Cybersécurité : comment l'IA générative s'imbrique
Publié par Clément Bohic le | Mis à jour le
Où en est l'intégration de l'IA générative dans les solutions de cybersécurité ? Coup d'oeil sur les initiatives d'une dizaine de fournisseurs.
L'IA générative dans les solutions de cybersécurité, pour quoi faire ? Chez le gros des fournisseurs, la communication englobe les phases de recherche, d'analyse et de réponse aux menaces.
Zscaler ne fait pas exception à cette approche avec sa fonctionnalité Security Autopilot, qu'il dit expérimenter en interne. Il aborde toutefois des angles plus spécifiques. D'une part, la documentation, avec la promesse d'une interface de type chatbot pour se renseigner sur les fonctionnalités produit. De l'autre, le DLP. En la matière, l'IA générative doit permettre d'étendre l'analyse au-delà du texte et des images, vers l'audio et la vidéo.
Chez Checkmark, on communique notamment sur une brique « AI Guided Remediation » qui doit permettre, au sein des IDE, d'obtenir des explications sur les mauvaises configurations d'IaC et d'API. Autre composante mise en avant : « AI Query Builder », destinée à automatiser l'écriture de règles SAST. L'une et l'autre reposent sur GPT-4.
Veracode met également l'IA générative à contribution dans une logique d'automatisation... mais pour la conception de correctifs. Initialement en Java et C#. Le modèle sous-jacent est là aussi de la famille GPT. On nous annonce une disponibilité générale pour ce mois-ci, sur l'interface en ligne de commande.
Orca Security a aussi choisi la famille GPT (modèle Davinci) pour enrichir sa plate-forme. Sous un angle en particulier : améliorer la précision des conseils de remédiation. Le produit qui en résultera est pour le moment à l'état de démo. Il utilise l'API OpenAI pour générer des recommandations à partir d'alertes de sécurité filtrées au préalable. Orca prévoit plusieurs surfaces d'exploitation : CLI, console et templates IaC. Il est question d'y coupler une interface conversationnelle.
Charlotte AI, Purple AI, Security Copilot : à chacun son « assistant de détection et réponse »
Du côté de Google, on utilise, en particulier, des grands modèles de langage au sein du service Assured Open Source Software pour améliorer l'analyse de packages. On a aussi dans le cartons un dérivé de PaLM « spécial cyber » qui alimentera les solutions de Mandiant, sous le triptyque recherche-analyse-réponse.
Google, c'est aussi une branche cloud qui fournit des services d'IA générative, sous la bannière Vertex AI. Cohesity fait partie des éditeurs qui ont décidé d'en faire usage, pour aider à la sécurisation des sauvegardes. Idem pour Sysdig, qui compte ainsi alimenter sa plata-forme CNAPP.
L'IA générative s'écrit aussi au futur chez Palo Alto Networks. Son objectif : proposer, cette année, des services de détection et de prévention fondés sur un LLM maison. Lequel devra aussi, plus globalement, aider à améliorer l'expérience d'usage de ses produits...
SentinelOne en est pour sa part à la phase bêta, en cercle restreint, avec son add-on Purple AI pour la plate-forme Singularity. Le sous-jacent mêle modèles open source et propriétaires, nous annonce-t-on. Principal public : les SOC, pour les accompagner sur l'ensemble de leurs activités, autour d'une interface en langage naturel adossée au data lake du fournisseur. L'accent est mis, entre autres, sur la capacité à résumer des menaces.
CrowdStrike a aussi trouvé sa marque référente : Charlotte AI. Également en preview limitée, cet « analyste cyber à base d'IA générative » s'adosse à la plate-forme Falcon. Avec, en son coeur fonctionnel, le même principe d'interface conversationnelle.
Le développement de Charlotte AI s'appuie sur un partenariat avec AWS - et son LLM Bedrock.
Préversion également pour Security Copilot, que Microsoft avait officialisé fin mars. Il s'agit d'un assistant de détection et de réponse fondé sur un modèle GPT... mais pas que. Les prompts ne sont effectivement pas transmis directement au LLM. Ils passent d'abord par un modèle spécialisé, qui les affine sur la base de signaux issus de flux de threat intelligence et de divers produits Microsoft. L'ensemble s'incarne en une interface de discussion.