Optimiser le temps des analystes : des enquêtes plus intelligentes grâce à l'IA dans la défense
Comment le MOD peut réduire la fatigue liée aux enquêtes et améliorer l’efficacité opérationnelle
Share on TwitterPartager sur Twitter
Share on LinkedInPartager sur LinkedIn
Share on FacebookPartager sur Facebook
Share by EmailPartage par e-mail
Print this pageImprimer
Les analystes Security du ministère britannique de la Défense (MOD) — et partout ailleurs — sont confrontés à un défi de taille : ils peuvent recevoir des milliers d’alertes par jour, et distinguer les menaces réelles des faux positifs en temps opportun est devenu presque impossible sans intervention technologique. Le coût humain est important — plus de 70 % des analystes SOC (tous secteurs confondus)1 rapportent un épuisement professionnel, alors même que le MOD a constaté une augmentation de 400 %2 des données au cours des cinq dernières années. Les organisations réagissent souvent en ajoutant plus d’outils, de personnel et de coûts (inutiles) plutôt que de s’attaquer aux inefficacités fondamentales.
Atteindre les objectifs de productivité du ministère de la Défense en matière d'IA
La stratégie britannique de défense en intelligence artificielle (2022)3 reconnaît ce défi, en affirmant que « dans un environnement où les données sont omniprésentes, il est de plus en plus important que les analystes du renseignement puissent automatiser la collecte et l'analyse de vastes ensembles de données ». Le MOD reconnaît également le potentiel de l'IA pour améliorer la productivité et réduire la charge de travail des analystes de sécurité,4 avec des plans pour créer un portefeuille de productivité afin d'identifier et de suivre les utilisations potentielles des technologies émergentes, comme l'IA :
Automatise et accélère les opérations commerciales de routine et le travail sur les politiques d'entreprise
Accélère la vitesse de la prise de décision
Optimise la logistique
Optimise la disponibilité des capacités militaires
L’agilité et la scalabilité d’Elastic permettent de servir la stratégie du ministère de la Défense, non pas comme un simple outil supplémentaire qui ajoute au bruit et aux complexités, mais comme un multiplicateur de force qui change la façon dont les analystes travaillent. En intégrant l’IA directement dans le workflow, des outils tels que AI Assistant et Attack Discovery traitent plusieurs flux de données simultanément tout en distillant des centaines d’alertes en informations exploitables. Ils peuvent améliorer les capacités des analystes de premier niveau et transformer des heures d’investigation fastidieuse et de tâches répétitives en minutes d’analyse et d’action ciblées et à forte valeur ajoutée.
Voir l'image complète, immédiatement
Le ministère de la Défense cherche à automatiser les opérations de routine tout en améliorant la rapidité de prise de décision dans l'ensemble de ses opérations de sécurité. En pratique, cela signifie trouver des moyens de séparer rapidement les menaces réelles du bruit de fond qui consomme un temps précieux des analystes.
Cet objectif peut être atteint grâce à des systèmes alimentés par l'IA qui relient des alertes apparemment sans rapport pour en faire des récits d'attaques complets. En analysant simultanément des centaines d'alertes et en les évaluant en fonction de la criticité des actifs, des scores de risque et des modèles de comportement, les équipes de sécurité peuvent identifier les attaques les plus critiques nécessitant une attention immédiate. Lorsqu'un adversaire tente d'établir une persistance sur plusieurs systèmes, des outils comme Attack Discovery peuvent reconnaître le schéma et le présenter comme un récit d'attaque cohérent.
Les interfaces en langage naturel complètent cette capacité en permettant aux analystes d’approfondir leurs recherches sans obstacles techniques. Les analystes peuvent rapidement poser des questions de suivi, telles que « Montrez-moi toutes les activités similaires sur notre réseau au cours de la semaine écoulée », et recevoir des informations contextuelles qui nécessiteraient normalement une construction de requête complexe. L’Assistant IA représente une approche pour permettre ce processus d’enquête plus intuitif.
Les équipes Elastic Security peuvent identifier, comprendre et agir en quelques minutes plutôt qu’en quelques heures, récupérant ainsi jusqu’à 74 % des heures des employés à temps plein (ETP) précédemment consacrées aux tâches de routine, soutenant ainsi directement l’accent mis par la Stratégie d’IA de la Défense sur la rapidité et l’efficacité en tant que facteurs déterminants dans les conflits futurs.
