Protéger les infrastructures critiques à l'ère de l'IA : tout commence par les données

Les infrastructures nationales critiques (INC) désignent les systèmes et les actifs indispensables au bon fonctionnement de notre société. De nombreux organismes et fonctions clés sont centralisés au sein du secteur public pour des raisons de gestion et d'efficacité, et reposent sur la confiance, la gouvernance et la résilience.

Les infrastructures critiques constituent le pilier de la société moderne. Les gouvernements définissent les infrastructures critiques comme des systèmes dont la perturbation aurait des conséquences graves pour la sécurité nationale, la stabilité économique, la santé publique ou la sécurité publique.

Parmi ces systèmes :

• Les réseaux électriques alimentent les foyers et les hôpitaux.

• Les réseaux de transport favorisent le commerce et la mobilité.

• Les systèmes financiers soutiennent l'activité économique.

• Les systèmes de télécommunications permettent aux services d'urgence, aux entreprises et aux citoyens de rester connectés.

• Les infrastructures de santé protègent la santé publique.

Ces secteurs exploitent tous des systèmes complexes qui génèrent des données critiques, et ils partagent le même besoin de sécuriser les informations sensibles grâce à une visibilité et une protection unifiées des données structurées et non structurées. S'ils ne fonctionnent pas de manière optimale, les opérations sont interrompues, ce qui entraîne des pertes de chiffre d'affaires pour les entreprises et prive les habitants des services dont ils dépendent. 

Les perturbations touchant les infrastructures critiques ne se limitent pas à des revers financiers ; elles peuvent menacer le bon fonctionnement des entreprises, leur réputation, les données sensibles des citoyens, voire la sécurité publique. Au cours des dernières années, les incidents survenus dans les infrastructures critiques à travers le monde ont mis en évidence les effets perturbateurs des failles de sécurité. Au cœur de ces incidents : la compromission des données.

La protection des infrastructures critiques constitue une priorité pour les gouvernements et les organisations du secteur privé dans toutes les régions. Face à la multiplication des cybermenaces rapides et pilotées par l'IA, les infrastructures critiques doivent sécuriser leurs données et leurs services, ce qui nécessite une visibilité opérationnelle et des capacités de cybersécurité résilientes, capables de s'adapter à l'évolution du contexte actuel.

Les investissements dans les infrastructures critiques sont souvent considérés comme une assurance : leur valeur reste théorique tant qu'aucun problème ne survient. Cependant, même si les mesures de sécurité peuvent s'avérer coûteuses, il ne faut pas sous-estimer leur importance. Les INC appliquent une stratégie d'investissement unique qui vise à optimiser la rentabilité, laquelle doit être mise en balance avec le coût d'une éventuelle faille de sécurité, ainsi qu'avec les investissements continus nécessaires en matière de technologie, de formation et de personnel.

En définitive, alors que les organisations poursuivent leur transformation numérique, la sécurité ne peut être négligée ; elle doit être intégrée à tous les niveaux opérationnels. Dans le même temps, les organismes du secteur public et les infrastructures critiques subissent une pression croissante pour en faire davantage avec des budgets limités. Cela exige de privilégier l'efficacité grâce à la consolidation, à un stockage de données scalable et économique, ainsi qu'à des opérations de sécurité axées sur les données qui réduisent la complexité tout en améliorant les résultats en matière de sécurité.

Dans certains organismes du secteur public, la mise en place et la gestion en interne de centres des opérations de sécurité (SOC) représentent une contrainte financière, notamment parce que cela nécessite le recrutement de personnel spécialisé. À ce titre, le SOC as a Service (SOCaaS), spécialement adapté aux cas d'utilisation des administrations publiques, est une option à envisager.

Pour tirer pleinement parti des capacités de sécurité offertes par l'IA, une base solide de gestion des données est essentielle. Une approche de maillage de données décentralise la propriété des données tout en maintenant des normes de gouvernance et de sécurité partagées. Au lieu de s'appuyer sur une plateforme de données centralisée unique, les organisations peuvent regrouper les données en "produits" spécifiques à un domaine, détenus et gérés par les équipes les plus proches des systèmes qui les génèrent. Pour les opérateurs d'infrastructures critiques, cela peut améliorer à la fois la sécurité et l'efficacité opérationnelle. Une approche de maillage de données permet également la consolidation des outils, ce qui réduit considérablement la prolifération technologique, les vulnérabilités et le coût de maintenance de multiples outils de sécurité. 

Concevoir des systèmes en tenant compte de la résilience aide également les opérateurs d'infrastructures à s'adapter à l'évolution des exigences réglementaires et aux menaces émergentes sans perturber les services essentiels.

Une architecture Zero Trust élimine la confiance implicite. Chaque utilisateur, appareil et application doit vérifier continuellement son identité et son autorisation avant d'accéder aux systèmes ou aux données. Souvent, les autorisations sont limitées au minimum requis pour effectuer une tâche. Surtout, l'accès n'est accordé que conformément à des politiques strictes qui garantissent que les systèmes sont toujours sécurisés et mis à jour dans un environnement de menaces en constante évolution.

Pour les opérateurs d'infrastructures critiques, le modèle Zero Trust offre plusieurs avantages :

• Visibilité améliorée : en unifiant les données sur l'ensemble des piliers du Zero Trust et en appliquant une surveillance continue, les organisations obtiennent une vision globale des utilisateurs, des appareils, des environnements IT, OT et IoT, contribuant ainsi à mettre en lumière les comportements inhabituels et à accélérer les investigations.

• Surface d'attaque réduite : des contrôles stricts des identités et des accès limitent les points d'entrée non autorisés.

• Atténuation des dommages : la microsegmentation limite les brèches à des zones plus petites, minimisant les dommages lorsque des attaques se produisent et réduisant le coût de la récupération.

En vérifiant chaque interaction plutôt que de faire confiance par défaut aux réseaux internes, le modèle Zero Trust aide à protéger les systèmes d'infrastructure complexes contre les cybercriminels externes et les menaces internes. Une approche unifiée des données, telle qu'un maillage de données, renforce ce framework de sécurité en reliant les données entre les piliers de sécurité et en permettant une visibilité globale sur l'ensemble de l'environnement.

Même les systèmes de défense les plus sophistiqués ne peuvent pas stopper toutes les menaces. Les cybercriminels peuvent contourner les outils de détection automatisés, exploiter des vulnérabilités inconnues ou se dissimuler au sein d'activités système légitimes. C'est pourquoi la traque des menaces s'avère indispensable.

La traque des menaces est une stratégie proactive par laquelle les analystes recherchent des cybermenaces qui auraient pu échapper aux défenses de sécurité traditionnelles. L'objectif est d'anticiper, d'identifier et de neutraliser les menaces avant qu'elles ne causent du tort. En recherchant en permanence des signes d'intrusion, les organisations d'infrastructures critiques peuvent détecter plus tôt les menaces sophistiquées et réduire la probabilité de perturbations à grande échelle.

Cependant, à mesure que les environnements d'infrastructure gagnent en complexité, la surveillance et les opérations manuelles ne suffisent plus à elles seules à faire face aux menaces actuelles. Les équipes de sécurité sont confrontées à un volume considérable d'alertes, de logs et de données télémétriques, ce qui engendre un problème fondamental lié aux données : des informations fragmentées qui limitent la visibilité et la corrélation, ralentissent les temps de réponse et intensifient la fatigue des analystes.

L'automatisation et le machine learning sont des outils essentiels pour améliorer la détection et la réponse. Les analyses pilotées par l'IA peuvent traiter d'énormes ensembles de données en temps réel, en identifiant des schémas et des anomalies qui pourraient échapper aux analystes humains.

L'automatisation de la sécurité contribue également à optimiser la réponse aux incidents. Des actions automatisées, telles que l'isolation des appareils compromis, le blocage du trafic réseau suspect ou la révocation des identifiants permettent de contenir les menaces en quelques secondes, limitant ainsi la propagation des attaques au sein des systèmes d'infrastructure. Les équipes de sécurité peuvent alors se concentrer sur des tâches à plus forte valeur comme l'investigation d'incidents complexes, l'amélioration des défenses et le renforcement des stratégies de résilience.

