Secu

Vers une hyper automatisation des SOC

Par Alain Clapaud, publié le 24 décembre 2024

L’IA bouscule aussi le travail des SOC et des CERT. À la clé, plus d’automatisation, même si son rôle reste encore limité à celui d’assistant aux experts humains.

C’est un fait, la France traverse une vaste pénurie de ressources humaines en cybersécurité depuis de nombreuses années. Une enquête menée par le Fortinet Training Institute en 2024 a montré que 70 % des entreprises françaises estiment que cette pénurie de talents constitue un risque réel pour leur sécurité. Comme l’expliquait Vincent Strubel, directeur général de l’Anssi lors du salon inCyber Europe 2024, « la pénurie de talents, nous la connaissons tous et c’est le facteur limitant dans tout ce que nous entreprenons ». Sous l’impulsion de l’agence nationale et des associations professionnelles, de nombreux cursus ont été créés dans tout le pays mais peinent à attirer des étudiants. « La perception négative des métiers de la cyber est une préoccupation. Avoir des formations, c’est bien, mais si elles ne font pas le plein, cela ne résout pas le problème. » Par ailleurs, beaucoup d’entreprises ont bien du mal à dégager des budgets pour recruter suffisamment de bras pour garnir leur équipe sécurité… quand il en existe une.

L’externalisation est donc une issue possible. Gartner s’attend à une croissance de +13,6 % du marché des services de cybersécurité à l’échelle mondiale en 2024, et de +15,6 % en 2025. Cet essor des MSSP (Managed Security Service Provider) montre que cette solution a aujourd’hui le vent en poupe. L’autre option, c’est l’automatisation des SOC. Puisqu’il est difficile d’embaucher et de fidéliser des analystes de sécurité, autant tenter de simplifier ainsi un maximum de tâches pour faciliter le travail des rares ressources dont on dispose. L’heure est donc à la rationalisation dans les SOC (Security Operations Center). Les logiciels d’orchestration de type SOAR (Security Orchestration, Automation and Response) travaillent avec les données des plateformes SIEM ou XDR afin de porter des automatisations permettant de traiter les alertes déjà identifiées. L’analyste du SOC de niveau 1 n’a plus à placer lui-même en quarantaine un fichier repéré comme suspicieux, n’a plus à recouper plusieurs sources d’information pour « enrichir » un événement et prendre une décision. Le « playbook », sorte de super workflow pour le SOAR, peut assurer ces tâches relativement basiques. De cette manière, en développant un maximum d’automatisations de ce type, certains SOC peuvent se passer de niveau 1 et ne conserver que des analystes de niveau 2, beaucoup plus chevronnés, qui vont consacrer leur temps à réaliser des analyses complexes plutôt que de simplement trier des événements à la chaîne.

L’IA est aujourd’hui un allié précieux pour l’analyste en SOC qui doit regrouper tous les éléments relatifs à un incident de sécurité afin de décider s’il s’agit d’un faux positif ou d’une réelle tentative d’attaque. SIEM et XDR, ici Cortex XDR de Palo Alto Networks, disposent de capacités d’automatisation de cette collecte de données.
L’IA est aujourd’hui un allié précieux pour l’analyste en SOC qui doit regrouper tous les éléments relatifs à un incident de sécurité afin de décider s’il s’agit d’un faux positif ou d’une réelle tentative d’attaque. SIEM et XDR, ici Cortex XDR de Palo Alto Networks, disposent de capacités d’automatisation de cette collecte de données.

Un peu à la manière des RPA dans le domaine de l’informatique de gestion, l’IA et notamment l’IA générative vont permettre de franchir une nouvelle étape et d’aller vers ce que certains appellent l’hyperautomatisation. Pour l’heure, l’IA vient compléter l’action du SOAR et faciliter le travail des analystes humains. Matthias Maier, EMEA cybersecurity market advisor chez Splunk, l’un des leaders des logiciels de SIEM (Security Information and Event Management), le véritable réacteur d’un SOC, explique l’arrivée de l’IA dans son portefeuille produit : « Nos premiers cas d’usage remontent à plusieurs années, lorsque nous avons introduit le machine learning pour détecter les valeurs aberrantes dans les cas liés à la sécurité et aux opérations informatiques. Par exemple, le ML nous a aidés à repérer proactivement les indicateurs provenant d’une panne et à identifier les cyberattaquants plus tôt dans le cycle d’attaque. » Plus récemment, l’éditeur a annoncé la disponibilité générale de Splunk AI Assistant for SPL. Cet assistant aide les utilisateurs à interagir avec la plateforme Splunk en utilisant le langage naturel. Il s’inscrit dans la stratégie « human-in-the-loop » de l’éditeur qui veut allier intelligence humaine et IA afin d’accélérer la détection, l’investigation et la réponse. « L’ensemble des offres de Splunk alimentées par l’IA comprennent des capacités intégrées pour la sécurité et l’observabilité, des expériences d’intelligence assistée et des outils de machine learning personnalisables. »

Un coup de pouce décisif dans la gouvernance de la cyber

L’IA aide donc les analystes à traiter les incidents de sécurité plus rapidement, mais elle est aussi utile en amont, dans ce que l’on appelle la threat intelligence et la recherche de vulnérabilités. De la même manière que les attaquants disposent d’agents qui peuvent découvrir et exploiter des vulnérabilités, les équipes de type red team qui mènent des tests de pénétration (pentest) peuvent aussi les mettre à profit pour révéler les failles du système d’information et aider à les combler.

