Explorez les sujets de cet article

  1. 1) Vérification systématique : réduire la surface d’attaque, accroître la détectabilité, limiter l’exploitabilité
  2. 2) Gestion des vulnérabilités : évaluer l’exploitabilité à pleine vitesse, puis l’atténuer de manière décisive
  3. 3) Intervention en cas d’incident : rythme plus soutenu, crédibilité accrue, meilleurs résultats
  4. Comment CGI Federal peut vous aider

Les modèles d’intelligence artificielle (IA) de pointe enclenchent un cycle familier d’engouement et de crainte en matière de cybersécurité. Certaines capacités sont étiquetées comme de « niveau expert » pour la découverte de vulnérabilités et l’assistance à l’exploitation, et l’accès aux systèmes les plus performants peut s’en trouver limité ou inégal.

Peu importe là où est mis en place un modèle donné, les considérations pratiques pour les environnements fédéraux sont simples. Si la mission défensive essentielle demeure inchangée, tout évolue plus rapidement et l’IA pour la défense peut contribuer à consolider rapidement les chaînes de valeur de sécurité existantes.

Voilà le véritable enjeu. Les réalités de l’entreprise demeurent les mêmes : environnements hybrides complexes, dépendances aux systèmes existants, exigences quant au temps de disponibilité pour la mission, et adversaires déterminés. Maintenant, toutefois, l’IA peut réduire les compétences et le temps requis pour transformer les vulnérabilités en attaques effectives.

L’IA peut également accroître la portée, permettant à des concurrents d’effectuer en parallèle davantage de recherche, de ciblage et d’itérations que la plupart des défenseurs ne peuvent égaler en raison d’effectifs insuffisants. Il en résulte un environnement où tout va plus vite, où le nombre de cybercriminels chevronnés peut augmenter et le développement des failles s’accélérer alors que les défenseurs se voient aux prises avec un délai de décision très court.

Pour les hauts dirigeants fédéraux, la réponse s’inscrit dans la cybersécurité et l’opérationnalité. Exploiter les trois mêmes flux de défense cruciaux que d’habitude, mais de façon plus rigoureuse, rapide et disciplinée, tout en utilisant l’IA défensive pour renforcer les opérations de sécurité (SecOps) à grande vitesse. L’IA, l’automatisation, la préautorisation et des guides reproductibles orchestrent ces chaînes de valeur de sécurité, accélérant le tempo en vue de suivre le rythme des menaces.

1) Vérification systématique : réduire la surface d’attaque, accroître la détectabilité, limiter l’exploitabilité

Les offensives basées sur l’IA accentuent les risques des frontières poreuses, une confiance implicite, une segmentation instable et des contrôles d’identité déficients. Dans un tel environnement, la vérification systématique n’est pas qu’une question d’image. Il s’agit de la façon la plus directe de réduire le nombre de cibles atteignables et de limiter le pirate une fois qu’il a accédé au système.

L’IA peut renforcer l’exécution par une analyse continue de l’identité, du réseau, des terminaux, du nuage et de la télémétrie de configuration pour repérer les relations de confiance risquées, prioriser les « voies d’impact » les plus atteignables et signaler les dérapages par rapport à la politique prévue plus rapidement que les revues périodiques.

Désormais, voici les mesures qui importent le plus.

  • Réduire la surface d’attaque – Mettre en place des contrôles d’identité robustes, resserrer les accès privilégiés et la segmentation afin de restreindre le nombre de systèmes atteignables et d’actions permises. L’IA peut identifier les rôles surprivilégiés, les accès non utilisés et les parcours à haut risque, puis recommander une admissibilité ciblée et des changements à la segmentation.
  • Accroître la détectabilité – Concevoir des couches en ce qui a trait à l’identité, au réseau, aux terminaux, au nuage et aux applications afin que les comportements suspects puissent être détectés plus tôt et corrélés plus rapidement. L’IA peut aider à la normalisation, à l’enrichissement et à la corrélation logarithmique, améliorant la qualité du signal et accélérant l’ingénierie de détection.
  • Limiter l’exploitabilité – Normaliser les bases renforcées, moderniser là où c’est possible et concevoir des systèmes où l’infiltration n’a pas inévitablement une incidence sur la mission. L’IA peut vérifier la configuration par rapport à la norme établie, détecter les erreurs de configuration et les écarts de contrôle, et accélérer le renforcement en transformant les conclusions en étapes hiérarchisées et pragmatiques de redressement.

Se protéger des menaces accélérées par l’IA grâce à des vérifications systématiques est une tâche continue, mais voici un simple test pour marquer les progrès, à toute étape de vos efforts. Y a-t-il moins de parcours pour atteindre vos « joyaux de la couronne », plus d’endroits où voir l’exploit en action et davantage de façons de le contenir plus rapidement qu’auparavant?

Haut de page

2) Gestion des vulnérabilités : évaluer l’exploitabilité à pleine vitesse, puis l’atténuer de manière décisive

Si l’IA facilite le passage de la vulnérabilité à la faille, la gestion des vulnérabilités devient un concours de vitesse. La capacité cruciale est une évaluation rapide de l’exploitabilité ainsi qu’une atténuation rapide, spécialement lorsque l’application des correctifs est lente, risquée ou limitée sur le plan opérationnel.

L’IA peut venir en aide en accélérant la détermination de ce qui est exploitable, la corrélation des vulnérabilités et des expositions communes (CVE) avec l’inventaire et l’exposition réels, et la traduction des conclusions en mesures priorisées et vérifiables, y compris la proposition de correctifs et de demandes automatisées d’extraction.

Les leaders fédéraux devraient privilégier les mesures suivantes.

