelle, sur tous les systèmes qu’elles touchent.

Le risque se multiplie lorsque une organisation attribue à un agent le même profil d’accès qu’un utilisateur spécifique, ils créent un clone, et non un proxy utile. Ce clone a les mêmes autorisations larges que l’original, s’exécute en continu et peut exposer l’organisation aux mêmes risques, que son comportement soit malveillant ou simplement mal configuré.

À l’ère de l’IA, l’identité, le contrôle d’accès, les privilèges minimum, la segmentation et l’observabilité ne sont plus seulement des meilleures pratiques – elles sont des exigences de sécurité fondamentales. Un récent briefing de la Cloud Security Alliance briefing élaboré avec SANS, le projet de sécurité Gen AI d’OWASP et une communauté de praticiens, renforce le point que l’IA agente ne rend pas ces fondamentaux obsolètes. Elle les rend non négociables.

À quoi ressemble la sécurité prête pour l’IA

Considérer la préparation à l’IA comme une question d’approvisionnement et se concentrer sur quels outils alimentés par l’IA mettre en œuvre ignore le fait que la préparation à l’IA est une question d’architecture, de gouvernance et de contrôles. La question n’est pas quels outils acheter, mais si l’environnement soutiendra l’IA en toute sécurité.

Commencez par la visibilité. Avant de déployer toute capacité d’IA, les équipes de sécurité ont besoin d’une image claire de ce qui existe dans l’environnement : actifs, charges de travail, identités, applications, données, modèles d’IA, agents et connexions tierces. Cet inventaire n’est pas quelque chose que l’IA peut construire pour vous. C’est le point de départ dont l’IA a besoin pour faire quelque chose d’utile.

À partir de là, définissez le problème. Identifiez la lacune de contrôle ou le risque spécifique. Décidez quel résultat doit s’améliorer. Ensuite, demandez-vous si l’IA peut aider à combler cette lacune mieux que les autres approches. Les organisations qui inversent cet ordre en commençant par un outil d’IA, puis en cherchant un problème pour l’appliquer, ont tendance à générer une activité sans améliorer la sécurité.

L’application des principes de confiance zéro aux agents d’IA est où cela devient opérationnel. L’instinct est souvent de définir ce que les agents ne doivent pas faire, mais cette liste sera toujours incomplète. Une approche plus fiable consiste à être prescriptive sur ce que chaque agent peut faire, à lui donner uniquement l’accès dont une tâche définie a besoin et à faire respecter ces limites à travers toutes les couches de la pile. Segmentez les systèmes que les agents peuvent atteindre afin que, si l’un se comporte de manière à l’extérieur de ses limites définies ou qu’un attaquant l’exploite, les dégâts restent contenus.

Enfin, une augmentation de l’activité n’est pas un indicateur de réussite. L’IA augmentera le volume des actions qu’une équipe de sécurité prend, mais cela ne signifie pas qu’elle améliore la sécurité. Un tableau de bord qui présente beaucoup d’activité ne signale pas que l’IA délivre de la valeur.

Mesurez les résultats, tels que la baisse du volume des alertes de manière à refléter un signal réel et la baisse du niveau de risque dans les domaines qui comptent le plus. Assurez-vous que les recommandations de politique renforcent les contrôles, permettent à l’équipe de sécurité de contenir les incidents plus rapidement et permettent aux analystes SOC de passer plus de temps sur les tâches qui nécessitent un jugement humain.

La fondation vient en premier

L’IA n’est pas la fondation d’une posture de sécurité solide. C’est un multiplicateur de force, et comme tout multiplicateur, sa valeur dépend entièrement de ce à quoi vous l’appliquez.

Les organisations qui ont construit une architecture solide avec une visibilité claire, des privilèges minimum appliqués, une segmentation et des contrôles d’identité solides peuvent utiliser l’IA pour affiner leur contexte, accélérer l’analyse et agir sur de meilleures informations. Ceux qui ne l’ont pas feront que l’IA les déplacera plus rapidement dans la mauvaise direction, en optimisant des contrôles défectueux et en mettant en surface des informations à partir d’une image partielle.

La question qui doit être posée avant d’investir dans l’IA est la même qui devrait guider chaque décision de sécurité : Quel problème essayons-nous de résoudre ? Si la réponse est claire, et que l’architecture pour la soutenir est en place, alors l’IA peut rendre la solution plus efficace. Si la réponse est vague ou que la fondation est faible, l’ajout de l’IA ne changera pas cela. Elle rendra simplement la lacune plus difficile à voir.

L’IA ne réparera pas une fondation de sécurité cassée. Elle rendra simplement les fissures plus visibles plus rapidement.

mm

Raghu Nandakumara est Vice-Président de la Stratégie Sectorielle chez Illumio, l'entreprise de confinement des failles de sécurité. Basé à Londres, au Royaume-Uni, il aide les clients et les prospects de nombreux secteurs à renforcer leur résilience et à accélérer les résultats de la confiance zéro avec Illumio Segmentation.

PrĂ©cĂ©demment, Raghu a passĂ© 15 ans chez Citibank, oĂč il a occupĂ© plusieurs postes dans les opĂ©rations et l'ingĂ©nierie de la sĂ©curitĂ© rĂ©seau. RĂ©cemment, il a occupĂ© le poste de Vice-PrĂ©sident Senior, oĂč il Ă©tait responsable de la dĂ©finition de la stratĂ©gie, de l'ingĂ©nierie et de la livraison de solutions pour sĂ©curiser les environnements cloud privĂ©s, publics et hybrides de Citi. Raghu est titulaire d'un diplĂŽme de premier cycle en mathĂ©matiques et en informatique de l'UniversitĂ© de Cambridge, et d'un diplĂŽme de master en informatique avancĂ©e de l'Imperial College de Londres.