September 15, 2025
Headlines

AI-Augmented Cybersecurity: A Human-Centered Approach

Joshua Coleman025 mins


L’intégration de l’intelligence artificielle (IA) transforme fondamentalement le paysage de la cybersécurité. Alors que l’IA apporte une vitesse et une échelle inégalées dans la détection des menaces, une stratégie efficace réside potentiellement dans la cultivation de la collaboration entre les personnes ayant des connaissances spécialisées et des systèmes d’IA plutôt qu’une automatisation complète de l’IA. Cet article explore le rôle évolutif de l’IA dans la cybersécurité, l’importance de mélanger la surveillance humaine avec les capacités technologiques et les cadres à considérer.

Rôles d’IA et humain

Le rôle de l’IA s’est étendu bien au-delà de l’automatisation des tâches simples. Il peut désormais servir d’outil puissant pour augmenter l’analyse et la prise de décision dirigés par l’homme et peut aider les organisations à traiter et à parcourir de vastes volumes de journaux de sécurité et de données rapidement. Cette capacité peut aider à améliorer considérablement la détection des menaces précoces et à accélérer la réponse aux incidents. Avec la cybersécurité AI-Augmentation, les organisations peuvent identifier et traiter les menaces potentielles avec une vitesse et une précision sans précédent.

Malgré ces progrès, la vision d’un centre d’opérations de sécurité entièrement autonome (SOC) reste actuellement plus ambitieuse que pratique. Les systèmes alimentés par l’IA n’ont souvent pas la compréhension contextuelle nuancée et le jugement intuitif essentiel pour gérer des scénarios d’attaque nouveaux ou complexes. C’est là que la surveillance humaine devient indispensable. Les analystes qualifiés jouent un rôle essentiel dans l’interprétation des résultats de l’IA, la prise de décisions stratégiques et la mise en œuvre d’actions automatisées conformément au contexte et aux politiques particulières de l’organisation.

C’est là que la surveillance humaine devient indispensable.

Alors que l’industrie de la cybersécurité se déplace vers l’augmentation, un modèle le mieux adapté est celui qui utilise l’IA pour gérer les tâches répétitives et à volume élevé tout en préservant simultanément le contrôle humain sur les décisions et l’orientation critiques. Cette approche équilibrée combine la vitesse et l’efficacité de l’automatisation avec la perspicacité et l’expérience du raisonnement humain, créant une posture de sécurité évolutive et résiliente.

Cadres robustes de l’industrie pour l’intégration de l’IA

La transition vers la cybersécurité Ai-Augmentation et centrée sur l’homme est bien représentée par des cadres de principales plateformes de l’industrie. Ces modèles fournissent une feuille de route pour les organisations pour intégrer progressé l’IA tout en maintenant le rôle indispensable de la surveillance humaine.

Le modèle de maturité SOC autonome de Sentinélone fournit un cadre pour aider les organisations à soutenir leur voyage vers un SOC autonome. Ce modèle met l’accent sur l’utilisation stratégique de l’IA et de l’automatisation pour aider à renforcer les équipes de sécurité humaine. Il décrit la progression des pratiques de sécurité manuelles et réactives aux approches avancées, automatisées et proactives, où l’IA peut gérer les tâches répétitives et libérer des analystes humains pour un travail stratégique.

Sentinélone a défini son modèle de maturité SOC autonome comme composé des cinq niveaux suivants:

  • Niveau 0 (opérations manuelles): Les équipes de sécurité s’appuient entièrement sur les processus manuels de détection, d’enquête et de réponse des menaces.
  • Niveau 1 (Automatisation de base): introduction d’alertes basées sur des règles et de réponses automatisées simples pour les modèles de menace connus.
  • Niveau 2 (détection améliorée): détection de menace assistée par l’IA qui signale les anomalies tandis que les analystes maintiennent le contrôle de l’enquête.
  • Niveau 3 (réponse orchestrée): les flux de travail automatisés gèrent les incidents de routine tandis que les cas complexes nécessitent une intervention humaine.
  • Niveau 4 (Opérations autonomes): AVANT AI gère la plupart des opérations de sécurité avec une surveillance humaine stratégique et une gestion des exceptions.

Cette progression démontre que la réalisation d’une automatisation de sécurité sophistiquée nécessite un renforcement des capacités progressives plutôt qu’une refonte à grande échelle des systèmes et des processus. À chaque niveau, les humains restent essentiels pour la prise de décision stratégique, l’alignement des politiques et la gestion des cas qui ne sont pas en dehors des paramètres automatisés. Même au niveau 4, le niveau de maturité le plus élevé, la surveillance humaine reste un must pour des opérations efficaces et précises.

