Qevlar AI, une IA pour investiguer les incidents de sécurité

L’IA délivre une analyse complète d’un incident de sécurité survenu dans le système d’information et propose des solutions à l’analyste SOC.

L’équipe d’étudiants de Centrale Supélec qui a remporté le hackathon organisé par Huawei à Paris en 2018 a préféré créer Qevlar AI en France alors que des postes leur étaient offerts au siège du constructeur en Chine. « Il y avait quelque chose à faire avec l’IA dans la cybersécurité. Nous avions identifié une vraie difficulté dans les SOC (Security Operations Center) avec un nombre très important d’alertes à traiter. Or, beaucoup d’innovations en cyber se concentraient soit sur le volet détection, soit sur la remédiation. Il existait un réel gap entre ces deux phases, c’est-à-dire lors de l’investigation », explique Ahmed Achchak, cofondateur et CEO de Qevlar AI. « L’investigation est plus complexe à traiter, sans doute, mais avec l’IA générative et l’IA sur graphe, nous pensions pouvoir améliorer l’efficacité des équipes du SOC. »

Le service se présente comme une API et il est possible de l’exploiter soit via la plateforme web de la start-up, soit en l’intégrant aux logiciels SIEM ou SOAR mis en œuvre dans le SOC, voire dans l’outil de ticketing, pour obtenir les résultats de l’investigation. L’IA exploite les sources de données à sa disposition, va corréler ces informations et délivrer un rapport. « Celui-ci est volontairement peu verbeux : l’objectif est que l’analyste ne perde pas de temps à lire des pages et des pages de texte. L’IA résume ce qu’elle a pu observer, les liens entre entités. Elle peut expliquer qu’une URL a été cliquée dans le cadre d’une campagne de phishing envoyée à 300 collaborateurs de l’entreprise, que le malware a pu infecter tel serveur, etc. »

L’IA générative est quant à elle mise en œuvre sur la partie parsing, pour résumer les données et pour la partie extraction des liens sémantiques. D’abord incubés par Meta, Qevlar AI exploite Llama 3, mais le recours à d’autres LLM est possible. Par contre, la start-up a préféré une IA sur graphe pour réaliser, à partir des informations issues du LLM, le planning des opérations, c’est-à-dire la liste des étapes proposées pour remédier un problème de sécurité. Ahmed Achchak explique ce choix : « L’IA générative est inconsistante. Si on relance une même investigation une deuxième fois, les résultats délivrés peuvent être différents. Or, le cœur de notre offre repose sur la confiance, et les analystes n’utiliseront pas l’outil très longtemps si, pour l’analyse d’une même alerte, ces résultats divergent. »

Après avoir mis au point son architecture, la start-up a travaillé l’explicabilité des résultats de son IA. L’utilisateur dispose ainsi de la trace complète des logs exploités par le moteur pour mener son analyse, et un tag lui donne accès directement aux logs en question. Les ingénieurs de Qevlar AI veulent aussi rendre les analystes proactifs, grâce aux capacités de l’IA à tisser des liens entre les alertes sur le temps long. Une qui aura été déclenchée il y a six mois peut ainsi être liée à un événement qui vient de survenir. L’approche doit permettre de fournir des insights au CISO pour lui signaler ce type d’activité que l’analyste ne verra sans doute pas, car il ne travaille pas sur des alertes aussi anciennes. « Nous avons mis en place les fondations pour aller vers cette approche, nos bases de données sont conçues dans ce sens, ce sera la prochaine évolution de notre offre », promet Ahmed Achchak.

LE PITCH

L’ENTREPRISE

CRÉATION : 2023
SIÈGE : Issy-les-Moulineaux
EFFECTIF : 17 collaborateurs
FINANCEMENT : 4,5 M€ levés en 2023
(EQT Ventures, business angels )
RÉFÉRENCES : Nomios, U.Neat

À LIRE AUSSI :

Data / IA

Dream On Technology mise sur l’IA contre les crises cyber des PME

Thierry Derouet

21 Avr

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !