Ce que l'affaire Stryker révèle sur la stratégie offensive de Handala.
Lire le blog

Ce que l'attaque Stryker révèle sur la stratégie du groupe Handala. Lire l'article →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >

Comment Vectra AI des entreprises qui adoptent l'IA

May 5, 2026
5/5/2026
Aakash Gupta
Chef de produit principal du groupe
Comment Vectra AI des entreprises qui adoptent l'IA

Lorsque nous avons lancé notre plateforme de nouvelle génération destinée aux entreprises utilisant l'IA, nous nous sommes appuyés sur un principe simple : la sécurité doit évoluer au même rythme que l'environnement qu'elle protège.

Depuis lors, une chose est devenue plus claire : dans le domaine de l'IA d'entreprise, l'IA ne se contente pas d'accélérer les attaques, elle met en évidence les limites du fonctionnement actuel de la sécurité. Les alertes restent trop nombreuses. Les enquêtes se font toujours manuellement. Les décisions sont encore trop lentes. L'ajout de nouvelles fonctionnalités d'IA n'a pas résolu ce problème, car celui-ci ne réside pas dans un manque d'IA. Il réside dans l'application de l'IA aux bons problèmes.

L'IA appliquée à la sécurité pose un problème : elle est optimisée pour les caractéristiques, et non pour les résultats

Dans le domaine de l'IA d'entreprise, la plupart des plateformes de sécurité ont recours à l'IA pour améliorer leurs capacités individuelles :

  • Une meilleure détection des anomalies
  • Moins d'alertes
  • Génération plus rapide des signaux

Mais les équipes de sécurité ne mesurent pas leur succès à l'aune des fonctionnalités. Elles le mesurent à l'aune des résultats. Les équipes SecOps se posent la question suivante :

  • En combien de temps pouvons-nous détecter une attaque ?
  • En combien de temps pouvons-nous comprendre ce qui se passe ?
  • Dans quel délai pouvons-nous réagir et maîtriser la situation ?

Chez Vectra AI, notre approche consiste à mettre en corrélation des signaux provenant de sources fondamentalement disparates. Nous n'appliquons pas l'IA à des fonctionnalités isolées. Nous l'appliquons tout au long du cycle de vie, de la visibilité à la détection, en passant par la corrélation et la réponse, afin d'alléger la charge de travail des équipes de sécurité (SecOps) et d'améliorer les indicateurs opérationnels concrets.

Visibilité : une sécurité proactive nécessite une observabilité suffisamment approfondie

On ne peut pas réduire un risque qu'on ne comprend pas pleinement. Dans le domaine de l'IA d'entreprise, la visibilité ne consiste pas à collecter davantage de données, mais à recueillir les bonnes données avec suffisamment de précision pour détecter rapidement le comportement des attaquants. Dans ces environnements, les identités, y compris les agents IA, sont plus nombreuses que les humains, et l'activité ne s'arrête jamais. Les attaques ne se limitent pas à un seul domaine. Elles se propagent à travers les infrastructures réseau, d'identité, SaaS, cloud et IA.

La plupart des outils n'ont qu'une vision partielle de cette activité. Vectra AI différente. Nous nous appuyons sur les données télémétriques du réseau (paquets et flux) comme référence. Nous complétons ces données par des informations d'identité et cloud provenant de plateformes telles qu'Entra ID, M365, AWS et Azure. Cela nous permet de :

  • Reconstituer les comportements dans l'ensemble des domaines, et pas seulement au niveau d'une seule interface
  • Relier les identités, les hôtes et les services au sein d'un cadre cohérent
  • Assurer la visibilité sur le trafic est-ouest et le trafic éphémère

À mesure que l'IA se généralise, cela devient encore plus crucial. Les agents IA constituent désormais des entités à part entière : ils opèrent au sein du même environnement hybride et ouvrent la voie à de nouvelles menaces. Grâce à la télémétrie réseau et d'identité, Vectra AI une visibilité sur :