Une autre plate-forme de premier plan se concentre sur le soutien des analystes de sécurité via des idées dirigés par l’IA plutôt que de remplacer le jugement humain. L’approche dirigée par AI d’Elastic intègre des algorithmes d’apprentissage automatique pour détecter automatiquement les anomalies, corréler les événements et découvrir des menaces subtiles dans de grands ensembles de données. Par exemple, lorsque des modèles de réseau inhabituels émergent, le système n’initient pas automatiquement des actions de réponse mais présente plutôt les analystes des données enrichies, du contexte pertinent et des chemins d’investigation suggérés.

Une force clé du modèle d’Elastic est l’accent mis sur l’autonomisation des analystes. Plutôt que d’automatiser les décisions, la plate-forme offre aux professionnels de la sécurité une visibilité et un contexte améliorés. Cette approche reconnaît que la cybersécurité reste fondamentalement un défi stratégique nécessitant une perspicacité humaine, une créativité et une compréhension contextuelle. L’IA sert de multiplicateur de force, aidant les analystes à traiter efficacement les informations afin qu’ils puissent concentrer leur temps sur les activités de grande valeur.

Le soc moderne

Bien que l’IA en cybersécurité puisse être considérée comme une voie vers la pleine automatisation, les opérations de sécurité peuvent être structurées plutôt pour renforcer la collaboration humaine-AI d’une manière qui ne remplace pas les humains mais augmente les capacités humaines pour aider à améliorer l’efficacité. Ce point de vue reconnaît que la sécurité reste un défi humain contre l’humain. Le professeur de la Harvard Business School, Karim Lakhani, déclare que «l’IA ne remplacera pas les humains, mais les humains par l’IA remplaceront les humains sans l’IA». En appliquant ce principe aux opérations de sécurité, la question est de savoir qui gagnera dans le cyberespace? C’est peut-être l’équipe qui s’adapte et évolue de manière responsable son processus opérationnel en comprenant et en incorporant les avantages de l’IA. Cette équipe sera bien placée pour se défendre contre les tactiques, techniques et procédures de menace rapidement en évolution. La rhétorique d’un SOC non humain et entièrement autonome n’est pas une réalité actuelle. Cependant, le SOC qui embrasse l’IA en tant que personnes complémentaires, ne remplace pas les gens, peut probablement être le SOC qui crée un avantage concurrentiel dans la cyber-défense.

Dans la pratique, cette approche peut simplifier les structures SOC à niveau traditionnel, aidant les analystes à gérer les incidents de bout en bout tout en tirant parti de l’IA pour la vitesse, le contexte et les informations. Cela peut aider les organisations à améliorer l’efficacité, la responsabilité et la résilience contre l’évolution des menaces.

Créez un avantage concurrentiel tactique dans les opérations de sécurité avec l’IA.

Meilleures pratiques pour la sécurité Ai-Augmentation

Construire des opérations de sécurité efficaces et auprès d’augmentation nécessite des principes de conception intentionnels qui privilégient les capacités humaines parallèlement aux progrès technologiques.

Les implémentations réussies se concentrent souvent sur l’automatisation de l’IA sur les activités de routine à volume élevé qui prennent un temps d’analyste et ne nécessitent pas de raisonnement complexe. Certaines de ces activités comprennent les éléments suivants:

  • Triage d’alerte initial: Les systèmes d’IA peuvent catégoriser et hiérarchiser les alertes de sécurité entrantes en fonction de la gravité, de l’importance des actifs et des modèles historiques.
  • Enrichissement des données: L’automatisation de la collecte des informations contextuelles pertinentes à partir de plusieurs sources peut soutenir les enquêtes d’analystes.
  • Actions de réponse standard: Les réponses prédéterminées peuvent être déclenchées pour des menaces bien comprises, e.g.isoler les critères d’évaluation compromis ou bloquer les adresses IP malveillantes connues.
  • Génération de rapports: Les résultats de l’enquête et les résumés des incidents peuvent être compilés pour la communication des parties prenantes.

En gérant ces tâches de routine, l’IA peut donner aux analystes le temps de se concentrer sur les activités qui nécessitent un raisonnement et des compétences avancées, tels que la chasse aux menaces, la planification stratégique, l’élaboration des politiques et la navigation des scénarios d’attaque.

De plus, les structures SOC traditionnelles fragment souvent la manipulation des incidents à travers plusieurs niveaux, conduisant parfois à des lacunes de communication et à des réponses retardées. Les opérations de sécurité centrées sur l’homme peuvent bénéficier de l’activation des analystes individuels avec une propriété de cas inclusive, soutenu par des outils d’IA qui peuvent aider à rationaliser les étapes nécessaires pour les actions d’enquête et de réponse.

En permettant une propriété de cas plus approfondie, les équipes de sécurité peuvent réduire les retards de transfert et faire évoluer la gestion des incidents. Les outils endettés en AI peuvent soutenir les équipes de sécurité avec des rapports améliorés, une aide à l’enquête et des recommandations intelligentes tout au long du cycle de vie des incidents.

