Ce que l'IA agentique pourrait signifier pour les opérations de sécurité

Le résultat? L'épuisement professionnel, l'inefficacité et un écart d'élargissement entre la détection et l'action. Rien de tout cela ne devrait être un choc pour quiconque travaille en cybersécurité.

La promesse d'une IA agentique est devenue un tournant potentiel, cependant. Cette nouvelle classe d'intelligence artificielle va au-delà de l'automatisation traditionnelle et de l'apprentissage automatique. Il est conçu pour fonctionner de manière autonome, apprendre du contexte historique et prendre des décisions qui réduisent le fardeau des analystes humains - sans transformer le SOC en une boîte noire.

La question est: l'agentique AI est-elle juste le dernier mot à la mode? Ou pourrait-il vraiment remodeler la façon dont les opérations de sécurité sont exécutées?

Du bruit à la clarté

Les SOC d'aujourd'hui sont confrontés à un problème de volume. Une étude de 2024 MSSP Market News a révélé que les équipes SOC reçoivent en moyenne près de 4 000 alertes par jour , et près des deux tiers d'entre elles sont ignorées. De nombreuses alertes sont de faux positifs ou de doublons, mais le triage mange toujours un temps d'analyste précieux. Les outils de soar traditionnels ont promis un soulagement par l'automatisation, mais la plupart n'ont pas réussi à livrer au-delà de la billetterie du flux de travail et de l'orchestration de base.

J'ai récemment parlé avec Brian Murphy, PDG de Reliaquest, de ces défis. Il a expliqué: «Tout Soar est vraiment un distributeur de workflow de billets. C'est une chose qui fait passer un processus d'une équipe à une autre. C'est pour cela que la majorité des clients l'ont utilisé, car il était trop difficile de l'utiliser pour automatiser.» Il a cité une session récente avec des centaines de clients: presque tous avaient des solutions de bouffée, mais seulement trois avaient plus de deux véritables automatisations en cours d'exécution.

Cette déconnexion est ce que l'agent AI vise à résoudre.

Qu'est-ce qui rend l'agence AI différente?

Un article du Deloitte Center for Technology, Media & Telecommunications explique: «Comme son nom l'indique, l'agence AI a une` `agence '': la capacité d'agir et de choisir les actions à prendre. Les objectifs sont fixés par les humains, mais les agents déterminent comment atteindre ces objectifs. »

Contrairement aux livres de jeu statiques, les systèmes d'IA agentiques sont dynamiques. Non seulement ils ingèrent des données mais apprennent activement des incidents historiques, des commentaires des analystes et du contexte environnemental. Ils peuvent récupérer la télémétrie à partir de systèmes disparates - point de vente, réseau, identité, menace Intel - et le synthétiser pour prendre des décisions transparentes en temps réel.

Murphy a mis au point que dans la plate-forme Greymatter de Reliaquest, par exemple, l'agent AI ne fonctionne pas à huis clos. Il prend des décisions que les analystes peuvent examiner, auditer et ajuster. "L'autre chose à propos de notre IA est qu'elle est transparente pour le client", a déclaré Murphy. «Ils voient chaque décision que ce modèle agentique a pris en cours de route et pourquoi. Chaque client forment essentiellement son propre modèle de manière protégée.»

Il s'agit d'une distinction essentielle dans une industrie à se méfier à juste titre de remettre trop de contrôle. Bien que l'agent d'agence puisse agir de manière indépendante sur des actions de routine - telles que la résolution d'alertes basées sur les modèles de voyage ou la réinitialisation des comptes pour les employés licenciés - il devrait toujours s'en remettre à la surveillance humaine pour les décisions à enjeux supérieurs.

Épuisement professionnel, modèles à plusieurs niveaux et fin de «Tier One»

Peut-être que l'argument le plus convaincant pour l'IA agentique n'est pas la technologie - c'est l'impact humain. L'épuisement de la cybersécurité est réel et dégénère. Un contributeur de base est le travail déconnecté par cœur des alertes de niveau 1, dont beaucoup sont répétitifs et à faible valeur.

Murphy ne mâche pas les mots ici: «Nous devons cesser d'utiliser des êtres humains pour faire des alertes de niveau un. Nous devons cesser d'utiliser des êtres humains pour faire des alertes de niveau deux.» Il pense que l'IA devrait gérer le travail de grognement - enracinant les journaux, les IPs croisés, contextualisant le comportement des utilisateurs - afin que les humains puissent se concentrer sur des décisions significatives.

Les implications sont profondes. La suppression du modèle à plusieurs niveaux pourrait libérer du temps non seulement pour réduire la fatigue, mais aussi pour développer des professionnels plus stratégiques de la sécurité. Cela, à son tour, renforce le programme de sécurité de manière globale - donnant à l'équipe la salle de respiration pour chasser les menaces, analyser les tendances des risques et renforcer les capacités de leadership interfonctionnelles.

Pas un remplacement - un redémarrage

Malgré l'accélération des capacités autonomes, Murphy est clair que l'IA agentique ne concerne pas la réduction des emplois. Le besoin de cybersécurité est encore bien au-delà de la capacité de la plupart des équipes de sécurité. La vision est plutôt des compétences de niveau supérieur, de combler les lacunes opérationnelles et de créer des capacités là où il n'existe pas aujourd'hui.

"Nous sommes très longs avant de voir cela comme une réduction du montant des emplois", a-t-il déclaré. «Cela va en fait nous donner le temps de construire des leaders en sécurité et de donner à nos équipes de cybersécurité le temps d'apprendre l'entreprise et de se développer».

En d'autres termes, l'objectif n'est pas moins de personnes - son travail plus intelligent.

La vue d'ensemble

La récente ronde de financement de 500 millions de dollars de Reliaquest, valorisant la société à 3,4 milliards de dollars, montre que les investisseurs parient grandement sur ce nouveau modèle. La société dessert désormais plus de 1 200 clients d'entreprise, des revenus récurrents annuels dépassant 300 millions de dollars et une trajectoire de croissance visant à devenir public. Contrairement à de nombreux pairs, il le fait de manière rentable, réinvestissant l'innovation des produits et l'expansion mondiale - pas seulement des ventes.

Mais bien que Reliaquest puisse être la charge, la tendance est à l'échelle de l'industrie. Les CISO sont de plus en plus prioritaires des plates-formes alimentées par l'IA qui réduisent le temps de séjour et augmentent l'efficacité des analystes sans fragmenter davantage le ensemble d'outils.

Le risque n'est pas que l'IA agentique prenne le relais - c'est que les organisations qui l'ignorent peuvent prendre du retard.

Fin de compte

L'IA agentique n'est peut-être pas la solution miracle pour chaque SOC, mais c'est un pas vers quelque chose que les professionnels de la sécurité exigent depuis des années: visibilité, vitesse et santé mentale. S'il délivre même une fraction de sa promesse - de faux positifs, un confinement plus rapide et un soulagement des analystes - il pourrait très bien représenter le début d'une époque plus intelligente et plus durable dans les opérations de cybersécurité.

Parce qu'à la fin, il ne s'agit pas de remplacer les gens. Il s'agit de les autonomiser - avec le temps, les outils et la clarté.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!