Intelligence artificielle agentielle pour la cybersécurité : cas d'utilisation et exemples

L'IA agentique désigne les systèmes d'IA qui combinent des modèles tels que les grands modèles de langage (LLM) avec des flux de travail automatisés, l'intégration d'outils et l'aide à la décision. Ces systèmes assistent les équipes de sécurité dans les domaines de la sécurité opérationnelle (SecOps) et de la sécurité des applications (AppSec) en analysant les alertes, en automatisant les tâches courantes et en facilitant les investigations.

Les outils d'IA agentiques fonctionnent généralement sous supervision humaine. Ils ne prennent pas de décisions de sécurité totalement autonomes dans les environnements de production.

Explorez des cas d'utilisation structurés et concrets de l'IA agentielle en cybersécurité, ainsi que ce que font ces agents, comment ils fonctionnent et leurs limites pratiques :

Exemples d'agents d'IA en cybersécurité

• Agents de niveau 1
  • Contribuer à la détection initiale et au tri des alertes.
  • Effectuer la classification, la déduplication et l'enrichissement des alertes.
  • Fournir aux analystes le contexte nécessaire pour hiérarchiser les menaces.
• Agents de niveau 2
  • Exécuter des actions prédéfinies sous supervision humaine.
  • Exemples de tâches : isoler les systèmes affectés, initier un confinement piloté par un playbook.
• Agents de niveau 3
  • Prise en charge de l'analyse avancée des menaces.
  • Exemples de fonctionnalités : corrélation des données télémétriques entre les systèmes, assistance à la recherche de menaces, analyse des vulnérabilités .

Les agents de niveau 3 ne remplacent pas les analystes humains, mais complètent leur flux de travail.

IA agentique pour les flux de travail de cybersécurité

Contrairement à l'automatisation simple basée sur des règles que l'on trouve dans les systèmes de sécurité traditionnels, l'IA agentielle peut orchestrer plusieurs outils, intégrer des informations contextuelles provenant de sources diverses et faciliter la prise de décision en traitant des données non structurées. Cependant, ces systèmes fonctionnent généralement sous supervision humaine ou selon des politiques préconfigurées, plutôt que de manière totalement autonome en production.

L'IA agentique tire parti de sa capacité à apprendre dynamiquement de son environnement. ¹ Elle renforce les activités de cybersécurité en :

• Surveillance et traitement continus des menaces en temps réel
• Automatisation des tâches SOC répétitives avec une intervention humaine minimale
• Offrir un soutien à la décision contextuelle

Architecture d'agents d'IA intégrés à l'inférence d'IA, pour leur interaction avec les LLM et les données d'entreprise en vue de l'automatisation des SOC :

Adapté de : Cloudera ²

Lire la suite : L’IA dans SOAR .

Fonctionnalités essentielles des outils de cybersécurité Agentic AI

Les principales capacités des outils d'IA agentielle en cybersécurité comprennent :

• Inteltriage et enrichissement des alertes de légèreté : Les systèmes Agentic peuvent classer et prioriser les alertes, réduisant le bruit et aidant les analystes SOC à se concentrer sur les menaces significatives.
• Assistance automatisée aux enquêtes : Ces systèmes peuvent recueillir des informations contextuelles (par exemple, des renseignements sur les menaces, des corrélations de journaux) et résumer les résultats pour les analystes humains.
• Confinement et exécution de scénarios : L'IA agentique peut exécuter des actions de confinement telles que la mise en quarantaine d'un hôte ou l'application de restrictions d'accès définies dans des scénarios automatisés, sous réserve de gouvernance et de supervision humaine.
• Soutien à la chasse aux menaces : Ils aident les analystes en corrélant les indicateurs de compromission (IOC) à travers différentes sources de données et en suggérant des hypothèses d'enquête, bien qu'une interprétation humaine substantielle reste nécessaire.
• Analyse et priorisation des vulnérabilités : les systèmes d'IA aident à analyser et à évaluer les vulnérabilités à grande échelle afin de faciliter la priorisation des ressources.

