GUS : Google veut déléguer le travail de ses analystes à ses agents IA
A Las Vegas, Google a multiplié les annonces sur ses outils d'intelligence artificielle, et le volet cybersécurité n'y coupe pas. A l'occasion du Google Cloud Next, la société a notamment présenté son offre Google Unified Security (GUS pour les intimes). Le groupe décrit cette nouveauté comme "une base de données de sécurité unifiée, évolutive et facilement interrogeable, couvrant l'ensemble de la surface d'attaque."
Il s'agit de proposer un service unifié dédié à la sécurité de l'entreprise sur tous ses aspects : le service intègre déjà les analyses de renseignement sur les menaces de Mandiant, les données de la plateforme VirusTotal et les données collectées par les analystes cyber des équipes de Google. L'outil semble également un écrin parfait pour accueillir les solutions de Wiz, la startup israélienne de sécurité cloud que Google Cloud s'est récemment offerte pour la coquette somme de 32 milliards de dollars. Mais concernant les détails de cette intégration, la prudence est de mise : aucun porte parole ne s'avance à commenter sur ce que la société envisage de faire avec sa nouvelle acquisition, le sujet étant suspendu à l'approbation de la transaction par les régulateurs nationaux.
Nul n'échappe aux IA
Le tout est évidemment saupoudré d'outils d'intelligence artificielle : Google Cloud souhaite par exemple proposer des assistants IA afin d'aider les analystes à trier les alertes au sein des centre d'opération de sécurité, ou encore un outil capable d'automatiser le reverse engineering de logiciels malveillants. Et là aussi, les nombreuses sources de données seront mises au service de l'entraînement du produit : "Nous utilisons nos experts de Mandiant pour entraîner ces modèles d'IA, c'est la suite logique de notre intégration au sein de Google. L'idée c'est de pouvoir apporter notre expertise et de la laisser infuser au sein des offres de Google" résume Sandra Joyce, VP Google Threat Intelligence.
Comme l'explique David Grout, CTO Europe pour Google Cloud à propos de l'agent chargé du reverse engineering: "Nous voulons donner à nos clients la possibilité de soumettre par exemple des échantillons, et l'agent sera capable d'analyser et de renvoyer les informations essentielles à l'utilisateur, comme les indicateurs de compromission." La même logique s'applique à l'agent de triage des alertes de cybersécurité, à destination des analystes de Soc : l'objectif est ici d'automatiser le traitement des alertes les plus simples. L'agent est ainsi capable d'analyser automatiquement et en détail un incident de sécurité, puis d'appliquer des règles de remédiation. L'accent est également mis sur la transparence de l'agent : celui-ci décrit son raisonnement et résume les éléments qu'il prend en compte dans son analyse, avant de proposer des actions de remédiations. Et l'utilisateur pourra envoyer un feedback au modèle afin de lui signaler les éventuelles erreurs ou approximations le cas échéant : "Le produit est encore en cours d'élaboration et le niveau de granularité des retours reste à définir, mais ce sera évidemment possible" promet David Grout.
Moins dépendant des humains
Google entend-il donc proposer une offre de cybersécurité automatisée "low cost" à côté d'une offre plus chère s'appuyant sur des analystes humains? Pas exactement assure David Grout mais il y a quand même un peu de ça : "Nos clients peuvent utiliser les deux s'ils veulent. Quand ils ont accès à la plateforme, ils peuvent décider de payer un abonnement additionnel s'ils souhaitent avoir accès aux analystes. Mais par exemple, concernant l'agent d'analyse de logiciels malveillants, nous pensons que la première partie de l'analyse peut être réalisée par des agents automatisés, et c'est pour cela que nous développons cette capacité. "
L'avantage de ces agents est aussi de rendre plus rapide les analyses : confier ce travail à un analyste peut prendre plusieurs jours, là où l'agent IA peut rendre son analyse et ses recommandations beaucoup plus rapidement. A cela s'ajoute un autre intérêt : les agents IA ne dorment pas, ne fatiguent jamais et leurs performances sont les mêmes quel que soit l'heure à laquelle ils se penchent sur l'alerte. "Cela permet d'avoir une certaine consistance dans les résultats, vous êtes moins dépendant de l'humain" résume David Grout.
SOC : des changements de gré ou de force
Les analystes de SOC ont-ils donc du souci à se faire? "Je ne pense pas que nous allons détruire des emplois, mais nous voulons changer le mode de fonctionnement des SOC. Quand on regarde les activités des analystes niveau 1 de SOC, le travail quotidien est assez répétitif, et les clients ont souvent du mal à garder des gens sur ces postes. En général, ces analystes finissent par démissionner au bout de 6 à 9 mois pour évoluer vers des positions plus intéressantes. Et cela coûte cher d'entraîner des gens pour ces positions" résume David Grout.
L'argument est à la mode. En France, Qevlar AI, qui propose exactement ce type de technologie, a levé 10 millions de dollars en début de semaine. Et on croise également d'autres startup qui se positionnent sur ce même type de technologies dans les allées de la conférence Google Cloud Next. Tous promettent des temps de réponse record et des taux de faux positifs négligeables, et face aux difficultés de recrutement du secteur cyber, la tentation de l'automatisation est forte.