Nous savons qu'elle nous accompagne. Elle suit les choses, apprend nos tendances, nous assiste dans diverses tâches, mais il peut encore être difficile de déterminer exactement ce que font les technologies d'IA que nous utilisons et avec lesquelles nous existons. Cependant, la conversation devient beaucoup plus intéressante lorsque nous examinons les possibilités offertes et la manière dont elles influencent notre vie quotidienne ou même notre façon de travailler. Dans le cadre de cette discussion, nous parlerons principalement de ce que les agents d'IA signifient pour ceux d'entre nous qui travaillent dans le domaine de la cybersécurité - un sujet qui met également en évidence le chemin que nous parcourons en tant qu'humains coexistant avec l'IA et la manière dont nous l'utilisons. Mais avant d'entrer dans le vif du sujet, nous devrions probablement envisager d'actualiser la définition du mot "agent" dans le dictionnaire pour en faire quelque chose comme "agent" :
Une personne, une entreprise ou une intelligence artificielle autorisée à agir au nom d'une autre personne.
Peut-être pourrions-nous même ajouter "animal d'assistance" à cette définition ? Un chien ou un autre type d'animal d'assistance peut-il agir pour le compte d'autrui ? Imaginez le scénario suivant : votre chien est dressé pour ramasser le linge sale qu'il voit dans la maison et le déposer dans la buanderie. Votre chien est désormais l'agent de blanchisserie, ce que vous avez autorisé. Maintenant, lorsque vous laissez du linge sur le sol, toute personne qui a un problème avec cela peut en parler à l'agent de blanchisserie.
En attendant que Merriam-Webster prenne en compte ma demande, voici une définition d'IBM plus spécifique aux agents d'intelligence artificielle :
Un agent d'intelligence artificielle (IA) désigne un système ou un programme capable d'exécuter des tâches de manière autonome pour le compte d'un utilisateur ou d'un autre système en concevant son flux de travail et en utilisant les outils disponibles. -IBM
C'est assez simple, surtout une fois que l'on sait comment un agent d'IA (ou n'importe quel agent) serait chargé d'effectuer certaines tâches. Toutefois, si vous lisez certains articles récents sur les agents d'IA - et il y en a beaucoup - vous constaterez rapidement que de nombreuses questions sont soulevées. Certains articles suggèrent que "personne ne peut définir clairement ce qu'est un agent d'IA". Il s'agit peut-être simplement d'un titre astucieux de Fortune qui réussit à nous faire oublier le nom que nous donnons à une chose et à nous amener au cœur de la discussion, à savoir comment elle peut réellement nous aider ou ce que nous pouvons en faire. D'autres articles, comme celui de Wired, soulèvent des questions sur les agents d'intelligence artificielle en posant la question suivante : "Jusqu'où devrions-nous les laisser faire ?
Toutes ces considérations sont valables, mais l'une des constatations intéressantes que l'on peut faire en étudiant les agents d'IA dans le domaine de la cybersécurité, c'est qu'ils nous donnent un aperçu plus précis de l'impact que l'IA a et peut avoir sur nos flux de travail. Le rapport 2024 State of Threat Detection and Response deVectra AI nous a récemment beaucoup appris sur l'adoption de l'IA dans le domaine de la cybersécurité, mais il faut aller au-delà des chiffres d'adoption pour comprendre l'impact réel de l'IA et les tâches qu'elle permet d'accomplir.
Les agents d'intelligence artificielle dans la cybersécurité
Alors, de quoi parlons-nous avec les agents d'IA dans la cybersécurité ? Voyons cela du point de vue de la détection des menaces, de l'investigation et de la réponse : plus vite un défenseur peut voir et arrêter une attaque, mieux son organisation se portera. En moyenne, les défenseurs reçoivent 3 832 alertes de sécurité par jour, selon le rapport 2024 State of Thread Detection and Response. Ce chiffre est en fait en baisse par rapport à l'année précédente, mais quand on pense à ce que cela signifie en termes de capacité à traiter chaque alerte individuelle, c'est une demande scandaleuse. En d'autres termes, si vous receviez près de 4 000 courriels par jour dans votre boîte de réception, à combien d'entre eux répondriez-vous ? Il n'est pas vraiment surprenant que les praticiens qui ont participé à l'étude aient déclaré ne pouvoir répondre qu'à 38 % de ces alertes en moyenne. Cela signifie qu'en tant qu'industrie, nous ne traitons pas les incidents réels potentiels parce que nous n'avons pas la bande passante nécessaire. C'est là qu'interviennent les agents d'intelligence artificielle.
Comment les agents d'intelligence artificielle aident-ils les défenseurs à détecter et à stopper les attaques ?
