Ce que vos outils ignorent à 2 h 13 : Comment les chaînes d'attaque de l'IA de génération exploitent le décalage de télémétrie – Partie 2

L'IA générative crée une diaspora numérique de techniques, de technologies et de savoir-faire que tout le monde adopte, des attaquants malveillants aux cyberarmées d'États-nations entraînées à l'art de la cyberguerre. Les menaces internes se multiplient également, accélérées par la précarité de l'emploi et l'inflation galopante. Tous ces défis, et bien d'autres, reposent sur les épaules des RSSI, et il n'est pas étonnant que davantage de personnes soient confrontées à l'épuisement professionnel.

Dans la première partie , nous avons exploré comment l'IA de nouvelle génération transforme le paysage des menaces, accélérant les menaces internes et exerçant une pression sans précédent sur les équipes de cybersécurité. Les risques internes, l'utilisation de l'IA fantôme et les modèles de détection obsolètes obligent les RSSI à repenser leurs défenses.

Maintenant, dans la deuxième partie, nous nous tournons vers les solutions : comment l’IA de génération peut aider à lutter contre l’épuisement professionnel dans les centres d’opérations de sécurité (SOC), permettre une automatisation plus intelligente et guider les RSSI à travers une feuille de route de 90 jours pour sécuriser leurs entreprises contre les menaces en constante évolution.

Près d'un RSSI sur quatre envisage de démissionner, 93 % d' entre eux invoquant un stress extrême, ce qui prouve une fois de plus que l'épuisement professionnel engendre des risques opérationnels et humains de plus en plus graves. Une étude récente de Gartner établit un lien entre l'épuisement professionnel et une baisse d'efficacité des équipes, ainsi que des tâches de sécurité négligées qui deviennent souvent des vulnérabilités. Sans surprise, 90 % des RSSI identifient l'épuisement professionnel comme l'un des principaux obstacles qui empêchent leurs équipes d'être plus performantes et d'exploiter pleinement leurs compétences.

Quelle est l'ampleur du burn-out au sein des équipes de cybersécurité et de SOC ? La majorité des RSSI ( 65 % ) affirment que le burn-out constitue un obstacle majeur au maintien de l'efficacité des opérations de sécurité.

Forrester ajoute que 36 % des employés en cybersécurité sont considérés comme des « rockstars fatigués », c'est-à-dire des individus très motivés mais au bord de l'épuisement professionnel. Cela souligne l'importance cruciale d'aborder proactivement la santé mentale et la gestion de la charge de travail.

Les analystes SOC subissent une charge de travail importante, qui devient souvent ingérable lorsqu'ils doivent surveiller, analyser et agréger les informations issues de plus de 10 000 alertes par jour en moyenne. Le stress chronique et le manque de contrôle sur leur travail entraînent un fort turnover, 65 % d'entre eux envisageant de quitter leur emploi.

Le rapport 2024 d'Ivanti sur l'expérience numérique des employés (DEX) souligne l'importance de la cybersécurité. 93 % des professionnels s'accordent à dire qu'une meilleure expérience numérique des employés renforce la sécurité, mais seulement 13 % en font une priorité. Daren Goeson, vice-président principal d'Ivanti, a déclaré à VentureBeat lors d'une récente interview que « les organisations manquent souvent d'outils efficaces pour mesurer l'expérience numérique des employés, ce qui ralentit considérablement les initiatives de sécurité et de productivité ».

Les équipes SOC sont particulièrement touchées par le burn-out. Si l'IA ne peut résoudre l'intégralité du problème, elle peut contribuer à automatiser les workflows SOC et à accélérer le tri. Forrester encourage les RSSI à aller au-delà de l'automatisation des processus existants et à rationaliser les contrôles de sécurité en déployant l'IA de génération au sein des plateformes existantes. Jeff Pollard, vice-président chez Forrester, écrit : « La seule façon de gérer la volatilité à laquelle votre organisation est confrontée est de simplifier sa structure de contrôle tout en identifiant les dépenses inutiles et redondantes. L'IA de génération peut accroître la productivité. Cependant, une négociation stratégique de son prix vous permettra d'obtenir plus avec moins. »

Plus de 16 fournisseurs d'applications d'IA de nouvelle génération visent à aider les équipes SOC engagées dans une course contre la montre quotidienne, notamment pour limiter les temps d'intrusion. Le récent rapport mondial sur les menaces de CrowdStrike souligne l'importance pour les SOC d'être toujours au top, car les adversaires s'infiltrent désormais dans les 2 minutes et 7 secondes suivant l'accès initial. Leur récent lancement de Charlotte AI Detection Triage s'est avéré capable d'automatiser l'évaluation des alertes avec une précision de plus de 98 %. Cette solution réduit le tri manuel de plus de 40 heures par semaine , sans perte de contrôle ni de précision. Les SOC s'appuient de plus en plus sur des copilotes IA pour lutter contre la surcharge de signaux et les pénuries de personnel. Le Security Copilot Guide de VentureBeat (Google Sheet) fournit une matrice complète des copilotes IA de sécurité de 16 fournisseurs.

