Quel que soit votre secteur d'activité ou votre rôle spécifique, on peut dire sans risque de se tromper qu'à l'heure actuelle, vous êtes incité (voire poussé) à adopter l'IA. Peut-être des collègues ou des amis partagent-ils leurs expériences avec divers outils d'IA ? Peut-être vos dirigeants vous encouragent-ils à expérimenter et à voir si l'IA peut vous faire gagner du temps dans vos tâches quotidiennes ? Ou peut-être que votre enfant n'a miraculeusement plus de devoirs à faire à la maison parce qu'il a engagé un agent d'IA? Que vous soyez déjà un utilisateur chevronné ou que vous attendiez que le DJ joue la bonne chanson avant d'entrer sur la piste de danse, une chose est sûre : l'IA est l'avenir, et elle est déjà là.
Si l'IA est l'avenir, autant l'utiliser à notre avantage
Comme il existe différents types d'IA, nous allons voir ici comment l'IA agentique permettra d'améliorer la détection, l'investigation et la réponse aux menaces (TDIR) aujourd'hui et à l'avenir - en particulier en utilisant un NDR. Un bon point de départ est une étude récente de Gartner, Emerging Tech : Agentic AI Integration Will Separate TDIR Platform Winners and Losers (L'intégration de l'IA agentique séparera les gagnants et les perdants de la plateforme TDIR). Cette étude explique bien l'impact de l'IA agentique sur le TDIR et donne des pistes de réflexion aux chefs de produit sur la manière dont ils doivent envisager de permettre aux analystes et aux praticiens de collaborer facilement avec l'IA.
Gartner soulève ici un point important, car si la facilité d'utilisation (ou la collaboration avec l'IA) n'est pas un sujet abordé lorsque l'on parle d'IA, elle devrait probablement l'être. Nous entendons beaucoup parler de ce que nous pouvons faire avec elle, des tâches qu'elle peut remplacer, de la puissance de ses capacités, etc., mais en fin de compte, si elle n'est pas conçue pour s'intégrer facilement dans la vie et le flux de travail des gens, sa qualité a-t-elle vraiment de l'importance ? C'est la même raison pour laquelle un nombre croissant d'élèves du primaire et du secondaire utilisent ChatGPT et d'autres LLM (grands modèles de langage). Il n'y a rien de plus facile que de poser une question et de recevoir une réponse solide (ou un travail de fin d'études) en quelques secondes.
Le revers de la médaille, c'est que les étudiants évoluent et apprennent avec l'IA et deviennent les " bricoleurs de l'IA " par excellence - un terme que Mark Wojtasiak, vice-président du marketing produit de Vectra AI , a écrit à la suite de son expérience à la conférence Security Risk and Management de Gartner. Mark Wojasiak en parle en termes de conseils pour les praticiens de la sécurité qui ont l'occasion d'expérimenter l'IA pour voir quels résultats ils peuvent obtenir. Pour aller plus loin, même si vous n'en êtes qu'au début, il peut être intéressant de réfléchir à la manière dont vous pouvez aligner des mesures axées sur les résultats avec votre approche TDIR alimentée par l'IA, ce qui facilitera la production de rapports sur les résultats à l'avenir. C'est un conseil judicieux, car les outils à tester ne manquent pas, et surtout parce que nous savons que les attaquants utilisent déjà l'IA pour se rapprocher plus rapidement de leurs objectifs. Sur cette note, voici quelques moyens simples pour les praticiens de la sécurité de commencer à incorporer l'IA agentique dans leur flux de travail afin d'obtenir des résultats TDIR plus rapides et plus efficaces sur les réseaux modernes.
5 façons d'utiliser l'IA agentique pour améliorer le TDIR
"40 % des violations de données concernent des données stockées dans plusieurs environnements. - Rapport IBM 2024 sur le coût d'une violation de données
Pour les professionnels de la cybersécurité, l'IA peut garantir que vous voyez chaque mouvement des attaquants modernes, aider à relier les points en temps réel, afin que vous disposiez du contexte complet nécessaire pour les arrêter avant qu'une brèche ne se produise.
