Cybersécurité

Le GenAI transforme la cybersécurité

mm
Publié le
Mis à jour le

L’industrie de la cybersécurité a toujours été confrontée à une bataille difficile, et les défis d’aujourd’hui sont plus importants et plus répandus que jamais.

Bien que les organisations adoptent de plus en plus d’outils numériques pour optimiser leurs opérations et accroître leur efficacité, elles augmentent simultanément leur surface d’attaque – l’étendue des points d’entrée vulnérables que les hackers pourraient exploiter – les rendant plus susceptibles aux menaces cyber croissantes, même si leurs défenses s’améliorent. Pire encore, les organisations doivent faire face à cette gamme de menaces en pleine croissance au milieu d’une pénurie de professionnels de la cybersécurité qualifiés.

Heureusement, les innovations dans l’intelligence artificielle, en particulier le GenAI, offrent des solutions à certains des problèmes les plus complexes de l’industrie de la cybersécurité. Mais nous n’avons scratché que la surface – alors que le rôle du GenAI dans la cybersécurité devrait croître exponentiellement dans les prochaines années, il reste des opportunités inexploitées où cette technologie pourrait améliorer encore les progrès.

Applications et avantages actuels du GenAI dans la cybersécurité

L’un des domaines les plus importants où le GenAI a un impact sur l’industrie de la cybersécurité est dans sa capacité à fournir des informations automatisées qui étaient précédemment inaccessibles.

Les premières étapes du traitement des données, du filtrage et de l’étiquetage sont encore souvent effectuées par les anciennes générations d’apprentissage automatique, qui excellent dans le traitement et l’analyse de grandes quantités de données, telles que le triage de grands ensembles d’alertes de vulnérabilité et l’identification de anomalies potentielles. Le véritable avantage du GenAI réside dans ce qui se passe ensuite.

Une fois que les données ont été prétraitées et ciblées, le GenAI peut intervenir pour fournir des capacités de raisonnement avancées qui dépassent celles des anciennes technologies. Les outils GenAI offrent une contextualisation plus approfondie, des prédictions plus précises et des insights nuancés qui sont inaccessibles avec les anciennes technologies.

Par exemple, après qu’un grand ensemble de données – disons, des millions de documents – a été traité, filtré et étiqueté par d’autres moyens, le GenAI fournit une couche supplémentaire d’analyse, de validation et de contexte sur les données curatoriales, en déterminant leur pertinence, leur urgence et les risques de sécurité potentiels. Il peut même itérer sur sa compréhension, en générant un contexte supplémentaire en regardant d’autres sources de données, en affinant ses capacités de prise de décision avec le temps. Cette approche en couches va au-delà du simple traitement des données et déplace l’accent sur le raisonnement avancé et l’analyse adaptative.

Défis et limites

Malgré les améliorations récentes, de nombreux défis subsistent lorsqu’il s’agit d’intégrer le GenAI dans les solutions de cybersécurité existantes.

Tout d’abord, les capacités de l’IA sont souvent accueillies avec des attentes irréalistes, ce qui conduit au risque de dépendance excessive et de sous-ingénierie. L’IA n’est ni magique ni parfaite. Il n’est pas secret que le GenAI produit souvent des résultats inexacts en raison de données d’entrée biaisées ou de sorties incorrectes, connues sous le nom de hallucinations.

Ces systèmes nécessitent une ingénierie rigoureuse pour être précis et efficaces et doivent être considérés comme un élément d’un cadre de cybersécurité plus large, plutôt que comme un remplacement total. Dans des situations plus informelles ou des utilisations non professionnelles du GenAI, les hallucinations peuvent être sans conséquence, voire comiques. Mais dans le monde de la cybersécurité, les hallucinations et les résultats biaisés peuvent avoir des conséquences catastrophiques qui peuvent conduire à une exposition accidentelle de actifs critiques, des violations, et des dommages réputationnels et financiers importants.

Opportunités inexploitées: l’IA avec une agence

Les défis ne devraient pas dissuader les organisations d’adopter des solutions d’IA. La technologie est encore en évolution et les opportunités pour l’IA d’améliorer la cybersécurité continueront de croître.

La capacité du GenAI à raisonner et à tirer des insights des données deviendra plus avancée dans les prochaines années, y compris la reconnaissance de tendances et la suggestion d’actions. Aujourd’hui, nous voyons déjà l’impact que l’IA avancée a en simplifiant et en accélérant les processus en suggérant des actions et des étapes stratégiques, permettant aux équipes de se concentrer moins sur la planification et plus sur la productivité. Alors que les capacités de raisonnement du GenAI continuent de s’améliorer et peuvent mieux imiter le processus de pensée des analystes de sécurité, il agira comme une extension de l’expertise humaine, rendant la cybersécurité plus efficace.

Dans une évaluation de la posture de sécurité, un agent d’IA peut agir avec une véritable agence, prenant des décisions contextuelles de manière autonome lorsqu’il explore des systèmes interconnectés – tels que Okta, GitHub, Jenkins et AWS. Plutôt que de s’appuyer sur des règles statiques, l’agent d’IA se déplace de manière dynamique à travers l’écosystème, en identifiant des modèles, en ajustant les priorités et en se concentrant sur les zones à risques de sécurité élevés. Par exemple, l’agent peut identifier un vecteur où les autorisations dans Okta permettent aux développeurs un accès large via GitHub à Jenkins, et enfin à AWS. En reconnaissant ce chemin comme un risque potentiel pour un code non sécurisé atteignant la production, l’agent peut décider de manière autonome de sonder plus avant, en se concentrant sur des autorisations, des flux de travail et des contrôles de sécurité spécifiques qui pourraient être des points faibles.

