La recherche contextuelle apporte clarté, rapidité et visibilité aux équipes de sécurité défensive
Share on TwitterPartager sur Twitter
Share on LinkedInPartager sur LinkedIn
Share on FacebookPartager sur Facebook
Share by EmailPartage par e-mail
Print this pageImprimer
Dans le domaine actuel de la défense, les informations abondent, mais il est souvent difficile d'en tirer des enseignements. Alors que les données affluent d'innombrables systèmes connectés, périphériques et points de contact numériques, les équipes de sécurité passent encore trop de temps à assembler des informations fragmentées, à rechercher des signaux et à sillonner les silos pour répondre à des questions élémentaires.
Dans le domaine de la cybersécurité défensive, chaque minute passée à fouiller dans des logs déconnectés peut être mise à profit par des personnes malveillantes. Chaque corrélation manquée ou réponse tardive sape la confiance des dirigeants, augmente les risques et érode l'avantage opérationnel.
Les équipes chargées des opérations de sécurité sont aujourd'hui tenues de surveiller des volumes de données en croissance exponentielle sur des systèmes fragmentés, souvent sans disposer du temps, du contexte ou du personnel nécessaires pour convertir ces informations en actions. Alors que les menaces se perfectionnent et évoluent à la vitesse des machines, les processus de recherche et d'analyse traditionnels se retrouvent complètement dépassés. Les enquêtes prennent trop de temps, les alertes ne sont pas triées, et les décisions sont prises sur la base de données incomplètes, ce qui met en péril aussi bien les missions que les équipes.
Des processus manuels à la visibilité instantanée
Pour les équipes de sécurité opérant dans le domaine de la défense, maintenir le statu quo est totalement exclu. Les alertes arrivent par milliers, les outils conçus pour aider les analystes génèrent souvent plus de complexité que de clarté, et la corrélation des événements entre les réseaux, les appareils, les domaines et les limites de classification reste chronophage et fragile.
Ce n'est pas seulement le volume des données qui pose problème, c'est aussi leur fragmentation. La plupart des enquêtes exigent des analystes qu'ils jonglent entre différents systèmes, rédigent des requêtes complexes et reconstituent manuellement les chronologies à partir de logs, d'alertes et de données télémétriques. Non seulement ce processus est inefficace, mais pire encore, les informations clés arrivent trop tard pour influencer les résultats.
Le ministère de la Défense britannique (MOD) et ses partenaires en sont conscients. Et comme les menaces évoluent à la vitesse des machines, l'impératif n'a jamais été aussi clair : les décideurs ont besoin de réduire le délai entre détection et action. Cela implique de repenser la manière dont on accède aux renseignements, et pas seulement les données qui sont collectées.
Un renseignement qui parle la langue de la mission
Les nouvelles opérations de sécurité ne reposent pas sur la multiplicité des tableaux de bord, mais plutôt sur le renseignement contextuel (ou intelligence contextuelle), c'est-à-dire la capacité des systèmes à fournir des réponses, et non de simples résultats de recherche. Cette transformation est impulsée par des technologies telles que la génération augmentée de récupération (RAG) et la recherche en langage naturel.
Au lieu d'obliger les analystes, voire le personnel non technique, à rassembler des signaux provenant de plusieurs plateformes, la RAG permet aux systèmes de récupérer les données pertinentes directement à partir de référentiels de confiance. On obtient alors un renseignement en temps réel, sans hallucinations ni logique de boîte noire. Cela réduit la baisse de la vigilance et permet aux équipes de se concentrer sur les menaces vérifiées, et non sur les faux positifs.
Vous souhaitez connaître le point de départ d'une violation ? Savoir quels systèmes ont été affectés ? S'il s'agit d'une activité anormale ou routinière ? Le système ne se contente pas de récupérer les logs, il synthétise l'historique pour les équipes.
Ces capacités ne sont pas hypothétiques : elles sont déjà utilisées et aident des équipes réelles au sein du MOD, dans des environnements réels, à trier plus efficacement, à réduire la baisse de la vigilance et à faire passer le rôle d'analyste d'enquêteur à facilitateur de décision.
L'IA en tant que facilitateur, et non substitut
Dans les milieux de la défense, on craint souvent que l'IA ne remplace l'expertise humaine sur laquelle repose la réussite des missions. Cependant, la véritable force de l'IA dans le domaine de la sécurité ne réside pas dans la substitution, mais dans l'amplification.