Les responsables de la cybersécurité et leurs équipes ont une influence significative sur la manière, le moment et le type d'applications et de plateformes d'IA de génération dans lesquelles leurs entreprises investissent. Phillip Shattan de Gartner écrit que « lorsqu'il s'agit de décisions liées à l'IA de génération, les responsables SRM exercent une influence significative, plus de 70 % d'entre eux déclarant que la cybersécurité a une certaine influence sur les décisions qu'ils prennent. »

Compte tenu de l'influence considérable que l'avenir des investissements dans l'IA de génération influence au sein de leur organisation, les RSSI doivent disposer d'un cadre ou d'une feuille de route solide pour planifier leurs activités. VentureBeat constate de plus en plus de feuilles de route comparables à celle présentée ci-dessous pour garantir l'intégration des initiatives d'IA de génération, de cybersécurité et de gestion des risques. Voici un guide à adapter aux besoins spécifiques de chaque entreprise :

1. Fixer l’objectif de définir la structure et le rôle d’un cadre de gouvernance de l’IA

• Définir des politiques formelles d’IA décrivant l’utilisation responsable des données, les protocoles de formation des modèles, les contrôles de confidentialité et les normes éthiques.
  • Fournisseurs à considérer : IBM AI Governance, Microsoft Purview, ServiceNow AI Governance, AWS AI Service Cards
• Si ce n’est pas déjà fait, déployez des outils de surveillance de l’IA en temps réel pour détecter les utilisations non autorisées, les comportements anormaux et les fuites de données des modèles.
  • Plateformes recommandées : Robust Intelligence, CalypsoAI, HiddenLayer, Arize AI, Credo AI, Arthur AI
• Formez les équipes SOC, de sécurité et de gestion des risques aux risques spécifiques à l’IA afin d’atténuer tout conflit sur la manière dont les cadres de gouvernance de l’IA sont conçus pour fonctionner.

2. Si ce n'est pas déjà fait, mettez en place une plateforme solide de gestion des identités et des accès (IAM)

• Continuez à développer une analyse de rentabilisation pour Zero Trust en illustrant comment l’amélioration de la protection de l’identité contribue à protéger et à augmenter les revenus.
• Déployez une solution IAM robuste pour renforcer la protection de l’identité et la sécurité des revenus.
  • Principales plateformes IAM : Okta Identity Cloud, Microsoft Entra ID, CyberArk Identity, ForgeRock, Ping Identity, SailPoint Identity Platform, Ivanti Identity Director.
• Si ce n'est pas déjà fait, effectuez immédiatement des audits complets de toutes les identités des utilisateurs, en vous concentrant particulièrement sur les comptes à accès privilégié. Activez la surveillance en temps réel de tous les comptes à accès privilégié et supprimez les comptes inutilisés des sous-traitants.
• Mettez en œuvre des politiques d’accès strictes à privilèges minimum, une authentification multifacteur (MFA) et une authentification adaptative continue basée sur des évaluations des risques contextuels pour renforcer votre cadre de confiance zéro.
  • Les principales solutions Zero-Trust incluent CrowdStrike Falcon Identity Protection, Zscaler Zero Trust Exchange, Palo Alto Networks Prisma Access, Cisco Duo Security et Cloudflare Zero Trust.
• Établissez une surveillance en temps réel et des analyses comportementales pour identifier et réduire rapidement les menaces internes.
  • Leaders de la détection des menaces internes : Proofpoint Insider Threat Management, Varonis DatAdvantage, Forcepoint Insider Threat, DTEX Systems, Microsoft Purview Insider Risk Management.

1. Remplacez les flux de travail manuels des correctifs par des systèmes de gestion des correctifs automatisés

• Votre organisation doit aller au-delà des exercices d’incendie et des cycles de correctifs basés sur la gravité pour adopter une stratégie continue et en temps réel de surveillance des vulnérabilités et de déploiement des correctifs.
• L'IA contribue à réduire les risques de failles de sécurité grâce à la gestion des correctifs. Six failles de sécurité sur dix sont liées à des vulnérabilités non corrigées. La majorité des responsables informatiques ayant répondu à une enquête du Ponemon Institute (60 %) affirment qu'une ou plusieurs failles de sécurité sont potentiellement dues à la disponibilité d'un correctif pour une vulnérabilité connue, mais non appliqué à temps.
  • Principaux fournisseurs de gestion automatisée des correctifs : Ivanti Neurons for Patch Management, Qualys Patch Management, Tanium Patch Management, CrowdStrike Falcon Spotlight, Rapid7 InsightVM.
• Implémentez des outils automatisés priorisant les correctifs en fonction de l’exploitation active, des informations sur les menaces et de la priorisation des actifs critiques pour l’entreprise.
• Établissez des processus transparents pour une réponse immédiate aux menaces émergentes, réduisant considérablement les fenêtres d’exposition.