Recommandations pratiques

La mise en œuvre de la cybersécurité AI-Augmentation nécessite une planification et un déploiement systématiques. Les dirigeants de la sécurité peuvent suivre ces étapes pratiques pour construire des opérations de sécurité centrées sur l’homme. Pour commencer, passez en revue la maturité SOC actuelle de votre organisation à travers les dimensions clés, notamment:

Préparation à l’automatisation

  • Quel pourcentage d’alertes de sécurité obtient actuellement un examen manuel?
  • Quelles tâches de routine prennent le plus de temps d’analyste?
  • Dans quelle mesure vos opérations sont-elles standardisées et / ou procédures de réponse aux incidents?

Fondation des données

  • Avez-vous l’inventaire d’actifs complet et vérifié avec la visibilité du réseau?
  • Les journaux de sécurité sont-ils centralisés et facilement consultables?
  • Pouvez-vous corréler les événements entre les sources de données disparates et les outils de sécurité?

Capacités d’équipe

  • Quel est votre taux de rétention d’analyste et votre mandat moyen?
  • À quelle vitesse les nouveaux membres de l’équipe peuvent-ils se mettre au courant?
  • Quelles lacunes de compétences existent dans votre équipe actuelle?

Considérations de sélection d’outils

Une sécurité efficace Ai-Augmentation nécessite des outils qui peuvent soutenir la collaboration humaine-AI plutôt que de promettre une automatisation irréaliste. Passez en revue les solutions potentielles basées sur:

Capacités d’intégration

  • Dans quelle mesure les outils s’intègrent-ils à votre infrastructure de sécurité existante?
  • La plate-forme peut-elle s’adapter aux politiques et procédures spécifiques de votre organisation?
  • Le fournisseur fournit-il des intégrations d’interface de programmation d’application (API)?

Transparence et IA explicable

  • Les analystes peuvent-ils comprendre comment les systèmes d’IA parviennent à leurs conclusions?
  • Y a-t-il des mécanismes clairs pour fournir des commentaires pour améliorer la précision de l’IA?
  • Pouvez-vous auditer et valider les décisions automatisées?

Évolutivité et flexibilité

  • La plate-forme peut-elle croître avec les besoins de votre organisation?
  • Pour quelle mesure pouvez-vous modifier les flux de travail automatisés à mesure que les menaces évoluent?
  • Quel support est disponible pour une utilisation continue?

Mesurer les résultats

La sélection des outils n’est qu’une partie de l’équation. La mesure des résultats est tout aussi importante. Pour aider à aligner votre stratégie de sécurité AI-Augmentation avec les objectifs de votre organisation, envisagez de suivre les mesures qui démontrent à la fois l’efficacité opérationnelle et l’efficacité améliorée des analystes, tels que:

Métriques opérationnelles

  • Le temps moyen pour détecter
  • Le temps moyen pour répondre
  • Temps moyen pour enquêter
  • Le temps moyen pour fermer
  • Pourcentage d’alertes qui peuvent être automatiquement triées et prioritaires
  • Productivité des analystes mesurée par des activités de grande valeur plutôt que par un volume de billets

Métriques stratégiques

  • Taux de satisfaction au travail des analystes et de rétention
  • Temps investi dans la chasse aux menaces proactives contre la réponse à l’incident réactif
  • Résilience organisationnelle mesurée par des exercices et des simulations d’équipe rouge / bleu / violet

Comment Forvis Mazars peut aider

L’avenir de la cybersécurité proactive ne concerne pas le choix entre les compétences humaines et l’IA, mais réside plutôt dans la combinaison réfléchie de leurs forces complémentaires. L’IA excelle dans le traitement des quantités massives de données, l’identification des modèles et l’exécution de réponses cohérentes aux menaces connues. Les humains excellent à fournir une compréhension contextuelle, une résolution créative de problèmes et un jugement stratégique, qui sont des compétences essentielles pour relever des défis de sécurité nouveaux et complexes.

Les organisations qui adoptent cette approche collaborative peuvent se positionner pour construire des opérations de sécurité plus résilientes, évolutives et efficaces. Plutôt que de poursuivre l’objectif élevé et peut-être irréaliste de l’automatisation complète, envisagez de vous concentrer sur la création de systèmes où l’IA renforce les capacités humaines et aide les professionnels de la sécurité à fournir leur meilleur travail.

Le voyage vers la cybersécurité Ai-Augmentation nécessite une planification minutieuse, une mise en œuvre progressive et un raffinement continu. En suivant les cadres et les meilleures pratiques décrits dans cet article, les chefs de sécurité peuvent créer des opérations qui tirent parti de l’intelligence humaine et de l’intelligence artificielle pour protéger leurs organisations dans un paysage de menace de plus en plus complexe.

Prêt à explorer comment la cybersécurité Ai-Augmentation peut renforcer la posture de sécurité de votre organisation? L’équipe des services gérés de Forvis Mazars a certifié des partenariats avec Sentineone et Elastic. Contactez-nous pour discuter des solutions sur mesure.

Lecture connexe:

Leave a Reply

Your email address will not be published. Required fields are marked *

Related News