IA appliquée à la cybersécurité : Nomios passe Qevlar en production

L’intelligence artificielle comme alternative aux systèmes d’automatisation et d’orchestration de la réponse (SOAR) aux alertes de cybersécurité ? Pourquoi pas ? C’est en tout cas ce que suggère l’expérience de Nomios.

Le prestataire de services de sécurité managés (MSSP) a ainsi testé durant 8 mois l’IA générative de Qevlar AI, comme Luis Delabarre, directeur des SOC du groupe, l’expliquait au MagIT l’été dernier. Avec satisfaction, désormais, et passage en production.

Dans un échange avec la rédaction, Luis Delabarre, explique que les essais ont été organisés en deux phases. La première n’a pas forcément été très concluante, mais il y avait une bonne raison à cela.

Il s’agissait en effet seulement d’envoyer les alertes générées par les EDR au LLM de Qevlar AI « pour voir ce qu’il était en capacité d’analyser ». Mais il était privé de toutes capacités d’enrichissement : les appels aux API des EDR et de sources tierces de renseignement sur les menaces lui étaient fermés. Un analyste en vase clos ne ferait probablement guère mieux.

D’où la seconde phase avec, cette fois-ci, la possibilité de solliciter des API et des sources tierces pour ébaucher un début d’investigation avec, notamment, l’intégration d’éléments de contextualisation. « Chaque alerte a généré, en moyenne, 9 appels API ». Le résultat est alors très différent.

Le LLM produit rapidement – en 2 minutes en moyenne, contre 30 minutes pour un analyste – des premiers rapports d’incidents assortis d’un début de qualification et de recommandations. Le tout de manière structurée au départ – un fichier JSON – avant un passage au langage naturel.

Pour Luis Delabarre, ces rapports permettent de faire gagner un temps précieux aux analystes et de gagner en consistance entre eux. Ce temps, ils peuvent l’affecter à d’autres tâches dont les clients de Nomios sont demandeurs, à l’image de recommandations contextualisées sur les dernières vulnérabilités et leur exploitation, par exemple.

Mais pas question de faire confiance les yeux fermés à l’IA générative : « les analystes ont passé du temps à évaluer la qualité des restitutions de Qevlar AI », explique Luis Delabarre. Pour en arriver à un verdict : « l’IA permet de collecter les éléments nécessaires pour établir un diagnostic ; pas de le faire à la place de l’analyste ». 

Mais n’est-ce pas là la place de la… SOAR ? D’une certaine manière, oui, concède le patron des SOC de Nomios : « par exemple, l’une des tâches demandées à Qevlar consiste à remonter la hiérarchie des processus, ce que peut faire un outil de SOAR. Mais avec ces solutions, la difficulté tient à la gestion des playbooks, avec leur maintenance dans le temps, leur multiplication, et leur personnalisation ».

Concrètement, Luis Delabarre dit avoir une équipe dédiée à ce sujet. Et avec une instance SOAR par client, le MSSP mesure l’ampleur de la question : « Qevlar nous permet d’aller plus loin et plus vite, sur un plus grand éventail de technologies, de manière agnostique, en évitant la surcharge associée aux playbooks ».

C’est d’ailleurs pour celui qui n’a pas les moyens d’entretenir les playbooks d’un outil de SOAR, ni de s’enfermer dans les solutions d’un unique fournisseur qu’il entrevoit les apports immédiats de Qevlar, à commencer par les ETI.