Article initialement publié dans Cyberun #38 : SOC IA/Humains
La définition d’un Security Operation Center (SOC) s’articule toujours autour du PPT (People, Process, Technology) en constante évolution afin de répondre aux usages, aux finalités et adapter sa posture en conséquence. Cette perpétuelle transformation continue pour passer d’un centre opérationnel basé sur la détection en continu des menaces, à un centre de supervision et de réaction aux attaques. Au-delà des usages et des finalités, la posture elle-même a évolué pour passer d’une surveillance de la disponibilité, à une surveillance réactive, puis proactive et jusqu’à y inclure son automatisation.
Les défis de la réactivité
Outre la pénurie de ressources cyber, les défis principaux pour les SOC et, in fine, les clients finaux sont focus sur la réactivité : chercher à obtenir le temps de détection (MTTD) et de réaction (MTTR) le plus rapide possible pour contenir les attaques et atténuer les dommages…
Pour y faire face, de nombreux SOC utilisent la boucle OODA (Observer, Orienter, Décider, Agir) du colonel John Boyd, qui est un modèle décisionnel en gardant à l’esprit l’avantage de l’expérience dans cette prise de décision. Cette dernière s’est également adaptée aux technologies pour être plus efficiente dans les SOC en se basant initialement sur des SIEM, amélioré avec l’EDR et boosté avec l’IA.
La place de l’IA et de l’humain dans les SOC
Pour reprendre les propos du Dr Aurélie JEAN lors de son intervention Travail à l’ère de l’IA, il serait pertinent de parler d’Intelligences au pluriel (Théorie triarchique de Robert Sternberg). Il est nécessaire de repenser les taches spécifiques pour tirer parti de ces Intelligences : celles faites par l’IA, celles aidées par l’IA et celles que seul un humain peut faire. « Il faut repenser le travail et continuer à apprendre toute sa vie et s’adapter aux innovations. »
L’IA n’est pas nouvelle dans les SOC car elle a déjà apporté son lot d’évolutions, via le machine learning en modélisant le comportement humain (UBA et UEBA), afin d’ajouter des capacités aux seuls SIEM pour détecter les comportements humains anormaux sur le SI et réduire ainsi les faux positifs.
La révolution récente de l’IA permet de tirer parti des algorithmes GPT et des LLM qui redessinent le métier d’analyste (du moins ses taches). Le premier Tiers, consistant au triage et à la qualification, a quasiment disparu des SOC au profit d’IA couvrant et améliorant ce périmètre moins gratifiant, plus chronophage et répétitif.
L’utilisation du Natural Language Processing permet de s’affranchir des interfaces de requêtes de données ou de logs (KQL, SPL, …) à l’instar d’une demande à son collègue. Toujours dans la chasse aux faux positifs, ces technologies capables de traiter des données complexes, volumineuses et variées, permettent de diagnostiquer de manière très précise et rapide des alertes, de fournir un scoring permettant de décider entre un faux positif ou une menace réelle en ressortant l’essentiel.
Vers une amélioration qualitative des analyses SOC
Libérées de ces taches non stratégiques, les équipes du Security Operation Center peuvent se concentrer sur des taches à plus forte valeur ajoutée (accompagnement, chasse aux menaces ou recherche proactive d’indicateurs de compromission, remédiation) et améliorer qualitativement les analyses. L’investigation, à l’image des enquêtes judiciaires, nécessite de faire preuve d’intuition, de se mettre dans la tête de l’attaquant ou de changer son angle d’attaque si le raisonnement entre dans une impasse… Le travail de remédiation est lui aussi, basé fortement sur l’humain et du fait des interactions fortes avec les différentes parties prenantes.
Ces aspects, les SOC managés l’ont bien compris et pour s’en rendre compte, il suffit de consulter les devis MSSP de type Micro SOC / MSSP : un prix d’entrée très attrayant avec des fonctionnalités et traitements automatisés en H24.
Ce qui est le plus coûteux est généralement le travail humain qui n’apparait pas directement (comme les échanges clients pour le build de l’implémentation de l’EDR, lui poser les bonnes questions, qu’est ce qui faisable en cas de cyberattaque, le tout personnalisé pour son organisation ou son secteur d’activité, le primo traitement des faux positifs et le temps humain passé, et généralement facturé, à la réponse à incident…). Finalement, le SOC managé a de beaux jours devant lui grâce à l’IA car l’humain est véritablement la valeur ajoutée, axée sur l’accompagnement des entreprises qui nécessitent d’être rassurées et mieux préparées face aux cyberattaques.
L’humain aura toujours sa place dans le SOC même si l’IA influe sur le triptyque PPT (certainement avec un degré plus important par rapport aux précédentes évolutions technologiques, nouvelles exigences réglementaires ou posture). A titre de conclusion, la collaboration entre l’humain et « ses intelligences » est essentielle pour tirer le meilleur de l’IA.
« Il faut repenser le travail et continuer à apprendre toute sa vie et s’adapter aux innovations. »