Exemple de flux de travail : Agent d’IA pour la détection des vulnérabilités (Niveau 1)

Dans le cadre de démonstrations de faisabilité en cybersécurité, des agents d'IA ont été mis en œuvre pour prendre en charge les flux de travail d'analyse et de tri des vulnérabilités, en interagissant avec des API qui fournissent des données sur les vulnérabilités et en orchestrant des tâches telles que la création de tickets ou la génération de rapports.

Outre les systèmes d'entreprise comme Dropzone AI, il existe également des implémentations artisanales où des agents de niveau 1 gèrent la détection et le triage initiaux des menaces de sécurité potentielles.

Voici une démonstration de la création d'un agent de détection automatisée des vulnérabilités dans l'environnement sandbox DevNet :

Architecture agentique utilisée dans la démo : l’agent interagit avec une interface frontale (telle que Streamlit UI) et un agent routeur (ACCS), envoyant des API REST et des commandes dans une direction et recevant des réponses, soit au format JSON, soit en texte brut, dans l’autre direction.

Flux de travail et interactions avec les agents

1. Invite : L'utilisateur saisit une invite, telle que « R1 est-il vulnérable ? Si oui, veuillez ouvrir un problème dans ServiceNow et envoyer un rapport à l'équipe de sécurité à l'adresse xyz@gmail.com. »

2. Traitement initial : L’agent reçoit la requête et l’analyse. Il détermine que la tâche consiste à vérifier la vulnérabilité du routeur 1 (R1), ouvre un ticket d’incident dans ServiceNow et envoie un rapport à l’adresse indiquée.

3. Exécution des requêtes : L’agent frontal (interface utilisateur Streamlit) et l’agent routeur (ACCS) communiquent entre eux. L’agent routeur interroge le système pour connaître l’état du routeur 1 et rechercher d’éventuelles vulnérabilités. Il détermine dynamiquement les commandes nécessaires et les exécute (par exemple, en utilisant la commande show version pour obtenir les détails de version).

4. Collecte de données : L'agent de routage collecte les données nécessaires, telles que la version du routeur 1, et envoie ces données à l'API PSIRT pour vérifier les vulnérabilités connues associées à cette version.

5. Détection des vulnérabilités : Le système interroge l’API PSIRT, reçoit les résultats (au format JSON ou texte brut) et traite les informations. Il identifie les éventuelles vulnérabilités critiques liées au routeur 1.

6. Exécution des actions : Si des vulnérabilités sont détectées :

• Un ticket d'incident est automatiquement ouvert dans ServiceNow.
• Signalement par e-mail de la vulnérabilité de l'agent à l'équipe de sécurité.

Consultez le rapport de vulnérabilité généré par l'agent IA :

> Cas d'utilisation concrets : L'IA agentique dans les opérations de sécurité

1. Triage et enquête

• Les agents regroupent les alertes, suppriment les doublons et enrichissent les alertes avec le contexte de la menace.
• Exemple d'enrichissement : contrôles IOC, informations sur les points de terminaison et les comptes.
• Des analystes humains examinent toujours les résultats afin d'éviter les faux positifs.

Exemple concret : des agents d’IA exploitant le triage et l’enquête

Défis : La configuration initiale de sécurité d'une compagnie d'assurance numérique nécessitait une gestion manuelle des alertes, ce qui était gourmand en ressources.

• Volume élevé d'alertes de sécurité
• Processus longs
• Nécessité d'une surveillance continue 24h/24 et 7j/7

Solutions : L'entreprise a déployé des agents d'IA de cybersécurité et a intégré ces agents à des systèmes existants comme AWS, Google Workspace et Okta.

Conséquences:

• La réduction des tâches manuelles a permis aux analystes SOC de privilégier les tâches à plus forte valeur ajoutée.
• Les rapports d'enquête détaillés ont fourni un niveau d'analyse granulaire, augmentant la visibilité sur l'IOC (indicateur de compromission).
• La réduction des faux positifs a amélioré la précision de la détection des menaces. ⁴

2. Soutien à la chasse aux menaces

L'IA agentique peut être utilisée dans les systèmes de cybersécurité pour détecter les menaces et y répondre en temps réel.