Dans les opérations de sécurité modernes, cette capacité évolue davantage vers un modèle agentique, où des agents autonomes gèrent l'ensemble du cycle de vie, de l'ingestion des données à la réponse, tandis que les analystes s'occupent de l'évaluation, de la vérification et de l'approbation. Cela permet une détection plus rapide et mieux contextualisée, fondée sur des données opérationnelles fiables plutôt que sur des alertes isolées.

Avec Elastic Security, les organisations en charge d'infrastructures critiques peuvent moderniser leurs mesures de sécurité de manière globale. La plateforme d'opérations de sécurité agentique d'Elastic prend en charge l'ensemble du cycle de vie, de l'ingestion des données à la réponse, tandis que les analystes se chargent de l'évaluation, de la vérification et de la validation. Les infrastructures critiques peuvent ainsi s'affranchir des processus de sécurité manuels et chronophages générateurs de risques, et adopter des opérations basées sur l'IA, conçues pour s'adapter à l'évolution rapide des menaces pilotées par l'IA.

Dans le cadre de cette plateforme, Elastic fournit des outils de sécurité basés sur l'IA visant à renforcer la résilience des infrastructures critiques, notamment :

• Ingénierie du contexte : structure et enrichit les signaux sur lesquels l'IA raisonne afin que chaque décision automatisée soit ancrée dans la réalité opérationnelle de l'environnement qu'elle protège.

• Agent Builder et skills agentiques : une surface de conception et une bibliothèque de fonctionnalités modulaires pour composer des workflows autonomes sur mesure qui évoluent au gré des changements du contexte des menaces.

• Elastic Workflows  : un moteur d'automatisation natif qui orchestre les opérations de sécurité de bout en bout, de la détection et de l'investigation à la réponse, éliminant les transferts manuels qui ralentissent la réponse lors d'incidents sur des services essentiels.

• Elastic AI Agent  : un opérateur de sécurité autonome qui exécute des investigations en plusieurs étapes et des actions de réponse pour le compte du SOC, assurant ainsi une couverture continue même en cas de pénurie d'analystes ou d'attaques soutenues.

• Détection des attaques pilotées par l'IA : établit automatiquement des corrélations entre les alertes concernant les entités, les comportements et les vecteurs d'attaque afin d'indiquer aux analystes où porter leur attention en priorité et leur permettre de concentrer leurs ressources limitées sur les menaces les plus importantes.

• Elastic AI Assistant : un compagnon interactif pour les analystes qui s'appuie sur le contexte du SOC en temps réel pour répondre aux questions d'investigation et suggérer des mesures correctives, soutenant les décisions des superviseurs humains qui protègent les infrastructures critiques.

De plus, Elastic prend en charge les grands modèles de langage indépendants du modèle (LLM), compatibles avec tous les déploiements, y compris dans les environnements sur site isolés du réseau. Les organisations peuvent ainsi déployer leurs solutions de manière flexible sur différentes régions, clouds ou infrastructures afin de répondre aux exigences de souveraineté et de résidence des données, sans dépendance vis-à-vis d'un fournisseur.

Avec Elastic, la surveillance continue de tous les types de données, quel que soit leur emplacement ou leur format, permet de détecter plus tôt les anomalies et d'y réagir plus rapidement. Nos capacités en matière d'IA sont conçues pour être accessibles au-delà des équipes spécialisées, ce qui réduit la complexité et le temps de formation tout en améliorant l'utilisabilité dans l'ensemble de l'organisation.

La leçon à tirer des infrastructures critiques à l'ère de l'IA est claire : dans les systèmes fondés sur la confiance, les infrastructures doivent fonctionner de manière continue et sécurisée. Se préparer dès aujourd'hui aux perturbations tout en investissant dans des systèmes résilients pour demain est le seul moyen de garantir la fiabilité des services essentiels dont dépendent les citoyens, même dans un environnement numérique de plus en plus incertain. Cela exige une vision unifiée de toutes les données et une application globale des capacités d'IA à l'ensemble de ces données afin de permettre des décisions plus rapides et mieux documentées.

Découvrez comment Elastic peut vous aider à sécuriser vos systèmes d'infrastructure critiques.