Alors que l’IA monte en puissance pour assurer la cyberdéfense des entreprises, Microsoft a dévoilé en janvier dernier son IA dédiée, Microsoft Copilot for Security. Sopra Steria Group, acteur majeur de la tech en Europe, fort de près de 52 000 collaborateurs dans 30 pays, a été la première entreprise de son secteur et de sa taille à passer cette solution à l’échelle. Elle en a tiré une méthodologie pour ses propres clients.
Faut-il continuer d’étoffer les rangs des équipes IT pour endiguer la montée des attaques cyber, toujours plus véloces grâce l’utilisation malicieuse de l’intelligence artificielle ? Si elle a fait long feu, cette stratégie semble aujourd’hui arrivée à un point de rupture. « D’une part, les attaquants s’appuient désormais sur la force de frappe de l’intelligence artificielle et leurs initiatives gagnent en complexité », analyse Fabien Lecoq, Head of Cyber-security Business Unit chez Sopra Steria. « D’autre part, les surfaces numériques n’ont jamais été si étendues. » Les points de fragilité se sont en effet multipliés en raison des interconnexions toujours plus poussées des entreprises avec leurs écosystèmes, de la montée en puissance du cloud et de la généralisation du télétravail.
Résultat : « pour les équipes, il devient de plus en plus difficile de hiérarchiser les priorités sur lesquelles se focaliser », poursuit Fabien Lecoq. Et l’escalade des moyens humains n’est plus une garantie d’efficacité. Pire, elle contribue à faire de la cyberdéfense un centre de coût. Dans ce contexte, l’intelligence artificielle possède une capacité unique à créer de la valeur. À condition d’intégrer leurs enjeux stratégiques de l’entreprise dans un mix technologique et humain adapté, avec le soutien d’un partenaire de confiance.
Une première pour une ESN de cette taille
Prenant l’initiative, Sopra Steria a décidé de tester grandeur nature le programme Early Access de Microsoft Copilot for Security, la solution de cybersécurité de Microsoft basée sur l'IA et lancée début 2024. Elle vise à permettre aux professionnels de la sécurité de réagir rapidement aux cyberattaques, de traiter les signaux avec une plus grande célérité et de mieux évaluer l'exposition aux risques, en seulement quelques minutes. Avec son partenaire historique Microsoft, le groupe Sopra Steria s’affirme même comme la première entreprise de services du numérique de sa taille à adopter Microsoft Copilot for Security à l’échelle. Un déploiement grandeur nature qui vise à renforcer son expertise et améliorer l’accompagnement de ses propres clients.
Analyste augmenté
« Notre objectif n’est pas de remplacer les analystes en place mais de leur apporter les outils dont ils ont besoin pour faire face à l’explosion des cybermenaces », prévient Fabien Lecocq. Microsoft Copilot for Security leur donne en effet une vue sur les menaces, priorise les vulnérabilités et fait remonter de précieuses informations sur les incidents et les comportements suspects. «La vie quotidienne d’un analyste cyber, c’est prioriser les actions à mener », rappelle Paul Dominjon, Directeur des solutions de cybersécurité de Microsoft France. « Sur 50 incidents potentiels, un analyste ne peut en traiter véritablement en traiter que dix. Alors lesquels choisir ? L’IA générative va l’aider à aller à l’essentiel.»
Dans ce déploiement, Sopra Steria a relevé trois défis. Le premier visait bien entendu la réduction du risque grâce à l’anticipation de la menace et à l’accélération de la réponse. Le deuxième consistait à mettre en place une stratégie cyber intégrée aux services déjà existants, qu’ils relèvent de solutions Microsoft ou d’outils tiers. Pour y parvenir, Sopra Steria a multiplié les phases de runs, centrés sur les processus clés pour le groupe. Le troisième et dernier défi, peut-être le plus difficile : opérer un déploiement rapide (2 mois) sur un aussi vaste périmètre opérationnel avec, à la clé, une utilisation intensive par plusieurs services de Sopra Steria.
6 bonnes pratiques
Pour relever ce triple défi, Sopra Steria a développé de façon empirique une méthode en six étapes :
- Placer les enjeux clients au cœur de la réflexion : cela passe par une bonne prise en compte de la maturité du système d’information et une connaissance exhaustive des technologies et des processus déjà en place.
- Penser le déploiement autour de cas d’usage : cela suppose de mettre l’accent sur les domaines pertinents et d’allouer les bonnes capacités technologiques pour éviter toute surconsommation des ressources. L’un des écueils à éviter réside dans les attentes trop complexes des équipes de cybersécurité.
- Assurer la bonne intégration de la solution : il s’agit d’intégrer Microsoft Copilot for Security aux outils du système d’information, d’identifier les processus critiques et d’établir les bons outils de reporting. Cette intégration est également humaine avec un soin porté à la conduite du changement.
- Prompt engineering : interagir en langage naturel avec l’IA soulève de nombreuses questions liées à la gouvernance, à la réponse, à la détection, au command & control ainsi qu’à la capacité de la solution à permettre aux analystes d’investiguer.
- L’usage responsable et le contrôle humain : l’entreprise doit pouvoir analyser l’exactitude des réponses et des recommandations, mais aussi comprendre le contexte dans lequel celles-ci ont été formulées. Il faut par ailleurs veiller à une bonne complémentarité entre IA et expertise humaine, pour éviter un rejet rapide après un engouement initial.
- La mesure de la performance et de la pertinence : les critères d’évaluation sont nombreux : le service rendu aux métiers bien sûr mais également le retour sur investissement d’une technologie gourmande en ressources. Cette approche FinOps se complète d’une approche GreenOps afin d’optimiser la consommation des ressources et l’impact environnemental, qui vont de pair, en se concentrant sur les résultats tangibles.
Ne cessant d’évoluer depuis plusieurs décennies (machine learning, deep learning, IA générative…), l'IA évolue et devient de plus en plus complète. Ses nouvelles fonctionnalités — et tout particulièrement la capacité nouvelle des équipes à pouvoir interagir en langage naturel avec elle — vient ajouter une brique essentielle à l’arsenal cyberdéfense des entreprises.