Par exemple, ces agents peuvent identifier les comportements inhabituels du réseau et isoler de manière autonome les appareils concernés afin d'éviter toute compromission sans intervention humaine.

• Les agents aident les analystes à détecter les comportements inhabituels du réseau.
• Ils catégorisent les alertes selon des indicateurs atomiques, calculés et comportementaux.
• Ils établissent des corrélations entre les indicateurs issus de données historiques et en temps réel.
• Les analystes interprètent les pistes d'enquête proposées ; l'IA ne remplace pas le jugement des experts.

Étude de cas réelle : des agents d’IA exploitant la chasse aux menaces

Difficultés rencontrées : Le système de santé de l’Université du Kansas a rencontré des difficultés pour coordonner sa réponse aux incidents. Parmi les principales difficultés rencontrées, on peut citer :

• Manque de visibilité
• Réponse limitée aux incidents
• contraintes liées aux ressources humaines

Solutions : L’université a mis en place une plateforme de sécurité dotée de capacités d’IA agentielle pour améliorer la visibilité et automatiser la réponse aux incidents et la recherche de menaces.

Conséquences:

• La visibilité entre les systèmes a augmenté de plus de 98 %.
• La couverture de détection s'est améliorée de 110 % en six mois.
• Les processus automatisés de réponse aux incidents ont filtré et résolu 74 826 alertes sur 75 000, et n'ont transmis que 174 d'entre elles à un examen manuel.
• Parmi les alertes escaladées, 38 se sont révélées exactes , réduisant ainsi le bruit et permettant des réponses ciblées. ⁵

3. Mesures de réponse

Les agents peuvent générer des modèles d'infrastructure en tant que code (par exemple, OpenTofu, Pulumi). Ils peuvent effectuer des actions sur les points de terminaison ou mettre à jour les contrôles de sécurité sous supervision humaine.

Exemple concret : des agents d’IA exploitant les actions de réponse

Défis : APi Group, une entreprise de distribution, a été confrontée aux défis suivants en matière de cybersécurité :

• Diversité des technologies
• Visibilité à travers l'écosystème

Solutions : Pour relever les défis ci-dessus, APi Group a mis en œuvre la plateforme d'IA agentique de ReliaQuest pour améliorer la détection des menaces dans ses environnements Microsoft.

Conséquences:

• Réduction des délais de réponse de 52 % grâce à l'automatisation et aux procédures intégrées.
• Obtention d'une augmentation de 47 % de la visibilité sur les piles Microsoft 365, Cisco et Palo Alto.
• Couverture MITRE ATT&CK étendue de 275 %. ⁶

L'IA agentique et les opérations de sécurité (SecOps) expliquées

Les opérations de sécurité (SecOps) sont une approche collaborative entre les équipes de sécurité informatique et les équipes d'exploitation informatique, axée sur l'identification, la détection et la réponse proactives aux cybermenaces.

Le problème :

Les équipes SecOps sont confrontées à une fatigue importante car elles doivent gérer d'énormes volumes de données provenant de systèmes divers et des menaces en constante évolution, tout en naviguant dans des structures organisationnelles complexes et des exigences de conformité.

Comment l'IA agentive aide :

L'IA est particulièrement efficace pour les « tâches de raisonnement » telles que l'analyse des alertes, la réalisation de recherches prédictives et la synthèse des données provenant d'outils.

Ainsi, les agents d'IA dans le domaine de la sécurité opérationnelle peuvent contribuer à automatiser les tâches qui nécessitent une analyse et une prise de décision en temps réel, telles que le phishing, les logiciels malveillants, les violations d'identifiants, les déplacements latéraux et la réponse aux incidents.