1. Utiliser des agents d'intelligence artificielle pour trier automatiquement les alertes
Aulieu de passer manuellement au peigne fin des milliers d'alertes, l'IA agentique peut examiner en permanence les événements, les trier sur des réseaux hybrides et filtrer les détections bénignes - donnant ainsi une longueur d'avance aux analystes. Par exemple, l'IA peut signaler les comportements qui correspondent à l'activité d'un attaquant sur le réseau, l'identité et le cloud , et ne présenter que les incidents les plus pertinents à l'analyse humaine. Cela signifie qu'il y a moins de bruit à gérer et que le signal de menace est grandement amélioré.
2. Relier les activités liées à l'identité, au réseau et à l'cloud
Les attaquantsne restent pas au même endroit. L'une des plus grandes opportunités de l'IA agentique est sa capacité à assembler en permanence des activités dans plusieurs domaines (réseau, identité et cloud , par exemple). Lorsque l'IA peut suivre une compromission d'identité ou un mouvement latéral à travers votre réseau moderne, vous obtenez un contexte qu'il est impossible de voir avec d'autres outils, car ces choses se produisent au-delà du endpoint et déjà à l'intérieur de votre environnement. C'est là que la détection et réponse aux incidents (NDR) brillent - en particulier lorsqu'elles sont enrichies de signaux relatifs à l'identité et au cloud .
Bonne lecture : Choisir le bon NDR : les 5 questions de Gartner que tout acheteur de sécurité devrait se poser
3. Classer les incidents par ordre de priorité en fonction du risque réel
Toutesles alertes ne nécessitent pas une attention particulière. L'IA agentique peut évaluer les menaces en fonction du comportement, du contexte et de l'impact sur l'entreprise, et pas seulement en fonction des IOC ou des signatures. Par exemple, elle peut faire la différence entre un comportement administratif de routine et une communication furtive de commande et de contrôle en analysant les modèles historiques et l'intention. Cela signifie que vous n'êtes pas seulement alerté à propos de quelque chose d'inhabituel - vous êtes alerté lorsque quelque chose est dangereux. La priorisation par l'IA aide les équipes à concentrer leur temps limité sur les indicateurs d'attaque (IoA) qui comptent réellement.
4. Prendre un bon départ dans les enquêtes
Letemps est un facteur déterminant dans la réponse à une attaque. Les agents d'IA peuvent lancer les enquêtes initiales dès qu'une activité suspecte est détectée - en rassemblant les journaux, en cartographiant les actifs impliqués, en mettant en évidence les changements récents et même en générant une chronologie des événements. Ainsi, lorsqu'un analyste intervient, il ne part pas de zéro. Grâce à l'IA agentique, votre équipe passe plus rapidement de la question "que s'est-il passé ?" à la question "que faire ensuite ?".
5. Utiliser la NDR comme un point d'entrée à faible hauteur et à fort impact
Sivous cherchez un endroit intelligent pour commencer avec l'IA agentique, c'est NDR. Pourquoi ? Vous serez en mesure de tout voir sur toutes les surfaces - de l'accès initial au mouvement latéral, au commandement et au contrôle, et à l'exfiltration de données. Les plateformes NDR dotées d'une IA agentique peuvent observer et apprendre en permanence des modèles de trafic, déclencher des investigations autonomes lorsqu'un comportement d'attaquant est détecté, et fournir aux analystes une image complète de la menace. Contrairement aux systèmes basés sur les journaux qui reposent sur des données propres et structurées, la NDR s'épanouit dans des environnements bruyants et dynamiques, ce qui en fait une base puissante pour le TDIR piloté par l'IA.
Téléchargez le carré magique 2025 de Gartner® pour la détection et réponse aux incidents (NDR).
Quel que soit votre rôle dans le SOC ou si vous n'êtes qu'une entreprise individuelle, l'expérimentation de l'IA ne nécessite pas une transformation complète. Commencez modestement. Bricolez. Vous pouvez assister à une démonstration de produit ou explorer les capacités par vous-mêmeVectra AI propose des dizaines de séances d'information sur les produits dans notre Hunt Club Podcast pour voir comment les choses fonctionnent gratuitement). Essayez une ou deux de ces approches et voyez combien de temps, de clarté ou de perspicacité cela vous donne.