Connect with us

Pourquoi l’IA rend-il plus difficile que jamais de savoir quoi craindre en matière de cybersécurité

Cybersécurité

Pourquoi l’IA rend-il plus difficile que jamais de savoir quoi craindre en matière de cybersécurité

mm
Published
Updated

L’intelligence artificielle a transformé la cybersécurité. Les centres d’opérations de sécurité traitent maintenant plus de télémétrie, détectent les anomalies plus rapidement et automatisent les enquêtes répétitives. Sur le papier, cela devrait représenter une ère dorée pour la défense cybernétique.

Dans la pratique, de nombreuses équipes se sentent plus submergées que jamais.

Les capacités de détection ont été améliorées de manière spectaculaire, mais la clarté n’a pas augmenté. Le paradoxe de la cybersécurité moderne est que une meilleure visibilité conduit souvent à une plus grande incertitude. Lorsque tout semble suspect, savoir ce qui est vraiment important devient le défi central.

Plus de détection n’équivaut pas à une meilleure protection

Les outils de sécurité à base d’IA génèrent des alertes à une échelle sans précédent. Les analyses de comportement, la détection d’endpoints, la surveillance du cloud, la détection d’anomalies d’identité et les moteurs de chasse aux menaces scannent constamment les déviations par rapport à l’activité de base.

Le résultat est un déluge d’alertes.

Les recherches montrent que les équipes sont confrontées à environ 4 484 alertes par jour, et en raison de contraintes de ressources, un pourcentage important est ignoré. Ce volume illustre le fossé entre la capacité de détection et la capacité de réponse. L’IA a augmenté la visibilité, mais elle a également augmenté le bruit.

Pour les dirigeants de la sécurité, cela crée une contrainte opérationnelle. Les analystes passent des heures précieuses à enquêter sur des événements qui finissent par présenter un risque minimal. Pendant ce temps, les menaces à fort impact peuvent se cacher parmi des signaux de priorité inférieure.

Le problème de priorisation

Le problème n’est pas la rareté des données. C’est la rareté du contexte.

Les plateformes de sécurité sont excellentes pour identifier les anomalies. Elles sont moins efficaces pour expliquer lesquelles de ces anomalies sont les plus importantes dans un environnement commercial spécifique. Une vulnérabilité signalée sur un serveur de développement n’est pas équivalente à la même vulnérabilité exposée sur un système de paiement client.

C’est là que une plateforme d’intelligence sur les menaces moderne devient stratégiquement importante. Au lieu de simplement agréger les alertes, elle corrèle les flux de menaces externes avec le contexte des actifs internes, les données de disponibilité d’exploitation et les données d’exposition. Elle répond à une question plus significative : lesquelles des alertes intersectent avec des campagnes de menaces actives et des actifs critiques ?

La priorisation transforme le volume en focalisation. Sans cela, les équipes recourent à une triage réactive, souvent motivée par l’alerte qui arrive en premier.

L’IA a augmenté les enjeux des deux côtés

Il est également important de reconnaître que l’IA n’est pas exclusive aux défenseurs. Comme la couverture récente l’a mis en évidence, l’IA a donné aux acteurs de la menace le pouvoir de l’autre côté de ce champ de bataille cybernétique. Les acteurs de la menace utilisent maintenant des modèles d’apprentissage automatique pour automatiser la reconnaissance, créer des campagnes de phishing très convaincantes et adapter dynamiquement le comportement des logiciels malveillants.

Les grands modèles de langage peuvent générer des e-mails de phishing localisés à grande échelle. Les outils de scan automatisés peuvent identifier les ressources cloud mal configurées en quelques minutes. Les campagnes de récolte d’informations d’identification sont affinées en continu en fonction des modèles de réponse.

Cela accélère les délais. L’intervalle entre la compromission initiale et le déplacement latéral se réduit. Les équipes de défense doivent interpréter et agir sur les signaux plus rapidement que jamais.

Le déséquilibre devient clair lorsque l’automatisation amplifie la vitesse d’attaque tandis que les équipes de défense restent limitées par la bande passante de réponse humaine.

L’illusion de la couverture complète

De nombreuses organisations tentent de résoudre la fatigue des alertes en ajoutant plus d’outils. Des moteurs de détection supplémentaires, plus de tableaux de bord, plus de flux. L’hypothèse est que une meilleure visibilité réduira le risque.

En réalité, l’outillage fragmenté augmente souvent la complexité. Des consoles distinctes produisent des alertes distinctes sans contexte unifié. Les analystes font référence manuellement aux données entre les systèmes, prolongeant les cycles d’enquête.

