L'AI accélère la gestion des incidents, mais ne remplace pas l'humain (étude)

Le recours aux technologies d’intelligence artificielle pour épauler les équipes des centres opérationnels de sécurité (SOC) n’apparaît pas encore très répandu. Seul un tiers des 459 participants à la conférence Black Hat, sondés fin juillet à Las Vegas par Vectra Networks, indiquent s’en servir.

Sans trop de surprise, ce sont les équipes de grande taille, celles des organisations susceptibles d’être les plus aisées et les plus matures, qui l’ont déjà adopté : 44 % des sondés utilisateurs de l’IA évoluent dans un SOC de plus de dix personnes.

Mais les bénéfices semblent bien là, et mesurables.

Les équipes SOC supérieures à dix personnes n’utilisant pas les technologies d’intelligence artificielle indiquent découvrir les menaces au sein de leur infrastructure majoritairement en l’espace de minutes (37 %) ou d’heures (32 %). Avec l’IA, les équipes SOC de même taille font beaucoup mieux : les menaces sont débusquées en l’espace de minutes pour 50 % d’entre elles, et d’heures pour 33 %.

Mais un point de l’étude mériterait d’être approfondi, car apparemment, tirer pleinement profit de l’IA n’est pas à la portée de tout le monde : toutes tailles confondues, les équipes SOC utilisant des techniques d’intelligence artificielle n’en tirent pas systématiquement profit. Elles découvrent des menaces en l’espace de minutes pour 34 %, et d’heures pour 40 %. Peut-être est-il encore tout simplement trop tôt pour chercher à faire l’économie d’analystes SOC en s’appuyant sur la machine.

En fait, c’est surtout pour la confirmation et la qualification de la menace que l’apport de la machine devient significatif.

Sans intelligence artificielle, les équipes SOC de plus de 10 personnes ne confirment une menace en l’espace de minutes qu’à 14 %, contre 51 % pour des heures. Toutes tailles confondues, mais avec l’IA, la part des menaces confirmées en l’espace de minutes passe à 29 %, tandis que celles des menaces validées en quelques heures recule à 46 %. Enfin, pour les SOC de plus de dix personnes utilisant l’IA, la part des premières menaces progresse à 42 %, quand celle des secondes atteint 42 %.

Des bénéfices comparables sont observables pour la remédiation. La part des menaces résorbées en l’espace de minutes progressant sensiblement d’un échantillon à l’autre, de 7 % pour les SOC sans IA, à 23 % pour ceux de plus de 10 personnes, avec aide de la machine. Mais c’est surtout la part des incidents contrôlés en l’espace de jours qui évolue le plus significativement, régressant de 42 % dans le premier cas, à 26 % dans le dernier.

Vectra Networks compte, comme un DarkTrace, parmi ces acteurs de la sécurité cherchant à détecter sur le réseau les signaux faibles susceptibles de trahir des menaces. Récemment, cinq brevets lui ont été accordés pour sa technologie. Celle-ci a été enrichie pour replacer les incidents observés sur un hôte dans le contexte de campagnes malveillantes plus vastes, à l’échelle de toute l’infrastructure.

Elle supporte désormais l’analyse des sessions RDP et des tentatives d’attaque sur les comptes SMB locaux. Un capteur est en outre désormais disponible pour AWS, venant compléter le partenariat noué un peu plus tôt cette année avec Gigamon pour gagner en visibilité sur les infrastructures de Cloud public.

Enfin, Vectra a annoncé fin juin un partenariat visant à accélérer la réponse à incident, avec Demisto, une jeune pousse justement spécialisée dans le domaine de l’automatisation et de l’orchestration appliquées à la sécurité.