En incorporant la génération augmentée de récupération (RAG), l’agent tire parti à la fois de sources de données externes et internes – en tirant parti de rapports de vulnérabilités récents, de bonnes pratiques et même des configurations spécifiques de l’organisation pour façonner son exploration. Lorsque la RAG met en évidence des insights sur les lacunes de sécurité communes dans les pipelines CI/CD, par exemple, l’agent peut intégrer ces connaissances dans son analyse, en ajustant ses décisions en temps réel pour mettre l’accent sur ces zones où les facteurs de risque convergent.

En outre, l’affinage peut améliorer l’autonomie de l’agent d’IA en adaptant sa prise de décision à l’environnement unique dans lequel il opère. Typiquement, l’affinage est effectué à l’aide de données spécialisées qui s’appliquent à une large gamme de cas d’utilisation plutôt que des données d’un environnement spécifique d’un client. Cependant, dans certains cas, tels que les produits à locataire unique, l’affinage peut être appliqué aux données d’un client spécifique pour permettre à l’agent d’internaliser des nuances de sécurité spécifiques, rendant ses choix encore plus éclairés et nuancés avec le temps. Cette approche permet à l’agent d’apprendre des évaluations de sécurité passées, en affinant sa compréhension de la manière de prioriser des vecteurs particuliers, tels que ceux impliquant des connexions directes depuis les environnements de développement à la production.

Avec la combinaison de l’agence, de la RAG et de l’affinage, cet agent va au-delà de la détection traditionnelle pour une analyse proactive et adaptative, mirroring le processus de prise de décision des analystes de sécurité humains. Cela crée une approche de sécurité plus nuancée et plus consciente du contexte, où l’IA ne réagit pas seulement mais anticipe les risques et s’ajuste en conséquence, comme le ferait un expert humain.

Priorisation des alertes basée sur l’IA

Un autre domaine où les approches basées sur l’IA peuvent avoir un impact significatif est dans la réduction de la fatigue des alertes. L’IA pourrait aider à réduire la fatigue des alertes en filtrant et en priorisant les alertes de manière collaborative en fonction de la structure et des risques spécifiques au sein d’une organisation. Plutôt que d’appliquer une approche globale à tous les événements de sécurité, ces agents d’IA analysent chaque activité dans son contexte plus large et communiquent les uns avec les autres pour mettre en évidence les alertes qui indiquent de véritables préoccupations de sécurité.

Par exemple, au lieu de déclencher des alertes sur tous les changements de permissions d’accès, un agent peut identifier une zone sensible touchée par une modification, tandis qu’un autre évalue l’historique de changements similaires pour évaluer le risque. Ensemble, ces agents se concentrent sur les configurations ou les activités qui réellement élèvent les risques de sécurité, aidant les équipes de sécurité à éviter le bruit des événements de priorité inférieure.

En apprenant en continu à la fois de l’intelligence de menaces externes et des modèles internes, ce système d’agents s’adapte aux risques et aux tendances émergents à travers l’organisation. Avec une compréhension partagée des facteurs contextuels, les agents peuvent affiner l’alerte en temps réel, passant d’un flot de notifications à un flux rationalisé qui met en évidence les insights critiques.

Cette approche collaborative et sensible au contexte permet aux équipes de sécurité de se concentrer sur les problèmes de haute priorité, en réduisant la charge cognitive de la gestion des alertes et en améliorant l’efficacité opérationnelle. En adoptant un réseau d’agents qui communiquent et s’adaptent en fonction de facteurs nuancés et en temps réel, les organisations peuvent faire des progrès significatifs dans la mitigation des défis de la fatigue des alertes, élevant finalement l’efficacité des opérations de sécurité.

Le futur de la cybersécurité

Alors que le paysage numérique grandit, la sophistication et la fréquence des menaces cyber augmentent également. L’intégration du GenAI dans les stratégies de cybersécurité est déjà prouvée comme étant transformatrice pour répondre à ces nouvelles menaces.

Mais ces outils ne sont pas une solution miracle pour tous les défis de l’industrie de la cybersécurité. Les organisations doivent être conscientes des limites du GenAI et adopter une approche où l’IA complète l’expertise humaine plutôt que de la remplacer. Ceux qui adoptent des outils de cybersécurité basés sur l’IA avec un esprit ouvert et une vision stratégique contribueront à façonner l’avenir de l’industrie en quelque chose de plus efficace et plus sécurisé que jamais auparavant.

mm

Leon est le CTO de Sola Security, se concentrant sur la construction et la conception de l'architecture principale de la plateforme Sola, la mise à l'échelle de l'infrastructure du produit et l'accélération des processus de développement. Leon a plus d'une décennie d'expérience dans la direction des efforts d'ingénierie dans des startups et des entreprises leaders, notamment Cider Security, Palo Alto Networks, Red Hat et Snyk.