Les équipes chargées des opérations de sécurité se retrouvent souvent face à un dilemme : créer des systèmes de détection hautement sensibles au risque de submerger les analystes avec des faux positifs, ou affiner la précision et potentiellement négliger de véritables menaces. Sanchit Mahajan, responsable du développement logiciel dans la division Sécurité d’Amazon, est confronté quotidiennement à ce défi. Il dirige des équipes qui développent des plateformes capables de traiter de vastes quantités de données télémétriques, avec pour objectif de détecter des menaces sophistiquées sans inonder les intervenants en cas d’incident.
Fort de plus de 15 ans d’expérience dans les domaines des paiements, du commerce électronique et de la cybersécurité, Mahajan a constaté de ses propres yeux comment la fatigue liée aux alertes s’intensifie à mesure que les organisations grandissent. Son approche innovante repose sur l’utilisation de l’IA pour automatiser la génération de signaux, corréler des milliards d’événements et transformer les renseignements bruts sur les menaces en informations exploitables. L’objectif n’est pas de remplacer le jugement humain, mais de libérer les analystes de sécurité du fardeau du tri des bruits, leur permettant ainsi de se concentrer sur les menaces significatives.
L’IA a révolutionné la manière dont les équipes de sécurité différencient les véritables menaces du bruit en accélérant le processus de triage. Les modèles avancés d’IA peuvent identifier des motifs dans les données déjà classifiées comme du bruit et prédire si de nouvelles alertes suivent des schémas similaires. Cette capacité permet soit de supprimer automatiquement les alertes, soit de les évaluer pour un examen plus approfondi, réduisant ainsi considérablement le temps de triage. De plus, l’IA peut consolider plusieurs alertes déclenchées par un même utilisateur sur différentes machines en une seule, réduisant ainsi le nombre total d’alertes à traiter.
Contrairement aux systèmes traditionnels basés sur des règles, la détection pilotée par l’IA peut identifier dynamiquement des points communs entre plusieurs sorties de détection, les rendant ainsi plus précises. Cette adaptabilité permet à l’IA de reconnaître des comportements anormaux que des règles statiques pourraient manquer, comme un utilisateur tentant de se connecter à partir de plusieurs emplacements.
La génération automatisée de signaux utilise l’IA pour identifier et corréler des signaux pouvant indiquer une intention malveillante, même s’ils ne constituent pas individuellement une attaque. Cette méthode permet aux équipes de sécurité de se concentrer sur un sous-ensemble réduit d’événements, améliorant ainsi leur capacité à détecter des menaces qui pourraient autrement passer inaperçues.
Dans un paysage de menaces en constante évolution, les modèles d’IA sont formés grâce à la recherche sur les menaces et à l’apprentissage par rétroaction. En évaluant les rapports de menaces internes et externes, l’IA peut prédire l’applicabilité de nouvelles menaces à l’écosystème d’Amazon. Les retours des alertes analysées affinent encore les modèles, leur permettant de se concentrer sur de véritables anomalies.
L’IA transforme les flux massifs de renseignements sur les menaces en informations exploitables en filtrant les données non pertinentes et en enrichissant les indicateurs pertinents avec du contexte. Ce processus permet aux analystes de sécurité de prioriser les menaces les plus pertinentes pour leur environnement. La capacité de l’IA à corréler des événements apparemment sans lien aide à découvrir des schémas d’attaque difficiles à détecter manuellement.
Bien que l’IA réduise considérablement la surcharge d’alertes, trouver un équilibre entre sensibilité et faux positifs reste un défi. Une rétroaction continue et un ajustement des systèmes de détection aident à améliorer la précision et à réduire l’épuisement des analystes. Dans des domaines comme les paiements et le commerce électronique, où la précision et le rappel sont cruciaux, l’IA aide en regroupant des alertes similaires et en fournissant un contexte enrichi pour une révision humaine.
À l’avenir, l’IA devrait jouer un rôle de plus en plus vital dans les opérations de sécurité, gérant le traitement des données et l’évaluation initiale des menaces. Cependant, le jugement humain restera indispensable pour prendre des décisions critiques, surtout à mesure que les attaquants commencent également à utiliser l’IA, créant une course aux armements où la créativité et l’intuition humaines deviennent des avantages clés.
