L'idée qu'une technologie, quelle qu'elle soit, puisse prendre des décisions et accomplir des tâches de manière autonome pour le compte des humains n'est pas nécessairement une pilule facile à avaler - du moins pas sans un certain niveau de compréhension de ce que fait exactement la technologie. C'est peut-être la raison pour laquelle il semble que tous les salons, rencontres et conférences technologiques se concentrent sur des sujets liés à l'IA et, plus récemment, à l'IA agentique. Dans mon dernier article, nous avons parlé de la signification des agents d'IA dans le domaine de la cybersécurité, mais aujourd'hui, j'aimerais aller au-delà des mots à la mode et expliquer comment l'IA devient rapidement le bon outil pour les défenseurs chargés d'arrêter les cyberattaques modernes, en particulier lorsqu'elle est appliquée au bon problème.
Pour ce faire, soulevons quelques questions générales sur la détection et la réponse aux menaces et discutons de la place de l'IA agentique et de l'IA générique - car pourquoi ne pas utiliser les deux mots les plus à la mode pour cet exercice ? Pour rappel, les agents d'IA (IA agentique) sont capables d'effectuer des tâches pour le compte d'un utilisateur, tandis que l'IA générique se réfère à l'IA axée sur la création de contenu tel que du texte ou des images - un LLM (Large Language Model), par exemple, est un type d'IA générique capable de générer du texte.
L'intelligence artificielle peut-elle aider les défenseurs à détecter et à stopper plus rapidement les cyberattaques modernes ?
Selon le rapport CrowdStrike 2025 Global Threat Report, le temps moyen entre l'infiltration et le moment où les attaquants commencent à se déplacer latéralement à l'intérieur d'un réseau est de 48 minutes, ce qui est en fait en baisse par rapport aux 62 minutes de 2024. Les attaquants sont de plus en plus rapides. Ainsi, lorsque je me demande si l'IA générique peut aider à détecter et à stopper une cyberattaque moderne, ma première réaction est "non", car il est difficile de voir comment un LLM, par exemple, pourrait accélérer la détection grâce à la génération de contenu - du moins en apparence. Cependant, il s'avère que Gen AI est une ressource précieuse pour les personnes qui élaborent des modèles de détection.
Comme l'explique Matt Silver, vice-président de la science des données chez Vectra AI , dans le podcast : Quantifier le multiplicateur de force de l'IA : Entités et détection - Gen AI peut être utilisé pour apprendre des représentations de données de sécurité bénignes, ce qui peut être utile pour "former des détecteurs en aval". Fondamentalement, les détections de menaces sont conçues pour détecter des comportements d'attaquants très spécifiques, mais pour y parvenir avec précision, il faut également savoir quels comportements ne sont pas malveillants. Grâce à la capacité de Gen AI à traiter de grands ensembles de données, nous n'avons plus besoin de créer des ensembles de données à partir de zéro pour les utiliser dans la modélisation de la détection, ce qui peut prendre énormément de temps. Nous sommes désormais en mesure d'exploiter des quantités massives de données existantes sur la cybersécurité et d'appliquer un préapprentissage auto-supervisé pour aider à construire des modèles de détection à un rythme beaucoup plus rapide. Si l'on pense à la rapidité avec laquelle les cyberattaques modernes se déplacent, il est certainement utile d'éliminer toute latence possible au cours du processus d'ingénierie de la détection.
Pourquoi les défenseurs ajoutent-ils l'IA agentique à leurs outils de lutte contre les cyberattaques modernes ?
C'est à nouveau le bourdonnement. Mais si je me mets à la place d'un analyste de sécurité, c'est probablement là que je m'assure de suivre la conversation. Tout comme je peux utiliser Gen AI en tant que rédacteur et responsable du contenu pour effectuer une partie ou la totalité du travail de fond lié à l'élaboration d'un contenu écrit (si je l'avais utilisé pour ce billet, il aurait été publié plus tôt), l'IA agentique se place aux côtés des analystes et leur dit : "Bonjour, voulez-vous que je jette un coup d'œil à ces quelque trois mille alertes et que je vous indique celles que vous devez traiter ?".
Bien sûr, il y a beaucoup plus à faire sur le backend, que ce podcast couvre en détail, mais les agents d'intelligence artificielle servent vraiment à gérer les choses que vous ne pouvez pas faire, que vous ne voulez pas faire, ou que vous aimeriez décharger parce que votre temps et votre expertise pourraient être utilisés de manière plus efficace à un autre endroit. Les défenseurs peuvent utiliser des agents d'intelligence artificielle pour déterminer quelles détections ou alertes sont liées à des hôtes ou à des comptes spécifiques, afin que vous sachiez lesquelles sont pertinentes. Ils peuvent également regrouper les détections sur le réseau, l'identité et les surfaces cloud afin de savoir lesquelles sont liées, ou même fournir une note d'urgence, afin de savoir quelle activité présente le plus grand risque pour une organisation. Les agents d'IA permettent aux défenseurs de disposer plus rapidement d'un contexte de détection, ce qui signifie bien sûr qu'ils sont plus près de stopper les attaques que de passer des cycles sur des tâches de triage manuel, par exemple.
Il est intéressant de penser à tous les outils, applications ou programmes que nous utilisons dans notre travail, quel qu'il soit. La plupart d'entre nous utilisent probablement les mêmes outils depuis des années ou, lorsque nous en introduisons un nouveau, c'est parce que nous pensons qu'il nous rendra plus performants dans notre travail et que sa valeur l'emporte sur le coût ou l'investissement en temps nécessaire pour s'adapter à quelque chose de nouveau. Malgré tous les mots à la mode autour de l'IA, il s'agit simplement d'un outil que nous pouvons utiliser pour nous aider à faire notre travail et, en fonction des résultats que nous recherchons, il se peut qu'il soit le bon pour ce travail.
Pour en savoir plus sur l'IA et la cybersécurité, consultez l'émission AI in Action sur lachaîne YouTube de Vectra AI