2. Lancer une quantification complète des risques cybernétiques (CRQ)

• Si ce n’est pas déjà fait dans votre organisation, commencez à évaluer la valeur des cadres CRQ pour améliorer la manière dont les risques de cybersécurité sont mesurés et communiqués en termes d’impact financier et commercial.
  • Solutions CRQ fiables : BitSight, SecurityScorecard, Axio360, RiskLens, MetricStream, Safe Security, IBM Security Risk Quantification Services.
• Testez un CRQ en créant un tableau de bord des risques détaillé pour les dirigeants et les parties prenantes, reliant directement les investissements en cybersécurité aux résultats commerciaux stratégiques.
• Effectuer des évaluations CRQ régulières pour éclairer de manière claire et stratégique les décisions proactives en matière de dépenses de sécurité et d’allocation des ressources.

1. Consolider et intégrer les outils de sécurité

• Auditez les outils de cybersécurité existants, en éliminant les redondances et en rationalisant les capacités dans des plates-formes moins nombreuses et entièrement intégrées.
  • Plateformes intégrées complètes : Palo Alto Networks Cortex XDR, Microsoft Sentinel, CrowdStrike Falcon Platform, Splunk Security Cloud, Cisco SecureX, Trellix XDR, Arctic Wolf Security Operations Cloud.
• Vérifiez la forte interopérabilité et l’intégration fiable des outils de cybersécurité pour améliorer la détection des menaces, les temps de réponse et l’efficacité opérationnelle globale.
• Examinez et ajustez régulièrement les ensembles d’outils consolidés en fonction de l’évolution des paysages de menaces et des besoins de sécurité de l’organisation.

2. Mettre en œuvre des mesures structurées d'atténuation et d'automatisation de l'épuisement professionnel

• En commençant par le SOC, exploitez l'automatisation pilotée par l'IA pour décharger les tâches répétitives de cybersécurité, notamment le triage, l'analyse des journaux, l'analyse des vulnérabilités et le triage initial des menaces, réduisant ainsi considérablement les charges de travail manuelles.
  • Outils d'automatisation SOC recommandés : CrowdStrike Falcon Fusion, SentinelOne Singularity XDR, Microsoft Defender & Copilot, Palo Alto Networks Cortex XSOAR, Ivanti Neurons for Security Operations
• Établissez des protocoles de récupération structurés, imposant des périodes de refroidissement et des calendriers de rotation après des incidents majeurs de cybersécurité afin de réduire la fatigue des analystes.
• Définissez une cadence équilibrée et régulière de formation continue en cybersécurité, d’initiatives de bien-être mental et de pratiques institutionnalisées d’atténuation de l’épuisement professionnel pour maintenir la résilience et l’efficacité de l’équipe à long terme.
  • Fournisseurs d'automatisation et d'atténuation de l'épuisement professionnel : Tines, Torq.io, Swimlane, Chronicle Security Operations Suite (Google Cloud), LogicHub SOAR+, Palo Alto Networks Cortex XSOAR

Avec des budgets et des effectifs modestes, les RSSI et leurs équipes sont appelés à défendre un nombre de vecteurs de menaces plus important que jamais. Nombre d'entre eux expliquent à VentureBeat qu'il s'agit d'un exercice d'équilibre permanent qui exige davantage de temps, de formation et de compromis quant aux applications existantes à conserver et à supprimer, ce qui définit l'aspect de leur future infrastructure technologique. Les RSSI qui considèrent l'IA de génération comme une technologie stratégique capable d'unifier et de combler les lacunes de l'infrastructure de sécurité examinent minutieusement les nouvelles applications et les nouveaux outils avant leur mise en production.

Alors que l'IA de nouvelle génération continue d'alimenter de nouvelles techniques et expertises en matière d'IA antagoniste, les fournisseurs de cybersécurité réagissent en accélérant le développement de produits de nouvelle génération. Paradoxalement, plus la gestion des menaces par l'IA antagoniste est avancée, plus il devient crucial pour les défenseurs adoptant l'IA de rechercher et de perfectionner des conceptions d'intervention humaine, capables de s'adapter à l'évolution des menaces.

Informations quotidiennes sur les cas d'utilisation métier avec VB Daily

Si vous souhaitez impressionner votre patron, VB Daily a tout prévu. Nous vous présentons en avant-première les avancées des entreprises en matière d'IA générative, des évolutions réglementaires aux déploiements pratiques, afin que vous puissiez partager vos idées pour un retour sur investissement maximal.

Lisez notre politique de confidentialité

Merci de votre abonnement. Découvrez d'autres newsletters VB ici .

Une erreur s'est produite.