Si nous nous concentrons sur la façon dont les praticiens de la sécurité répartissent les tâches au cours d'une journée de travail moyenne, nous commençons à voir certains domaines dans lesquels les agents d'IA peuvent être utiles. Par exemple, selon l'étude Security Team Efficiency Benchmark de Vectra AI, les professionnels de la sécurité passent 18,4 % de leur journée à enquêter sur les faux positifs et 27,7 % à gérer les alertes. Cette étude particulière a recueilli les réponses de 538 praticiens pour aider à comprendre quelles tâches prennent du temps au cours de la journée, mais pour cette discussion, il est également utile de voir où un agent d'IA pourrait avoir du sens. Il est intéressant de noter que l'étude a également révélé qu'une journée de travail de 10 heures était la norme pour une équipe moyenne de six personnes. Dans ce scénario, où un agent d'IA gagnerait-il sa vie ? Il y a plusieurs façons de procéder, mais les agents d'IA peuvent contribuer à supprimer une grande partie du travail manuel associé aux alertes et, ce qui est peut-être le plus important, à élever le signal d'attaque que les équipes reçoivent des outils de détection et de réponse aux menaces, afin qu'elles sachent quels événements présentent le plus grand risque. Voyons comment ils fonctionnent.
Les agents d'intelligence artificielle peuvent-ils contribuer à réduire le temps consacré aux alertes de sécurité faussement positives ?
Chaque alerte de faux positif doit être triée pour déterminer sa pertinence, soit par un analyste humain, soit par une forme d'automatisation (si elle existe), ce qui explique que près d'un cinquième de la journée d'un analyste soit consacré aux faux positifs. Nous devons savoir si quelque chose est malveillant ou bénin - ce qui peut être un processus hautement manuel nécessitant du temps et de l'expertise. Mais est-ce bien nécessaire ? La possibilité d'utiliser l'IA pour gérer le triage n'est pas nouvelle, mais les capacités ne cessent de s'améliorer et maintenant, avec les agents de triage de l'IA, les équipes de sécurité peuvent facilement se décharger des tâches de triage. Cela signifie utiliser l'IA pour évaluer les alertes et séparer le comportement normal du réseau de ce qui est probablement malveillant ou pour aider à déterminer quelles détections sont pertinentes pour la sécurité en fonction de l'importance de l'entité (hôte ou compte).
Les agents d'IA peuvent-ils aider à gérer le grand nombre d'alertes de sécurité que reçoivent les équipes ?
Ce n'est pas seulement la quantité d'alertes que les équipes reçoivent (3 832 par jour) qui rend les choses impossibles, mais la complexité des réseaux modernes couvrant les centres de données, les campus, les travailleurs à distance, les nuages, les identités, etc. rend la possibilité de regrouper les alertes sur chaque surface irréaliste sans la bonne technologie. Les attaquants prospèrent dans ces environnements en raison de la latence introduite par l'effort nécessaire pour assembler des alertes cloisonnées provenant de toutes les directions possibles. La corrélation des détections ou des alertes entre différentes surfaces n'est pas un concept nouveau, mais les agents d'IA facilitent cette tâche car les défenseurs n'ont plus besoin d'examiner chaque alerte sur chaque surface individuelle. Par exemple, une alerte dans AWS pourrait être connectée à une alerte dans Entra ID parce qu'elles sont associées à la même identité - l'IA le sait et construit automatiquement un profil d'attaque qui inclut les deux alertes ou n'importe quel nombre d'alertes reçues associées à cette identité à partir de n'importe quelle surface dans votre environnement. Cela réduit le nombre d'alertes que les équipes doivent traiter.
Les agents d'IA peuvent-ils vous aider à stopper une cyberattaque ?
Même avec un nombre réduit d'alertes, l'information la plus utile pour les défenseurs sera toujours de savoir quelle(s) alerte(s) signale(nt) une attaque en cours. Comme nous l'avons mentionné précédemment, les défenseurs doivent être en mesure de voir et d'arrêter les attaques, ce que les agents d'intelligence artificielle peuvent désormais aider à hiérarchiser. Un agent d'IA pour la hiérarchisation des attaques peut prendre en compte les détections de tous les types de comportements d'attaquants observés dans un environnement, prendre en compte des éléments tels que la rapidité d'une attaque ainsi que les techniques utilisées et fournir des notes d'urgence pour toutes les alertes de sécurité au sein d'un environnement. Un agent de hiérarchisation de l'IA peut essentiellement prendre en compte tout ce qui se passe dans un environnement et les classer par ordre de gravité en fonction de ce qui représente le plus grand risque. Les défenseurs disposent alors de tout le contexte de chaque alerte en un seul endroit, déjà trié et assemblé, de sorte qu'ils peuvent utiliser leur expertise pour enquêter plus avant si nécessaire ou pour aller de l'avant et stopper l'attaque.
Pour les défenseurs, les agents d'IA deviennent rapidement plus qu'un simple moyen de nettoyer les faux positifs et de gérer les alertes, mais un moyen d'obtenir un signal d'attaque précis qui peut être utilisé pour voir et arrêter les attaques sans le temps de latence qui est introduit en le faisant manuellement. Et en plus de toutes ces bonnes choses, qui n'a pas envie de dire "voyez cela avec mon agent" ?
Pour en savoir plus sur les agents d'IA et sur la façon dont Vectra AI les utilise, regardez le podcast : Accélérer la détection des menaces avec les agents d'IA.
Ou
Découvrez comment les équipes de sécurité obtiennent de réels résultats commerciaux grâce à l'IA :
- 52% de menaces potentielles en plus identifiées
- 51% de temps en moins pour la surveillance et le traitement des alertes
- Réduction de 60 % du temps consacré à l'évaluation et à la hiérarchisation des alertes