Comment l’IA a révolutionné le SOC ?
31/01/2024
Les zones de jeu préférées de l'IA dans le SOC
Tu sais bien évidemment que l’un des nombreux atouts de l’IA est sa capacité à gérer des masses de données impressionnantes, et ce, dans un temps record . Alors, oui, elle a permis de développer et d’automatiser les attaques MAIS elle a aussi amélioré de manière considérable les capacités des services de défense. Et là, tu comprends où on veut en venir jeune Padawan : l’IA a directement impacté les SOC (Security Operations Center / Centre opérationnel de sécurité).
Alors, tu te demandes où l’IA fait des étincelles dans les SOC ? C’est un peu comme demander dans quelles parties d’un parc d’attractions elle s’amuse le plus. Premièrement, il y a quelques années, l’IA et le machine learning ont commencé par jouer aux détectives. Grâce à des technologies comme l’UBA ou l’UEBA (User Behavior Analytic et User & Entity Behavior Analytic), ils ont appris à repérer les comportements bizarres dans les systèmes informatiques . Et avec l’arrivée des technologies de Large Language Models (LLM) – tu sais, des génies comme ChatGPT, Copilot, ou Google Bard – l’IA a pris un sacré coup de boost .
Elle joue désormais dans trois grands domaines :
Alors, tu te demandes où l’IA fait des étincelles dans les SOC ? C’est un peu comme demander dans quelles parties d’un parc d’attractions elle s’amuse le plus. Premièrement, il y a quelques années, l’IA et le machine learning ont commencé par jouer aux détectives. Grâce à des technologies comme l’UBA ou l’UEBA (User Behavior Analytic et User & Entity Behavior Analytic), ils ont appris à repérer les comportements bizarres dans les systèmes informatiques . Et avec l’arrivée des technologies de Large Language Models (LLM) – tu sais, des génies comme ChatGPT, Copilot, ou Google Bard – l’IA a pris un sacré coup de boost .
Elle joue désormais dans trois grands domaines :
- le Natural Language Processing (NLP – Traitement automatique du langage naturel) : l’IA est devenue bilingue ! Elle parle le langage humain et le jargon technique, facilitant la vie des analystes. Fini le temps où ils devaient apprendre des langages compliqués pour interroger les bases de données . C’est un peu comme avoir un interprète personnel pour discuter avec les machines ;
- amélioration des règles de détection : créer des règles pour repérer les méchants sans se tromper, c’est un art délicat. L’IA, dans son rôle d’assistante créative, aide à rédiger et à peaufiner ces règles. C’est un peu comme si elle fournissait une loupe super puissante pour repérer les indices ;
- traitement des incidents : l’IA analyse rapidement les alertes, donnant un score pour définir si une menace est réelle ou s’il s’agit d’un faux-positif. Elle augmente la valeur des analystes en faisant le gros du travail, les laissant se concentrer sur les vrais problèmes.
L’IA pour un SOC augmenté
En résumé, l’IA dans les SOC, c’est la star qui monte. Elle rend le travail moins monotone et plus efficace, un peu comme si tu avais un assistant génie pour t’aider dans tes tâches quotidiennes . Eh oui ! Grâce à l’automatisation, le métier d’analyste se redessine. Les pros n’ont plus à traiter des tâches chronophages et ont désormais du temps pour se concentrer sur d’autres tâches à plus forte valeur ajoutée.
Ils peuvent notamment se focaliser sur des missions qualitatives pour investiguer via un véritable travail d’enquête , mais aussi pour remédier aux éventuelles attaques. Les analystes peuvent aussi assurer une veille régulière (le hunting) pour en apprendre plus sur les attaquants : leurs méthodes, leurs cibles, leur psychologie… On assiste également à un accompagnement croissant des clients. Avec ce temps libéré, les analystes peuvent en effet analyser des logs pour détecter en amont des attaques ou des compromissions. Et en cas d’attaque, ils aident les clients à mettre en place des actions de récupération des données, de restauration et de reconfiguration des systèmes, de déploiement de mesures pour pallier de potentielles attaques.
Tu vois, le SOC s’est profondément transformé au contact de l’IA, pour le mieux . On tend vers un centre opérationnel de sécurité qui assure toujours la détection des menaces en continu mais aussi la supervision et la réaction aux attaques, et ce, avec un accompagnement accru des clients. Mais tout ça, tu le sais déjà grâce à ta formation EPSI .
Ils peuvent notamment se focaliser sur des missions qualitatives pour investiguer via un véritable travail d’enquête , mais aussi pour remédier aux éventuelles attaques. Les analystes peuvent aussi assurer une veille régulière (le hunting) pour en apprendre plus sur les attaquants : leurs méthodes, leurs cibles, leur psychologie… On assiste également à un accompagnement croissant des clients. Avec ce temps libéré, les analystes peuvent en effet analyser des logs pour détecter en amont des attaques ou des compromissions. Et en cas d’attaque, ils aident les clients à mettre en place des actions de récupération des données, de restauration et de reconfiguration des systèmes, de déploiement de mesures pour pallier de potentielles attaques.
Tu vois, le SOC s’est profondément transformé au contact de l’IA, pour le mieux . On tend vers un centre opérationnel de sécurité qui assure toujours la détection des menaces en continu mais aussi la supervision et la réaction aux attaques, et ce, avec un accompagnement accru des clients. Mais tout ça, tu le sais déjà grâce à ta formation EPSI .
