Comment les entreprises peuvent utiliser l’IA de cybersécurité contre les cyberattaques dopées à l’IA
Les cyberattaques exploitent de plus en plus l’intelligence artificielle, ce qui rend cette technologie incontournable aussi pour la cyberdéfense. Lors d’un webinaire organisé conjointement, Netzmedien et Anomali ont montré comment l’IA peut aider à garder une longueur d’avance sur les cybercriminels.
Le nombre de cyberattaques augmente régulièrement depuis des années. Les équipes de sécurité doivent protéger les systèmes contre des menaces toujours nouvelles, alors que les attaquants recourent désormais à l’intelligence artificielle. Pour prendre l’avantage dans cette confrontation autour de l’IA, les spécialistes en cybersécurité doivent pouvoir s’appuyer sur des outils d’IA à la fois puissants et sûrs.
Lors d’un webinaire organisé conjointement fin mai 2026, Netzmedien et Anomali se sont penchés sur ces enjeux. Mark Hassoun, Senior Sales Engineer chez Anomali, a expliqué comment devrait être équipé un centre moderne de cybersécurité, ou Security Operations Center (SOC), et le rôle que peut y jouer la plateforme d’IA d’Anomali.
Les problèmes de montée en charge dans les SOC
Mark Hassoun est d’abord revenu sur l’évolution de la cyberdéfense au cours des dix dernières années. Il a indiqué avoir lui-même accompagné de nombreuses entreprises dans la mise en place de SOC basés sur des systèmes SIEM (Security Information and Event Management). Ces systèmes fonctionnent encore aujourd’hui, mais ils sont difficiles à faire évoluer. Selon lui, cela tient principalement à l’augmentation exponentielle des volumes de données ces dix dernières années, qui pousse les anciens systèmes dans leurs retranchements.
Les coûts aggravent encore le problème, les plateformes SIEM traditionnelles facturant chaque gigaoctet collecté. D’après Mark Hassoun, les coûts peuvent ainsi augmenter beaucoup plus vite que le volume de données sous-jacent, ce qui contraint les équipes à un compromis douloureux entre visibilité complète et respect du budget.
Les analystes chargés de surveiller les menaces en continu sont rapidement submergés par la masse d’alertes, a-t-il ajouté. Une part importante de ces alertes sont des faux positifs, ce qui réduit la productivité des analystes et entraîne une fatigue liée aux alertes. Selon Mark Hassoun, des études sectorielles illustrent l’ampleur du problème: les analystes font face à plus de 170 alertes par jour, dont seulement 19% environ nécessitent un examen approfondi, tandis qu’ils consacrent plus de la moitié de leur temps à traiter des faux positifs sans pertinence pour la sécurité.
Le rôle des solutions d’IA dans la cybersécurité
La solution proposée par Mark Hassoun repose sur un data lake réunissant l’ensemble des données de l’entreprise. Des agents IA spécialisés doivent analyser ces données en continu à la recherche de menaces. Ces agents sont alimentés par un contexte de menace clair, afin d’éviter les hallucinations de l’IA. Les analystes humains reçoivent ainsi des rapports détaillés sur les vulnérabilités potentielles et peuvent consacrer leur temps à la lutte effective contre les attaques, a expliqué l’intervenant.
L’enjeu porte aussi sur le traitement des données avant même qu’elles n’arrivent jusqu’à l’analyste. Chaque outil de sécurité parlant son propre langage, les données sont d’abord traduites dans un schéma uniforme, selon Mark Hassoun. Les événements imprécis ou doublonnés sont supprimés et le contexte de menace pertinent est ajouté. Les agents IA comme les humains peuvent ainsi travailler sur des données propres et de qualité, plutôt que sur du bruit brut et non filtré.
Mark Hassoun a enfin souligné l’importance de la communication entre différents agents IA, y compris entre entreprises. Lorsqu’une entreprise, par exemple une banque, subit un incident de sécurité, il est très probable que les attaquants ciblent ensuite une autre banque. Si les agents IA des deux établissements collaborent, ils peuvent, selon l’intervenant, tirer ensemble les enseignements du premier incident et empêcher la seconde attaque.
La plateforme SOC agentique d’Anomali
C’est précisément là que réside la force de la plateforme SOC agentique d’Anomali. Lors d’une démonstration en direct, Mark Hassoun a montré comment les utilisateurs peuvent consulter sur le tableau de bord des informations sur les menaces actuelles. Celles-ci sont préparées par des agents IA qui se tiennent constamment informés des cybermenaces du moment via Internet. Selon Mark Hassoun, ils peuvent ainsi mieux déterminer si une menace potentielle est un faux positif ou présente réellement un danger.
Cette approche est renforcée par la capacité des agents IA à communiquer entre eux, y compris au-delà des frontières de l’entreprise. Une telle collaboration repose, selon Mark Hassoun, sur des renseignements partagés sur les menaces. Anomali aurait accès à l’une des plus grandes sources d’indicateurs de menace du secteur. Celle-ci regroupe des signalements issus de flux gouvernementaux, commerciaux et open source, de sorte que des schémas d’attaque déjà observés puissent être reconnus partout. Le système peut ainsi, selon Mark Hassoun, identifier des correspondances avec une grande précision et déclencher des blocages automatiques en temps réel.
Cliquez ici pour visionner l'enregistrement vidéo complet du webinaire.
Le code d'accès est: Futn4=$K
Vous pouvez télécharger les diapositives de la présentation.
