Le travailleur augmenté par l'intelligence artificielle devient déjà une réalité dans la cybersécurité. Au sein des cinq centres opérationnels de cybersécurité (ou « SOC ») de Nomios, chargés d'alerter et de conseiller les entreprises clientes face aux cyberattaques, les analystes profitent depuis fin 2023 de l'aide d'un nouvel assistant virtuel dopé à l'IA. Conçu par la startup française Qevlar et directement intégré à l'arsenal des cyberdéfenseurs, il permet d'analyser cinq à dix fois plus vite les alertes de sécurité remontées par les logiciels de détection. C'est ensuite aux experts de trancher quelles alertes correspondent réellement à des cyberattaques, puis d'émettre leurs recommandations aux clients victimes pour contrer l'incident.
Sur le papier, c'est un coup double pour Nomios. Non seulement les analystes gagnent en réactivité dans la réponse aux cyberattaques, dans un contexte où chaque minute compte, mais en plus, leur confort de travail s'améliore.
« Travailler dans un SOC signifie travailler constamment sur des incidents de cybersécurité, ce qui implique beaucoup de stress, notamment lié à la pression d'agir rapidement. Alors toute minute gagnée est un véritable plus afin que les analystes gagnent en sérénité », élabore Luis Delabarre, directeur des SOC Nomios.
Prémâcher l'analyse des cybermenaces
« Le but de cette IA, c'est d'augmenter l'analyste, en le laissant se concentrer sur la partie noble du travail », résume le dirigeant. Les tâches nobles, pour un analyste SOC, consistent à écrire le diagnostic et à établir des recommandations pour les clients afin qu'ils réagissent correctement à la cyberattaque.
Par exemple, ils peuvent conseiller de désactiver le compte d'un utilisateur ou d'isoler un poste de travail du reste du réseau. La partie plus ingrate du travail - l'analyse de chaque alerte remontée par les outils de cybersécurité - se retrouve, quant à elle, en grande partie prise en charge par l'IA. Cette dernière promet des gains de temps inédits.
« Parfois, l'IA réduit le travail d'analyse de cinq à une minute. Mais dans les cas les plus complexes, elle peut faire en trois minutes un travail qui aurait pris trente minutes à faire à la main », détaille Luis Delabarre.
Pour autant, n'imaginez pas que la technologie puisse remplacer le travail des experts humains. « Même si certaines tâches peuvent grandement profiter de mécanismes d'automatisation, c'est un travail où l'humain reste important. Car lors d'un incident, les clients veulent des réponses détaillées et humaines, données par un vrai interlocuteur qu'ils connaissent », affirme le spécialiste.
L'humain, maître de l'intelligence artificielle
Concrètement, l'IA de Qevlar analyse chaque alerte. Elle indique ensuite la probabilité qu'elle corresponde à une véritable cyberattaque et non à un faux positif, et donne les clés de son raisonnement. Libre aux analystes de prendre en compte ou non ces informations, qui sont directement intégrées au sein de leur logiciel principal, connu sous l'acronyme Soar (pour « security orchestration, automation and response »).
Cet outil permet de récupérer et manipuler les données remontées par tout le florilège de logiciels de cybersécurité installés sur les systèmes informatiques des entreprises. Il offre ainsi une vue d'ensemble sur ce qu'il s'y passe, très utile lors de l'analyse d'une cyberattaque. La nouvelle fonctionnalité d'IA n'est donc qu'une brique de plus dans ce logiciel complexe de pilotage, et non un outil à part. « Nos analystes ont rapidement adopté cette IA, car il n'y a pas eu de transformation de l'entreprise, nous avons juste ajouté une fonctionnalité de plus », se félicite Luis Delabarre.
Bien que prévue pour un usage professionnel, le risque de raté de l'IA n'est jamais nul. C'est la raison pour laquelle elle opère toujours sous contrôle de l'humain. « Si jamais l'analyste a un doute sur un diagnostic de l'IA, il peut retracer lui-même les étapes du raisonnement de l'outil, et déterminer s'il est correct », résume Luis Delabarre. Que l'analyste confirme ou contredise le diagnostic, son jugement sera intégré au cycle d'apprentissage de l'IA pour qu'elle s'améliore. « Cet apprentissage reste sur notre version de l'outil : notre Qevlar n'est pas le Qevlar des autres. Nos ajustements ne profitent pas à tout le monde », précise-t-il. En plus de ce système de retour des utilisateurs directement intégré, Nomios organise des contrôles réguliers avec Qevlar pour ajuster si besoin les comportements de l'IA sur certaines tâches.
La menace de l'IA sur l'emploi, faux problème en cybersécurité
Les spécificités du marché de la cybersécurité évitent une partie des casse-têtes de l'IA aux dirigeants. Pour commencer, le secteur enregistre une pénurie chronique de travailleurs, à tous les étages : des techniciens de première ligne aux ingénieurs et analystes. Les SOC de Nomios n'échappent pas à cette situation, et ont plusieurs offres d'emploi non pourvues, faute de candidatures adaptées. Ensuite, face à eux, les cybermenaces se montrent toujours plus nombreuses, variées, et virulentes. Et ce n'est pas près de s'arranger, car avec la numérisation progressive de la société, la surface d'attaque augmente sans cesse.
L'avantage de cette situation ? Là où les gains de productivité apportés par l'IA sont synonymes de menace sur l'emploi dans une majorité de secteurs, ils apparaissent au contraire comme un début de solution dans la cybersécurité. Car quand bien même une partie des emplois seraient fermés à cause des gains de productivité permis par l'IA, ils n'étaient dans tous les cas pas pourvus, faute d'offre. Et dans un contexte de croissance constante du secteur, ces éventuelles disparitions d'emplois pourraient même être imperceptibles.
En parallèle, l'IA pourrait améliorer le quotidien des travailleurs si l'on écoute leurs créateurs, qui avancent tous la même idée simple : puisque l'IA prend en charge les tâches répétitives et rébarbatives, elle libère du temps au travailleur pour exprimer sa créativité. Par effet domino, ce dernier serait plus satisfait de son travail, et donc moins tenté de quitter son emploi. « Nous pensons que la mise à disposition de ce genre d'outil fait partie d'un ensemble d'initiatives pour que les analystes apprécient leur travail. Il y a beaucoup de demande sur le marché, donc ils peuvent facilement trouver ailleurs s'ils ne s'épanouissent pas chez nous », relève Luis Delabarre. Chez Nomios, l'IA permet aux analystes de travailler plus confortablement, tout en prenant un petit peu plus de clients. « Mais nous continuons à recruter comme avant », tempère le dirigeant.
Vers l'irréversibilité de la construction du porte-avions de nouvelle génération
Sujets les + commentés