Par exemple, ces outils peuvent être entraînés sur les bases de connaissances MITRE ATT&CK pour imiter l'expertise des analystes humains ou utiliser des procédures de réponse aux incidents pour :

• enrichir les alertes
• détecter les systèmes impactés
• isoler/trier les systèmes infectés
• créer des rapports d'incident

Les outils de cybersécurité basés sur l'IA agentique, tels que Trase, peuvent automatiser une grande partie du travail de conformité aux normes comme SOC 2 et HIPAA. ⁷

Source : SCALE ⁸

> Cas d'utilisation concrets : L'IA agentique dans la sécurité des applications

4. Identification des risques

L'IA d'Agentic agit comme un système de surveillance vigilant, analysant en permanence votre environnement à la recherche de menaces et de vulnérabilités potentielles dans les applications et les bases de code. Les agents d'IA peuvent effectuer des analyses externes et internes pour identifier les menaces.

Découverte externe :

• Stockage et classification des données relatives à vos applications et API.
• Recherche de serveurs web exposés.
• Découverte des ports ouverts sur les adresses IP exposées à Internet.

Découverte interne :

• Évaluation des configurations d'exécution, identification des problèmes et priorisation.
• Visualisation de l'accessibilité et des fonctionnalités de l'API
• Visualisation et utilisation de l'API de l'application
• Surveillance de la charge de travail AWS sans agent et API Azure
• Analyse du volume et des tendances du trafic de l'application

5. Création et adaptation des tests d'application

Les agents d'IA génèrent automatiquement des tests en fonction des interactions de l'utilisateur avec l'application. Lorsque les testeurs ou les développeurs utilisent l'outil pour capturer des cas de test, l'IA surveille et crée des scripts de test.

Si l'interface utilisateur de l'application change (par exemple, si l'identifiant d'un élément change ou si la mise en page change), l'agent d'IA peut identifier ces changements et personnaliser les scripts de test pour éviter les échecs.

6. Exécution dynamique des tests d'application

L'IA d'Agentic exécute en continu des tests dans divers contextes (par exemple, sur plusieurs navigateurs et appareils) sans intervention humaine. Les agents d'IA peuvent planifier les tests et analyser le comportement des applications de manière autonome afin de garantir une couverture de test complète.

Ils peuvent également personnaliser dynamiquement les paramètres de test, par exemple en copiant différentes entrées de données utilisateur ou en modifiant les conditions du réseau, afin de permettre une analyse plus approfondie de l'application.

7. Rapports autonomes et suggestions prédictives

Les agents d'IA peuvent examiner les données de test d'applications de manière autonome, identifier les schémas de défaillance et déterminer les causes profondes.

Par exemple, si de nombreux tests échouent en raison du même problème, l'agent d'IA combinera les résultats et signalera le problème sous-jacent à l'équipe de développement.

À partir des données de tests précédents, les agents d'IA peuvent prédire les défaillances potentielles futures et recommander des méthodologies de test d'applications pour résoudre ces problèmes.

8. Remédiation autonome

L'IA agentique automatise le processus de correction ; par exemple, si l'agent d'IA détecte que certains tests sont redondants ou ne couvrent pas adéquatement des risques spécifiques, il peut optimiser la suite de tests en supprimant les tests non pertinents et en donnant la priorité à ceux qui se concentrent sur des domaines plus pertinents.

L'agent d'IA peut également détecter les échecs de test dus à des erreurs mineures (comme une modification mineure de l'interface utilisateur) et « corriger » le script de test pour qu'il soit conforme à l'application révisée, éliminant ainsi les faux positifs et nécessitant moins d'intervention manuelle.

9. Tests d'intrusion automatisés

L'IA agentique automatise le processus de test d'intrusion , notamment l'identification des vulnérabilités, la génération des plans d'attaque et leur exécution. Voici quelques pratiques clés des agents d'IA dans les initiatives de test d'intrusion :

Simulation d'adversaires en temps réel :

• Réaliser des simulations d'attaques telles que des attaques réseau, applicatives et d'ingénierie sociale.
• Exécution de tests d'intrusion tels que DAST (tests de sécurité dynamique des applications).