  • Transfert de données vers des prestataires de services d'IA
  • Utilisation d'applications et de frameworks orientés agent
  • Outils non approuvés (par exemple, les frameworks d'agents open source)
  • Activités sur des plateformes telles que Copilot Studio, AWS Bedrock et Azure AI

Il ne s'agit pas d'une simple agrégation de journaux. Il s'agit d'une observabilité comportementale à l'échelle de l'environnement hybride, qui permet aux équipes de combler plus rapidement les failles de sécurité, de détecter les menaces de manière proactive et d'améliorer le niveau global de sécurité.

Détection : choisir la méthodologie adaptée à chaque scénario de menace

Une défense proactive au sein d'une entreprise utilisant l'IA commence par les comportements, et non par les alertes.  

Une seule approche basée sur l'IA ne peut pas résoudre tous les problèmes de sécurité. Le théorème du « no free lunch » nous enseigne qu'aucun modèle ne peut offrir les meilleures performances pour tous les problèmes. Les comportements des attaquants ne font pas exception à la règle.

  • Le trafic de type « commande et contrôle » se comporte comme des données de séries chronologiques
  • L'abus de privilèges d'identité se comporte comme des références multidimensionnelles
  • Les mouvements latéraux dans un environnementcloud comme des graphes de relations

Utiliser le même modèle pour tous ces cas ne simplifie pas la sécurité. Cela crée de la confusion.

Vectra AI une approche de l'IA axée sur la sécurité : elle part des méthodes utilisées par les pirates (et non des données), identifie les comportements qui les caractérisent, puis applique les modèles adaptés pour une détection de haute précision.

Concrètement, cela se traduit ainsi :

  • Command and Control: nous utilisons des réseaux neuronaux récurrents (LSTM) pour modéliser l'évolution de la communication dans le temps, ce qui nous permet de détecter les canaux de contrôle même lorsqu'ils sont cryptés ou dissimulés.
  • Abus de privilèges d'identité : nous modélisons les comportements réels sur l'ensemble des comptes, des hôtes et des services afin de détecter les utilisations abusives des droits d'accès, et pas seulement les écarts par rapport à des références statiques.
  • Déplacement latéral : Nous utilisons une modélisation basée sur les relations pour suivre la manière dont les attaquants se déplacent d'une surface à l'autre.

Les pirates peuvent changer d'outils. Ils peuvent changer d'infrastructure. Mais ils ne peuvent pas changer facilement de comportement.

La plupart des outils basés sur l'IA sont aujourd'hui conçus pour détecter les anomalies. Nous développons une IA capable de repérer les techniques utilisées par les pirates. Il en résulte une détection plus précise et moins de faux positifs :

  • MITRE ATT&CK de plus de 90 % du référentiel MITRE ATT&CK  
  • Le plus grand nombre de références de tous les fournisseurs dans MITRE Defend  
  • Moins de faux positifs et davantage de signaux exploitables

Corrélation : l'importance de relier les points

Dans le domaine de l'IA d'entreprise, les attaques ne se produisent pas sous forme d'événements isolés. Elles se manifestent par des comportements interconnectés sur différentes surfaces, que la plupart des outils signalent sous forme d'alertes isolées. Les attaquants mènent des actions coordonnées qui ne prennent tout leur sens que lorsqu'on les examine dans leur ensemble.

Vectra AI est conçue pour relier les points entre eux. Grâce à une technologie d'assemblage basée sur l'IA, nous relions les comportements issus de l'activité réseau, de la télémétrie d'identité, cloud et des interactions SaaS pour en faire un récit unique et cohérent. Ce processus s'appuie sur une couche de traduction propriétaire qui rassemble des formes de télémétrie fondamentalement différentes – paquets, journaux et données de configuration – au sein d'un modèle comportemental commun.  