Simplification des opérations de sécurité
Ce modèle de données unifié rassemble la télémétrie des points de terminaison, du réseau et du cloud dans une seule vue de données consultable. Les analystes peuvent rapidement passer des alertes aux enquêtes détaillées sans changer de contexte. En éliminant le besoin d'outils distincts et leurs coûts de licence associés, les coûts totaux des outils de sécurité peuvent être réduits d'environ 25 % tout en améliorant les capacités et en réduisant la complexité. Les guides d'enquête et les playbooks préconstruits standardisent les procédures de réponse, tandis que les règles de détection basées sur le ML identifient les menaces qui pourraient autrement passer inaperçues.
Pour la remédiation, les équipes de sécurité peuvent exécuter des actions simultanément sur des points de terminaison distribués — isoler les machines compromises, arrêter les processus malveillants ou déployer des correctifs sans quitter la plateforme. Cette automatisation du workflow de bout en bout transforme ce qui était autrefois un processus de plusieurs heures et de plusieurs outils en une opération rationalisée.
Construire une base Zero Trust
Le ministère de la Défense fait face à une échéance de 2026 pour la mise en œuvre de l’architecture Zero Trust — pas une tâche simple. Une approche pratique de ce défi se concentre sur l’intégration des données plutôt que sur l’ajout d’outils de sécurité supplémentaires. La collecte des journaux d’authentification, du trafic réseau et de la télémétrie des applications en un seul endroit crée une visibilité à travers des domaines traditionnellement distincts. Ceci est crucial pour Zero Trust. Lorsqu’un utilisateur accède à des données sensibles, le système doit vérifier non seulement son identité, mais aussi l’état de son appareil, son chemin d’accès au réseau et même l’heure et le lieu d’accès. Sans données unifiées, ces vérifications deviennent fastidieuses, voire impossibles, et il est possible que les menaces ne soient pas détectées ou restent bloquées dans des systèmes cloisonnés.
Une fondation de données concrétise l’implémentation du Zero Trust au lieu de la laisser au stade théorique, ce qui garantit que le ministère de la Défense atteigne sa cible de 2026.
Découvrez comment les dirigeants de la défense permettent une collaboration sécurisée et en temps réel entre les domaines grâce à l'IA et à la visibilité unifiée des données. Regardez notre série de webinaires.
Explorez d'autres ressources :
Quiz sur l'épuisement professionnel des analystes en cybersécurité
L'élément manquant de votre stratégie Zero Trust : une couche de données unifiée
Sources :
Tines, « Voice of the SOC Analyst » 2021.
Intersec, « MOD Fights Back », 2024.
Ministère de la Défense, « Defence Artificial Intelligence Strategy », 2022.
Civil Service World, « MoD to investigate potential for AI to improve productivity », 2024.
La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.
Dans cet article, nous sommes susceptibles d'avoir utilisé ou mentionné des outils d'IA générative tiers appartenant à leurs propriétaires respectifs qui en assurent aussi le fonctionnement. Elastic n'a aucun contrôle sur les outils tiers et n'est en aucun cas responsable de leur contenu, de leur fonctionnement, de leur utilisation, ni de toute perte ou de tout dommage susceptible de survenir à cause de l'utilisation de tels outils. Lorsque vous utilisez des outils d'IA avec des informations personnelles, sensibles ou confidentielles, veuillez faire preuve de prudence. Toute donnée que vous saisissez dans ces solutions peut être utilisée pour l'entraînement de l'IA ou à d'autres fins. Vous n'avez aucune garantie que la sécurisation ou la confidentialité des informations renseignées sera assurée. Vous devriez vous familiariser avec les pratiques en matière de protection des données personnelles et les conditions d'utilisation de tout outil d'intelligence artificielle générative avant de l'utiliser.
Elastic, Elasticsearch et les marques associées sont des marques commerciales, des logos ou des marques déposées d'Elasticsearch N.V. aux États-Unis et dans d'autres pays. Tous les autres noms de produits et d'entreprises sont des marques commerciales, des logos ou des marques déposées appartenant à leurs propriétaires respectifs.
Partager
- Share on Twitter
Partager sur Twitter
- Share on LinkedIn
Partager sur LinkedIn
- Share on Facebook
Partager sur Facebook
- Share by Email
Partage par e-mail
- Print this page
Imprimer