L'IA contextuelle ne remplace pas le jugement humain, elle le renforce. Elle allège la charge du triage manuel, met en évidence les liens cachés entre les événements et signale les menaces émergentes plus rapidement que les processus manuels. Il ne s'agit pas de faire davantage confiance à la machine qu'à l'humain, mais de donner à ce dernier plus de temps pour réfléchir, réagir et diriger.
Chatbots et langage naturel : un renseignement accessible
Les capacités de langage naturel permettent au personnel de défense d'interagir avec les données de sécurité d'une manière entièrement nouvelle. Il n'est plus nécessaire de maîtriser une syntaxe complexe pour effectuer des requêtes ; le personnel peut enquêter sur les menaces à l'aide de chatbots et d'un langage simple. Des requêtes telles que « Afficher toutes les tentatives d'authentification échouées provenant d'adresses IP externes au cours des dernières 24 heures » donnent des résultats immédiats et pertinents. Le ministère de la Défense britannique explore déjà le potentiel des chatbots1, et le Defence Science and Technology Laboratory met actuellement au point des assistants numériques destinés aux utilisateurs militaires tactiques sur le terrain. Ceux-ci permettent aux soldats d'avoir des conversations textuelles avec des systèmes de données afin de trouver les informations et les réponses dont ils ont besoin pour mener à bien leur mission.
Les chatbots alimentés par l'IA, tels qu'Elastic AI Assistant for Security, guident les analystes tout au long de leurs enquêtes en traduisant les questions de sécurité en requêtes appropriées, en fournissant le contexte des alertes et en suggérant les étapes suivantes sur la base des bonnes pratiques. Cela rend les utilisateurs autorisés plus efficaces et élargit la participation à la prise de décision en matière de sécurité. Les commandants sur le terrain et le personnel non technique peuvent interroger directement les systèmes de sécurité en cas de besoin, sans avoir recours à des intermédiaires hautement spécialisés. Les barrières techniques qui isolaient auparavant les données de sécurité au sein d'équipes spécialisées sont alors nettement réduites. Les analystes SOC de niveau 1 travaillent plus rapidement, avec peu de formation.
La prise de décision peut être distribuée grâce aux grands modèles de langage (LLM), qui fournissent une compréhension contextuelle, accélèrent les enquêtes et réduisent les temps de réponse. Le renseignement de sécurité peut être mis en place partout où il est nécessaire.
Un renseignement de sécurité éprouvé sur le terrain, au-delà des bureaux
Les capacités de sécurité d'Elastic ont été testées de manière rigoureuse lors de l'exercice Locked Shields de l'OTAN, l'une des plus grandes simulations de cybersécurité en conditions réelles au monde. Au cours de cet événement, des équipes bleues (c'est-à-dire des unités de cybersécurité défensive) ont déployé une architecture de sécurité complète intégrant plusieurs sources de données : logs d'événements du système d'exploitation, logs PowerShell, données de pare-feu/IPS/IDS, flux de renseignements sur les menaces et capacités de détection et de réponse aux points de terminaison. L'environnement reproduisait des opérations de défense réelles, Elastic Common Schema (ECS) normalisant les sources de données disparates afin de rationaliser les workflows de détection. Les équipes de sécurité ont bénéficié d'une visibilité unifiée sur l'ensemble de leur parc numérique grâce à des tableaux de bord préconfigurés qui simplifiaient les tâches d'analyse complexes.
Les capacités de protection comprenaient la prévention contre les malwares et les ransomwares, l'analyse des comportements malveillants, la protection de la mémoire contre les menaces et le renforcement des identifiants. Toutes les règles de détection étaient associées au cadre MITRE ATT&CK2, ce qui permettait aux équipes de comprendre les tactiques et les techniques des adversaires tout en mesurant la couverture défensive. L'exercice a également testé la résilience défensive. Les équipes rouges, qui simulaient des acteurs de la menace sophistiqués dotés de capacités persistantes avancées, ont activement tenté de désactiver les outils de sécurité. Des fonctionnalités telles que la protection contre l'altération des agents ont permis d'assurer la continuité de la surveillance même durant la phase d'attaque directe, une capacité essentielle dans les environnements visés.