La question stratégique passe de « Comment détecter plus ? » à « Comment interpréter ce que nous détectons ? »

Une approche mature se concentre sur la corrélation entre les sources de télémétrie. L’activité du réseau, les anomalies d’identité, les signaux d’extrémité et les données de vulnérabilité doivent se combiner en un modèle de risque unifié. Cette convergence permet aux équipes de sécurité de faire la distinction entre le bruit de routine et l’activité d’attaque coordonnée.

Le contexte est le nouveau différentiateur

Les programmes de sécurité à haute performance s’appuient de plus en plus sur l’intelligence contextuelle plutôt que sur des alertes isolées. Le contexte comprend la criticité des actifs, l’impact commercial, la probabilité d’exploitation et les campagnes de menaces actives.

Par exemple, une vulnérabilité qui est théoriquement grave mais non exploitée activement peut justifier une surveillance plutôt qu’une remédiation immédiate. À l’inverse, une faille de gravité modérée liée à une campagne en cours ciblant des organisations similaires exige une action rapide.

Les flux d’intelligence sur les menaces fournissent cette perspective externe. Lorsqu’ils sont combinés avec les données d’exposition internes, ils créent une feuille de route de remédiation priorisée plutôt qu’une liste d’alertes non connectées.

C’est là que l’IA devrait aider, et non submerger. Au lieu de produire plus d’alertes, les modèles d’IA devraient mettre en surface des corrélations que les analystes humains pourraient manquer sous la pression du temps.

De la détection à la gestion de l’exposition

La conversation en cybersécurité se déplace progressivement vers la gestion de l’exposition. Plutôt que de se concentrer uniquement sur l’identification des attaques après leur début, les organisations cartographient et réduisent les chemins exploitables avant qu’ils ne soient déclenchés.

Les cadres de gestion continue de l’exposition évaluent comment les vulnérabilités, les mauvaises configurations et les autorisations d’identité se croisent. Ils simulent les chemins d’attaque potentiels pour déterminer où le risque s’accumule.

Une plateforme d’intelligence sur les menaces intégrée à ce modèle améliore la précision. Elle aide à déterminer si une exposition est théorique ou activement ciblée dans la nature. Cette distinction affecte directement les décisions de priorisation.

La réduction proactive de l’exposition est souvent plus efficace que l’enquête sur un faux positif de plus.

Le facteur humain

Derrière chaque file d’attente d’alertes se trouvent des analystes qui prennent des décisions sous pression. La fatigue des alertes n’est pas simplement une contrainte opérationnelle. C’est une question de durabilité humaine.

Lorsque les professionnels traitent des milliers d’alertes de faible valeur, la fatigue cognitive augmente. La qualité de la décision diminue. L’épuisement professionnel augmente. La rétention des talents devient difficile dans un marché du travail déjà contraint.

L’IA était censée réduire cette charge. Dans certains environnements, elle l’a fait. Dans d’autres, elle a simplement multiplié le volume du signal sans améliorer la clarté.

La prochaine phase d’intégration de l’IA doit mettre l’accent sur la qualité plutôt que sur la quantité. Les modèles doivent être réglés pour minimiser les faux positifs et améliorer la précision du scoring du risque.

À quoi ressemble la maturité en 2026

La maturité en cybersécurité en 2026 ne sera pas définie par le nombre d’alertes qu’une entreprise peut générer. Elle sera définie par la rapidité et la précision avec lesquelles elle peut convertir l’intelligence en action.

Les organisations qui intègrent l’intelligence sur les menaces contextuelles, l’analyse de l’exposition et la priorisation automatisée dans un système cohérent surpasseront celles qui s’appuient uniquement sur la détection. L’objectif n’est pas d’éliminer complètement les alertes. Il s’agit de garantir que chaque alerte représente un risque significatif.

Les équipes de sécurité ont besoin de moins de décisions, mais de décisions plus fiables. Elles ont besoin d’une visibilité qui clarifie plutôt qu’obscurcit.

L’IA reste centrale dans cette transformation. Lorsqu’elle est mise en œuvre de manière stratégique, elle réduit la surcharge cognitive et affine la priorisation. Lorsqu’elle est mise en œuvre sans intégration, elle amplifie le chaos.

La différence réside dans l’architecture, et non dans l’algorithme lui-même.

mm

David Balaban est un chercheur en sécurité informatique avec plus de 17 ans d'expérience dans l'analyse des logiciels malveillants et l'évaluation des logiciels antivirus. David dirige les projets MacSecurity.net et Privacy-PC.com qui présentent des opinions d'experts sur les questions de sécurité de l'information contemporaines, notamment l'ingénierie sociale, les logiciels malveillants, les tests de pénétration, l'intelligence des menaces, la vie privée en ligne et le piratage de chapeau blanc. David a une solide expérience de dépannage des logiciels malveillants, avec une récente concentration sur les contre-mesures contre les rançongiciels.