Reconnaissance :

• Analyse d'Internet, y compris le web profond, le dark web et le web de surface, afin de détecter les ressources informatiques exposées (par exemple, les ports ouverts, les compartiments cloud mal configurés).
• Intégrer les données OSINT (renseignements en sources ouvertes) et le renseignement sur les menaces pour cartographier les surfaces d'attaque.

L'IA agentique et la sécurité des applications (AppSec) expliquées

La sécurité des applications implique la protection des applications tout au long de leur cycle de vie, c'est-à-dire la conception, le développement, le déploiement et la maintenance continue.

Le problème :

L'importance croissante des applications hébergées en tant que principaux moteurs de revenus pour les entreprises publiques s'est accompagnée d'une prise de conscience accrue de leur sécurité. Ceci a engendré des tendances récentes telles que :

• L'utilisation généralisée du cloud et des applications SaaS a permis d'avancer la sécurité dans le cycle de vie du développement logiciel afin de minimiser les risques avant leur mise en production.
• Avec l'essor de la programmation native du cloud, on a constaté une augmentation des migrations vers des plateformes tierces telles qu'AWS, ce qui expose davantage les applications aux vulnérabilités.

En raison de l'augmentation de la surface d'attaque et du potentiel de compromission, les attaquants ont développé des méthodes nouvelles et ingénieuses pour compromettre les applications.

Comment l'IA agentielle aide :

Agentic AI peut contribuer à améliorer la sécurité des applications en intégrant et en automatisant différentes étapes du cycle de vie des applications afin d'en renforcer la sécurité, notamment en surveillant vos pipelines CI/CD ou en automatisant vos tests d'intrusion.

Défis de l'IA agentielle en cybersécurité

1. Manque de transparence et d'interprétabilité

• Opacité décisionnelle : les opérations et systèmes de sécurité pilotés par l’IA peuvent être difficiles à interpréter, notamment lorsqu’ils modifient de manière autonome les politiques ou les décisions de sécurité. Les ingénieurs de test et les développeurs peuvent avoir du mal à comprendre le raisonnement derrière certaines actions ou à confirmer les décisions de l’IA.

• Confiance et fiabilité : sans explications explicites, il pourrait être difficile pour les équipes de faire confiance aux recommandations ou aux corrections de l’IA, ce qui entraînerait une résistance à la mise en œuvre de solutions d’IA agentielle.

2. Problèmes liés à la qualité des données

• Dépendance aux données : les agents d’IA ont besoin de données diversifiées pour apprendre à agir efficacement. Des données insuffisantes ou biaisées peuvent entraîner des actions erronées ou des prévisions incorrectes.

• Cas particuliers dans les configurations système : si l’infrastructure informatique d’une organisation comprend des configurations sur mesure ou des combinaisons logicielles rares, un agent d’IA peut interpréter à tort des comportements normaux comme des anomalies ou ne pas détecter de véritables menaces.

3. Maintenir la fiabilité

• Faux positifs et faux négatifs : l’IA d’Agentic peut mal classer les données relatives à la sécurité opérationnelle ou à la sécurité des applications, ce qui entraîne des faux positifs (signalement de bogues inexistants) ou des faux négatifs (incapacité à détecter des problèmes réels). Ces erreurs peuvent compromettre la confiance dans le système et nécessiter une intervention manuelle pour valider les résultats.

• Problèmes d'adaptabilité : Bien que l'IA agentique soit conçue pour s'adapter aux changements, certains changements complexes ou inattendus dans l'application (par exemple, des refontes majeures de l'interface utilisateur ou des modifications de l'architecture backend) peuvent toujours entraîner des défaillances des opérations de sécurité, nécessitant une intervention humaine pour mettre à jour les modèles de l'IA.

4. Complexité de la mise en œuvre

• Difficultés liées à la sécurisation de l'intégration des API : les agents d'IA interagissent fréquemment avec des systèmes externes ; la protection des API est donc essentielle. La tokenisation et la validation des API sont des mesures qui contribuent à garantir une interaction fiable.

