Cybersécurité : l’intelligence artificielle doit encore convaincre

Pas prêts ou peinant à communiquer sur les apports potentiels de la technologie, les RSSI rechignent encore majoritairement à y recourir. Pourtant, les besoins apparaissent bien présents.

« L’accroissement de la charge de travail a atteint les limites de ce qui est possible avec des moyens manuels », et cela sous l’effet de l’ajout constant de nouvelles capacité analytiques. C’est la principale observation que l’on est tenté de retenir de l’étude réalisée par l’institut pour la valeur d’entreprise (Institue for Business Value, IBV) d’IBM avec Oxford Economics auprès de 700 RSSI dans 35 pays. Et c’est cette observation qui plaide en faveur du recours à l’intelligence artificielle pour, au moins, épauler les analystes. Parce que les données traitées sont toujours plus nombreuses, mais également qu’elles doivent l’être toujours plus vite pour réduit le délai de détection et de réponse à incident : 43 % des sondés estiment que c’est aujourd’hui leur principal défi… et 53 % qu’il le sera au cours des deux à trois prochaines années. Et pourtant, 80 % des sondés indiquent avoir déjà réussi à réduire ce délai au cours des deux dernières années, de 16 % en moyenne.

Mais pour continuer dans cette direction, encore faut-il savoir identifier les menaces dans son infrastructure, et les hiérarchiser judicieusement. Pour 52 % des sondés, améliorer les outils d’analyse sera justement une priorité pour les prochaines années, tout juste devant l’optimisation de la pertinence des alertes, citée par 36 %. D’ailleurs, selon les auteurs de l’étude, « les responsables de la sécurité estiment généralement qu’ils ont besoin de tout traiter comme important, parce qu’ils ne veulent rien laisser passer entre les mailles de leurs filets ».

Sans surprise, les sondés estiment globalement ne pas être aussi efficaces que nécessaire pour répondre aux incidents, pour traiter les alertes, ou encore pour détecter les activités suspectes sur le réseau, mais également pour filtrer leurs flux et classer les données afin d’en prévenir les fuites.

Dès lors, la première priorité d’investissement pour les deux ou trois prochaines années devrait porter sur l’amélioration de la surveillance du réseau, des applications et des données, suivie de la mise en place ou de la modernisation de capacités de SOC, et enfin de l’accélération des processus et des méthodes de réponse à incident.

On relèvera au passage que si près d’un tiers des sondés classent la question du recrutement de personnels qualifiés parmi leurs principaux défis aujourd’hui, ils se montrent globalement optimistes : d’ici deux à trois ans, ce ne devrait plus être un défi que pour 20 % des sondés.

Dans ce contexte, 57 % des sondés estiment que les solutions de sécurité dites « cognitives », et l’on pense là à l’intelligence artificielle – pour mémoire, IBM applique Watson à la cybersécurité depuis le mois de mai –, « peuvent significativement freiner les efforts des cybercriminels ». Mais les obstacles à leur adoption restent nombreux.

Ainsi, 45 % des responsables sondés considèrent qu’ils ne disposent pas des compétences, des processus ou des méthodes, pour sauter le pas. Ils sont près de 30 % à estimer qu’il est trop difficile de communiquer avec les directions sur les bénéfices de ces solutions, et autant qu’ils n’ont pas les budgets requis à horizon 3 ans. Sans compter un quart qui indiquent qu’ils ne disposent pas de l’infrastructure appropriée ou encore 16 % de sceptiques quant aux apports par rapport à d’autres solutions.

Selon les auteurs, une petite frange de RSSI sont en fait prêts à recourir à une forme d’intelligence artificielle pour renforcer leur posture de sécurité : 22 % de l’échantillon qui, notamment, « pensent qu’ils emploient une approche plus mature des pratiques de sécurité » et s’avèrent les plus éclairés sur le sujet. Et leurs attentes sont nombreuses : des solutions qui assurent une vigilance en continu, aident à réduire les faux positifs et à trouver les anomalies comportementales, ou encore comprennent mieux le paysage de la menace et replacent les incidents dans leur contexte, entre autres.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close