L'IA conversationnelle entre au coeur de la cybersécurité avec Microsoft Security Copilot

Data / IA

Microsoft ajoute une IA conversationnelle au cœur de la cybersécurité

Par Laurent Delattre, publié le 29 mars 2023

Dans le prolongement des annonces des dernières semaines, Microsoft continue de vouloir insuffler de l’IA conversationnelle « Copilot » basée sur GPT-4 dans tout son portfolio de solution. L’éditeur annonce Microsoft Security Copilot, une nouvelle IA conversationnelle pour les experts de la cybersécurité.

Celle-là, on ne l’avait (presque) pas vu venir… Autant des rumeurs d’intégration de ChatGPT/Bing IA dans le moteur de recherche, dans Microsoft 365 et même dans Dynamics 365 avaient devancé les annonces officielles de quelques semaines, autant personne n’avait anticipé l’introduction des IA génératives et conversationnelles dans les outils de sécurité de Microsoft.

Et pourtant, Microsoft a annoncé hier soir une nouvelle IA conversationnelle, une de plus : Microsoft Security Copilot.

Cela fait plusieurs années que les technologies de ML et Deep Learning ont fait leur apparition dans les solutions qui protègent les infrastructures IT. De fait, plus une seule solution sur le marché n’est pas estampillée « IA » d’une manière ou d’une autre. Même si souvent il ne s’agit que d’implanter du Machine Learning bête et méchant pour analyser des logs.

Car l’IA porte une promesse. Celle de rééquilibrer une bataille bien trop asymétrique : d’un côté des « méchants » qui attaquent quand ils veulent, là où ils veulent, et comme ils veulent et de l’autre des « gentils » qui doivent tout protéger, tout le temps et de tout. « Le travail des professionnels de la cybersécurité n’est pas simple » rappelle ainsi Vasu Jakkal, Corporate Vice President, Security, Compliance, Identity, and Management chez Microsoft. « Trop souvent, ils mènent une bataille asymétrique contre des attaquants prolifiques, implacables et doués. Pour protéger leurs organisations, les défenseurs doivent répondre à des menaces qui sont souvent dissimilées dans le bruit » des signaux de toutes sortes.

L’IA, nouvel équipier des teams “Sécurité”

Microsoft Security Copilot combine le modèle LLM « GPT-4 » d’OpenAI à des modèles de cybersécurité imaginés par Microsoft. Ces derniers modèles s’appuient sur les enseignements déduits des 65 milliards de signaux quotidiens recueillis par les plateformes Microsoft.
Par ailleurs, cette nouvelle IA conversationnelle fonctionne dans le Cloud Azure, garantie selon Microsoft d’une expérience conforme aux normes de sécurité et de confidentialité.

L’idée est d’offrir aux experts de la sécurité un assistant à même de leur défricher le terrain et qu’ils peuvent interroger en langage naturel pour plus rapidement analyser des jeux de données, trouver des signaux faibles, comprendre des lignes de code, etc.

Typiquement, un expert peut demander à Copilot d’étudier une série d’emails pour y détecter des signes de compromission, peut lui demander de procéder à du retro-engineering de menaces ou de vulnérabilités dans du code, de faire des résumés de données disparates, de créer des graphes à partir des données ingérées.

Dans cet exemple, l’analyste demande à Copilot s’il y a eu ces dernières semaines d’autres emails reçus et envoyés contenant un lien de phishing qu’il a repéré. Puis il demande à Copilot s’il peut repérer des accès suspicieux sur les utilisateurs qui ont reçu ces emails.

Mais l’expert peut aussi interroger l’IA pour enrichir ses propres connaissances sur les dernières méthodes d’attaques des cybercriminels ainsi que sur les dernières vulnérabilités et les façons de les réparer. L’IA devient alors un outil de veille technologique capable de discuter avec l’expert mais aussi de traduire et résumer la multitude de documents de cybersécurité publiés quotidiennement.

Dans cet exemple, l’expert demande à Copilot d’analyser un incident rapporté par l’outil Microsoft Sentinel autour d’un accès OneNote.

Enfin, l’IA peut également faire gagner beaucoup de temps aux analystes dans leurs rapports d’incidents. Typiquement, elle peut automatiquement générer un premier jet d’un rapport, mettre sous forme de graphes une succession d’évènements ou même créer des slides PowerPoint pour expliquer le fonctionnement d’une attaque repérée et les réponses mises en oeuvre.

Dans cet exemple, l’analyste demande à l’IA de lui générer une dispositive PowerPoint qui résume l’incident de sécurité détecté et la chaîne d’attaque qui y a mené.

Ces exemples sont loin d’être exhaustifs d’autant que cette IA est en apprentissage permanent et que Microsoft développe des “Skills”, des compétences, permettant à ses modèles IA de toujours mieux comprendre et analyser les techniques des cyber-assaillants et les mauvaises pratiques des cyber-défendants.

« Notre modèle cyberentraîné ajoute un système d’apprentissage permettant de créer et d’affiner de nouvelles compétences. Security Copilot peut aider à détecter ce que d’autres approches pourraient manquer et compléter le travail d’un analyste. Dans le cas d’un incident classique, ce coup de pouce se traduit par une amélioration de la qualité de la détection, de la rapidité de la réponse et de la capacité à renforcer le dispositif de sécurité » affirme Vasu Jakkal.

Pour Microsoft, la cybersécurité est un sport d’équipe, et MS Security Copilot est un nouveau membre de cette équipe.

Un système en apprentissage permanent

Comme déjà maintes fois expliqué, les IA génératives et conversationnelles sont loin d’être infaillibles. Elles peuvent se méprendre sur les intentions de l’utilisateur et surtout parfois totalement affabuler. Dit autrement, il faut se méfier des réponses de ces IA et ne pas leur faire aveuglément confiance. Microsoft ne dit d’ailleurs pas le contraire et reconnaît que les réponses de son Copilot peuvent parfois contenir des erreurs. Mais l’éditeur assure que « grâce à son système d’apprentissage en boucle fermée, Copilot apprend en continu des utilisateurs et leur permet de donner leur feedback. Au fur et à mesure de ces retours de terrain, nous ajustons les réponses de Copilot pour les rendre plus cohérentes, plus pertinentes et plus utiles ».

Security Copilot s’intègre aux différents outils de sécurité de Microsoft à commencer par ses plateformes Microsoft Sentinel et Microsoft Purview, ses outils Microsoft Defender et sa solution Intune.

La technologie demeure pour l’instant en preview limitée comme les autres déclinaisons Copilot présentées par Microsoft ces dernières semaines. Mais elle inaugure une nouvelle approche de la cybersécurité en permettant non plus aux experts de simplement obtenir des alertes filtrées par l’IA mais en leur permettant de discuter avec l’IA pour piloter les analyses, simplifier un amoncellement complexe de données, élaborer des scénarios, tracer des corrélations, mettre en image des flux d’informations divers.

Il sera très intéressant de voir les premiers retours de terrain. Mais selon Allie Mellen, analyste senior chez Forrester, la sortie de Microsoft Security Copilot est tout sauf anecdotique : “C’est la première fois qu’un produit est en mesure d’apporter une véritable amélioration en matière d’investigation et de réponse grâce à l’IA. Avec cette annonce, nous quittons une ère où l’IA était reléguée à la détection et entrons dans une ère où l’IA a le potentiel d’améliorer l’une des questions les plus importantes dans les opérations de sécurité : l’expérience de l’analyste (AX)“.

À LIRE AUSSI :

Dans l'actualité