Les consultants en cyber sont aussi très friands d’IA générative, car ils consomment plus de la moitié de leur temps à produire des documents, notamment à des fins de conformité. Disposer d’un ChatGPT pour les aider à les rédiger constitue donc un atout précieux pour améliorer la lisibilité de ces documents souvent complexes, et… indigestes. ChatGPT et consorts sont donc très utilisés dans ce milieu, et il existe même une version spécifique de la solution d’OpenAI baptisée « CISO GPT » et dédiée à la cybersécurité. À l’usage, ses conseils s’avèrent extrêmement pertinents. Néanmoins, le caractère hautement confidentiel des données cyber pousse les grandes ESN à se doter de leurs LLM spécialisés. C’est notamment le cas de Capgemini qui exploite l’IA générative dans ses analyses de risque. « Nous en réalisons chaque année de nombreuses pour nos clients et nous avons amassé une base d’information conséquente sur le sujet, raconte Christophe Menant, directeur de l’offre cybersécurité de Capgemini. Nous avons mené l’apprentissage d’un LLM sur ces analyses, ce qui nous a permis de créer un modèle. Nos experts ont validé les documents en sortie et le résultat s’est avéré satisfaisant. » Pour le responsable, ce type de démarche peut d’ores et déjà être répliqué dans de nombreux autres domaines de la cyber, notamment pour documenter les informations relatives aux métiers, au SI et aux systèmes cyber. L’IA peut notamment aider à comprendre l’architecture du SI pour le transformer et le sécuriser davantage.

EXPERT – Vivien Mura – Global CTO chez Orange Cyberdéfense

« L’IA générative permet de soulager certains métiers cyber »

SOC - Vivien Mura - Global CTO chez Orange Cyberdéfense

« Il reste beaucoup de choses à inventer dans le domaine de l’IA et de la cyber, mais il y en a aussi beaucoup qui existent déjà. Par exemple, nous sommes capables de faire de la corrélation d’événements, du machine learning et de la classification depuis longtemps en matière de détection. Ce que l’IA générative apporte de nouveau, c’est de pouvoir soulager des métiers cyber en optimisant certaines pratiques. On peut générer de manière automatique des playbooks pour faciliter le travail des analystes et la réponse à incident. On peut aussi automatiser du scoring d’attaque, ainsi que la qualification d’alerte dans les SOC pour re-filtrer et faciliter le travail des analystes, et se focaliser sur des choses plus pointues qui demandent une expertise humaine particulière. »

EXPERT – Matthias Maier – EMEA cybersecurity market advisor chez Splunk

« Nos clients doivent pouvoir rester aux commandes »

SOC - Matthias Maier - EMEA cybersecurity market advisor chez Splunk


« Soutenue par le riche historique de Splunk en matière d’IA et de ML, notre approche est guidée par trois principes : il faut qu’une IA intègre l’intelligence humaine (human-in-the-loop), qu’elle soit spécifique à un domaine et à notre environnement, et enfin qu’elle soit ouverte et extensible. Nous pensons que les clients doivent rester aux commandes, avec une IA fiable, pour stimuler la prise de décision humaine et guider l’automatisation. La vision de Splunk est de continuer à intégrer l’IA générative dans les flux de travail quotidiens des utilisateurs, d’étendre son rayon d’action à l’échelle, et de faire progresser la détection et l’analyse des anomalies. »

EXPERT – Benoit Beaulieu – Directeur de la cyber chez Dattak

« Les outils open source de pentest utilisant l’IA accélèrent les découvertes de failles »

SOC - Benoit Beaulieu - Directeur de la cyber chez Dattak


« Intégrée aux solutions de défense, l’IA permet aux experts cyber d’automatiser certaines tâches pour être plus performants et réactifs et, sur ce plan, la mise à disposition publique de ChatGPT (et autres IA Gen) a ouvert de nombreuses possibilités. On voit fleurir un grand nombre d’outils open source de pentest utilisant l’IA permettant non seulement d’accélérer les découvertes de failles, mais également de remplacer, jusqu’à un certain niveau, le travail manuel d’un pentesteur. Face aux délais de plus en plus réduits entre la publication d’une faille et son exploitation par les cybercriminels, et alors que la mise à disposition de kits d’attaque pour un public plus large est en constante progression, les experts en cybersécurité doivent adopter une double approche. D’une part, ils doivent utiliser ces technologies pour réduire le temps d’identification, de détection et de remédiation pour renforcer les défenses. D’autre part, ils doivent être organisés pour anticiper et contrer l’utilisation malveillante de ces technologies. »

EXPERT – Florent Gilain – CISO/RSSI chez iBanFirst

« Ce que l’on appelle IA n’a rien d’intelligent, il s’agit au mieux de paraphrase »

SOC - Florent Gilain - CISO/RSSI chez iBanFirst


« Selon moi, ce que l’on appelle IA n’a rien d’intelligent, il s’agit au mieux de paraphrase. Elle doit être utilisée pour traiter des données en masse et leur appliquer un modèle de détection capable de traiter de grands volumes, comme avec le machine learning dans les SIEM par les équipes de SOC. L’intérêt principal reste de pouvoir faciliter l’usage de la machine par les hommes : par exemple en leur donnant la possibilité, au lieu d’avoir à coder eux-mêmes une règle de détection en Python ou en Yara, d’accéder à une capacité de recherche en langage naturel. Cela existe d’ailleurs déjà sur le SIEM Chronicle de Google via l’intégration d’un prompt Gemini depuis quelques mois. Je parlerais donc plutôt d’augmentation que d’intelligence concernant l’IA. Rappelons cependant que peu de sociétés franchissent le pas de l’automatisation totale dans leur SOAR. C’est pourtant techniquement possible. Quant à laisser un algorithme choisir seul sans validation humaine ou capacité de savoir pourquoi tel ou tel choix a été fait par la machine… je n’y crois pas une seconde ! »

Dans l'actualité

Verified by MonsterInsights