• Formation et déploiement : pour être efficaces, les modèles d’IA agentiques doivent être entraînés sur de grands ensembles de données et dans des scénarios diversifiés, ce qui peut s’avérer gourmand en ressources et en temps.

5. Exigences de supervision humaine

• Surveillance continue : Bien que l’IA agentielle vise à réduire l’intervention humaine, elle nécessite une surveillance et une maintenance constantes pour garantir son bon fonctionnement. Les équipes de sécurité doivent vérifier les résultats de l’IA, ajuster les modèles si nécessaire et intervenir lorsque l’IA rencontre des situations complexes ou inattendues.

• Exigences en personnel hautement qualifié : La gestion de l’IA agentielle requiert une expertise en IA, en apprentissage automatique ou en sécurité des applications. Les organisations peuvent éprouver des difficultés à trouver ou à former du personnel possédant les compétences requises.

Réflexions finales

L'IA agentique a le potentiel d'améliorer les opérations de cybersécurité en optimisant les temps de réponse et en allégeant la charge de travail des équipes de sécurité.

Cependant, les défis Des problèmes tels que le manque de transparence, les préoccupations liées à la qualité des données et les faux positifs/négatifs peuvent accroître la difficulté globale de déployer efficacement des solutions d'IA agentielle.

Mise en œuvre réussie L'utilisation de l'IA agentive dans les opérations nécessite un personnel qualifié, une surveillance et des mises à jour continues, des processus de validation efficaces des faux positifs et une attention particulière aux autres défis clés.

Liens de référence

1.

AI Model Security: A CISO’s Complete Guide

SentinelOne

2.

AI-Driven SOC Transformation with Cloudera: Enhancing Security Operations with Agentic AI | Blog | Cloudera

3.

Network Security AI Agent: Automated Vulnerability Reports! - YouTube

4.

Transformer les opérations de sécurité

5.

University of Kansas Health System Grows Visibility by 98% with GreyMatter - ReliaQuest

6.

APi Group Increases Visibility by 47% - ReliaQuest

7.

Trase | A Smarter Way to Work, Powered by AI

Trase

8.

AI SOC Analysts: LLMs find a home in the security org | Insights | Scale

Scale Venture Partners

Cem Dilmegani

Analyste principal

Suivre

Cem est analyste principal chez AIMultiple depuis 2017. AIMultiple informe chaque mois des centaines de milliers d'entreprises (selon similarWeb), dont 55 % des entreprises du classement Fortune 500. Les travaux de Cem ont été cités par des publications internationales de premier plan telles que Business Insider, Forbes et le Washington Post, ainsi que par des entreprises mondiales comme Deloitte et HPE, des ONG comme le Forum économique mondial et des organisations supranationales comme la Commission européenne. Vous trouverez d'autres entreprises et ressources réputées ayant fait référence à AIMultiple. Tout au long de sa carrière, Cem a exercé les fonctions de consultant, d'acheteur et d'entrepreneur dans le secteur des technologies. Il a conseillé des entreprises sur leurs décisions technologiques chez McKinsey & Company et Altman Solon pendant plus de dix ans. Il a également publié un rapport McKinsey sur la numérisation. Il a dirigé la stratégie technologique et les achats d'un opérateur télécom, sous la responsabilité directe du PDG. Il a également piloté la croissance commerciale de la société de deep tech Hypatos, qui a atteint un chiffre d'affaires annuel récurrent à sept chiffres et une valorisation à neuf chiffres en seulement deux ans. Les travaux de Cem chez Hypatos ont été présentés dans des publications technologiques de référence telles que TechCrunch et Business Insider. Cem intervient régulièrement lors de conférences internationales sur les technologies. Diplômé en génie informatique de l'université de Bogazici, il est également titulaire d'un MBA de la Columbia Business School.

Voir le profil complet

Soyez le premier à commenter

Votre adresse courriel ne sera pas publiée. Tous les champs sont obligatoires.

Nom

Adresse email

Commentaire

0/450

Publier un commentaire