Il en résulte un nombre réduit d'alertes, mais d'une fiabilité accrue, qui reflètent l'activité réelle des attaquants. Cela permet :

  • Visibilité au niveau des campagnes : mettre en évidence l'ensemble des campagnes menées par les attaquants, et pas seulement les détections isolées
  • Hiérarchisation basée sur le comportement : évaluer les activités en fonction de leur évolution et du risque qu'elles présentent, et non en fonction d'une gravité statique
  • Attribution centrée sur l'identité : suivez les attaques jusqu'aux identités et aux hôtes, et non jusqu'à des indicateurs éphémères tels que les adresses IP

C'est là toute la différence entre simplement observer des événements isolés et comprendre les attaques. Comprendre les comportements ne représente que la moitié du chemin. Le véritable défi consiste à agir sur la base de ces informations, suffisamment vite pour mettre un terme à ces attaques. 

Réponse : une réponse accélérée implique d'éliminer le temps de latence des analystes

Ce n'est plus la rapidité de détection qui constitue le goulot d'étranglement, mais celle de la prise de décision.

Aujourd'hui, les équipes SecOps sont submergées d'informations, mais elles ne disposent toujours pas du contexte nécessaire pour agir assez rapidement. Elles continuent de :

  • Triage manuel des alertes
  • Mise en corrélation des signaux entre différents outils
  • Rédiger des requêtes pour comprendre ce qui se passe

Dans le monde de l'IA d'entreprise, où les pirates agissent à la vitesse de la machine, les attaques peuvent se dérouler en quelques minutes. Si la réponse repose encore sur des processus manuels, elle est déjà trop lente. Chez Vectra AI, nous nous attachons à éliminer les délais de décision. Et pas seulement les délais de détection.

Concrètement, cela se traduit ainsi :

  • Priorisation basée sur l'IA : les comportements sont automatiquement mis en corrélation et notés en fonction de l'évolution de l'attaque, ce qui permet aux équipes de se concentrer sur ce qui compte vraiment
  • Flux de travail d'investigation prédéfinis : en un seul clic, les investigations fournissent une vue d'ensemble complète du réseau, des identités et cloud, sans qu'il soit nécessaire de recouper manuellement les informations.
  • Analyse assistée par l'IA : les analystes peuvent interroger les données télémétriques en utilisant le langage naturel et obtenir immédiatement des réponses contextualisées ainsi que des recommandations sur les prochaines étapes à suivre.

Il en résulte un changement radical dans le mode de fonctionnement des équipes SecOps :

  • Plus de 45 minutes gagnées par enquête
  • Réduction significative du nombre d'alertes et du bruit. Dans les environnements comptant plus de 1 000 identités, les clients ont constaté que moins de 10 d'entre elles nécessitaient une investigation.

Il ne s'agit pas seulement d'une réponse plus rapide. Il s'agit d'éliminer les obstacles entre la détection et l'action afin que les équipes puissent contenir les attaques alors qu'elles sont encore en cours. Les attaquants agissent déjà à la vitesse d'une machine. Les équipes de sécurité n'ont pas besoin de plus d'alertes. Elles ont besoin de pouvoir prendre des décisions et agir plus rapidement.

Une approche radicalement différente de la cyber-résilience

La protection des entreprises utilisant l'IA ne consiste pas simplement à ajouter davantage d'outils ou de fonctionnalités d'IA. Elle nécessite un changement dans la manière dont la sécurité est mise en œuvre :

  • De l'approche axée sur les données à celle axée sur le comportement
  • Des alertes aux résultats  
  • De la rapidité de détection à la rapidité de décision  

La plupart des approches se contentent de générer des alertes. Mais les alertes ne suffisent pas à mettre fin aux attaques. C'est en les analysant et en agissant en conséquence qu'on y parvient.

C'est cela, utiliser l'IA pour protéger l'entreprise qui s'appuie sur l'IA. Et surtout, c'est ce qu'il faut pour alléger la charge de travail des équipes chargées de la défendre.  

Foire aux questions