De la détection à la décision : plus rapide, plus intelligent, ensemble
En fin de compte, une défense moderne exige un renseignement moderne. Il ne s'agit pas seulement d'une meilleure visibilité, mais aussi de meilleurs résultats. Il ne s'agit pas d'avoir plus de données, mais d'obtenir les bonnes réponses au bon moment.
La recherche basée sur l'IA n'est pas seulement un progrès technologique, c'est un changement de posture. Elle génère un monde dans lequel les analystes passent moins de temps à jongler entre les outils et plus de temps à prendre des décisions stratégiques, où les commandants peuvent agir en toute confiance, sachant que les informations dont ils disposent sont opportunes, pertinentes et dignes de confiance.
La défense a désormais accès à des capacités de renseignement de sécurité au sein même de ses murs. Il n'est plus nécessaire de choisir entre la puissance de l'IA et la souveraineté des données. En intégrant des modèles linguistiques contextuels à l'intérieur des limites de sécurité, les équipes peuvent transformer des volumes de données considérables en avantages décisionnels, et ce, dans leur propre langue.
Vous souhaitez en savoir plus ? Découvrez comment la recherche contextuelle, la détection des menaces basée sur l'IA et le contrôle souverain des données transforment la prise de décision des responsables de la sécurité dans le secteur de la défense. Participez à nos conversations dans le cadre de la série de webinaires Avantage de la mission : conversations stratégiques avec les dirigeants de la Défense.
Consultez les autres articles de cette série consacrée à la cybersécurité défensive :
- Partie 1 : Comment le MOD peut obtenir une supériorité décisionnelle face aux cybermenaces
- Partie 2 : Comment le MOD peut réduire les coûts tout en augmentant la protection grâce au maillage de données
- Partie 3 : Briser les silos dans la cybersécurité : favoriser la collaboration en matière de données de défense
- Partie 4 : Mettre en œuvre la stratégie de gestion des données de défense du MOD grâce à un accès intelligent aux données
- Partie 5 : Optimiser le temps des analystes : des enquêtes plus intelligentes grâce à l'IA dans la défense
- Partie 6 : Transformer l'analyse défensive grâce à l'IA générative
Pour aller plus loin :
- Livre blanc : L'avenir de la cybersécurité dans le domaine de la défense : plus intelligente, plus rapide, plus résiliente
- Série de webinaires : Avantage de la mission : conversations stratégiques avec les dirigeants de la défense
- Découvrez Search AI Platform
- Ancrez vos LLM via la RAG avec Elasticsearch
Sources :1. UK Defence Journal, « Ministry of Defence using AI to improve productivity », 2024. 2. TechTarget, « What is the Mitre ATT&CK Framework? », 2024.
La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.
Dans cet article, nous sommes susceptibles d'avoir utilisé ou mentionné des outils d'IA générative tiers appartenant à leurs propriétaires respectifs qui en assurent aussi le fonctionnement. Elastic n'a aucun contrôle sur les outils tiers et n'est en aucun cas responsable de leur contenu, de leur fonctionnement, de leur utilisation, ni de toute perte ou de tout dommage susceptible de survenir à cause de l'utilisation de tels outils. Lorsque vous utilisez des outils d'IA avec des informations personnelles, sensibles ou confidentielles, veuillez faire preuve de prudence. Toute donnée que vous saisissez dans ces solutions peut être utilisée pour l'entraînement de l'IA ou à d'autres fins. Vous n'avez aucune garantie que la sécurisation ou la confidentialité des informations renseignées sera assurée. Vous devriez vous familiariser avec les pratiques en matière de protection des données personnelles et les conditions d'utilisation de tout outil d'intelligence artificielle générative avant de l'utiliser.
Elastic, Elasticsearch et les marques associées sont des marques commerciales, des logos ou des marques déposées d'Elasticsearch N.V. aux États-Unis et dans d'autres pays. Tous les autres noms de produits et d'entreprises sont des marques commerciales, des logos ou des marques déposées appartenant à leurs propriétaires respectifs.
Partager
- Share on Twitter
Partager sur Twitter
- Share on LinkedIn
Partager sur LinkedIn
- Share on Facebook
Partager sur Facebook
- Share by Email
Partage par e-mail
- Print this page
Imprimer
Comment l'IA et la recherche contextuelle renforcent la cybersécurité défensive