  • Triage plus rapide – Déterminer rapidement si une CVE ou un exploit du jour zéro est pertinent dans votre environnement en fonction de l’exposition des actifs, des parcours atteignables, du contexte de privilèges et des contrôles compensatoires existants. L’IA peut rapidement recenser des avis pour votre nomenclature logicielle (SBOM) et votre inventaire d’actifs, les configurations et l’accessibilité observée afin de réduire les fausses urgences et les risques négligés.
  • Mesure de l’exploitabilité – Prioriser quelles CVE peuvent être exploitées dans votre environnement et leurs répercussions sur les activités, non seulement selon l’indice de gravité. L’IA peut modeler les parcours d’attaque potentiels et mettre de l’avant les quelques conditions qui rendent l’exploitation viable.
  • Mesures rapides de contrôle compensatoires – Lorsque les correctifs tardent, déployer des mesures d’atténuation, telles que les changements à la segmentation, la désactivation temporaire de fonctionnalités, les règles de pare-feu d’applications Web (WAF), les contrôles des terminaux, la réduction des privilèges et une surveillance ciblée. Assurer un suivi de la fermeture à l’achèvement. L’IA peut recommander les mesures de contrôle compensatoires les plus efficaces pour votre architecture et vérifier si une stratégie d’atténuation est en place.
  • Capacité d’intensification – Prévoir en fonction de périodes où plusieurs enjeux critiques surviennent en même temps, avec des responsables prédéfinis, des issues de changement d’urgence et des étapes de vérification qui misent sur la disponibilité de la mission. Utiliser l’IA pour auto-générer l’attribution des tâches, valider les correctifs proposés par rapport à la politique et accélérer la collecte de preuves pour la fermeture.

Ceci signifie également d’être honnête quant au point de départ récurrent des intrusions. Plusieurs incidents concrets surviennent encore d’une identité compromise, d’erreurs de configuration ou d’un accès par des tiers. Une gestion soutenue des vulnérabilités doit aller de pair avec un renforcement des identités et des fournisseurs, puisque vos adversaires opteront pour le chemin le plus court vers votre environnement.

Voilà où la rapidité devient tangible et l’IA défensive est clé. Les temps requis pour évaluer, atténuer et vérifier deviennent des paramètres exécutifs, et non des notes techniques de bas de page.

Haut de page

3) Intervention en cas d’incident : rythme plus soutenu, crédibilité accrue, meilleurs résultats

À mesure que les menaces s’accélèrent, l’intervention en cas d’incident doit devenir plus maîtrisée, plus automatisée s’il y a lieu, et plus décisive. La vitesse compte, tout comme la précision. Les organisations fédérales ne peuvent pas se permettre des quêtes futiles ni des délais qui donnent libre cours à une intrusion.

L’IA peut aider les équipes d’intervention en cas d’incident à réagir plus rapidement par une corrélation des signaux dans l’ensemble des outils, résumant ce qui est connu avec preuves à l’appui, préparant des rapports pour les échelons supérieurs, et accélérant la définition de la portée et le soutien à la décision. Parallèlement, les humains gardent le contrôle des approbations et des actions sensibles.

La capacité d’intervention en cas d’incident doit mettre l’accent sur les éléments suivants.

  • Confinement précoce et portée – Limiter rapidement la propagation, identifier les identités et systèmes touchés, et préserver des éléments de preuve. L’IA peut accélérer l’analyse de la portée par la mise en relation des signalements, l’identification des possibles parcours d’origine (« patient zéro ») et la proposition d’étapes de confinement les plus pertinentes en fonction du comportement observé.
  • Des guides reproductibles et une préautorisation – Définir à l’avance quelles mesures de confinement peuvent être exécutées immédiatement, par qui, et selon quelles conditions, afin que les équipes puissent réagir sans délai aux moments qui importent le plus. Mettre à profit l’IA pour recommander le guide adéquat pour le scénario, vérifier les conditions préalables, et générer une attribution cohérente des tâches et de la documentation.
  • Discipline d’enquête plus rigoureuse – Établir les faits avec rapidité et crédibilité afin que l’équipe de direction puisse agir en toute confiance et communiquer sans spéculation. L’IA peut aider les analystes à établir une chronologie des événements, présentant la télémétrie pertinente et soulignant les écarts dans la collecte de preuves qui doivent être comblés en vue de confirmer ou de réfuter les hypothèses.
  • État de préparation de la reprise – Rebâtir et rétablir à un rythme soutenu, vérifier l’intégrité et combler les lacunes qui ont permis l’accès. L’IA peut soutenir la reprise en validant les configurations par rapport aux bases renforcées, en identifiant les risques de persistance résiduels et en accélérant la collecte de preuves pour la fermeture.

Dans un environnement accéléré par l’IA, la meilleure réponse demeure une cadence opérationnelle prête à l’emploi. La diligence, la persistance et une stratégie proactive sont plus importantes que des exploits de dernière minute.

Haut de page

Comment CGI Federal peut vous aider

Notre perspective sur ce sujet est fondée sur des décennies à produire des résultats liés à la cybersécurité au sein d’environnements fédéraux complexes, et à opérer à l’échelle nationale où la rapidité et la reproductibilité sont cruciales. Tout au long du cycle de vie de cybersécurité, CGI Federal soutient les organismes depuis l’évaluation des risques à la détection, à l’intervention et à la modernisation.

Parmi nos capacités figurent des opérations de sécurité 24 heures sur 24 et 7 jours sur 7, des services avancés d’information et de chasse aux menaces, des interventions en cas d’incident, des activités de gouvernance, de risque et de conformité alignées aux exigences fédérales, la méthodologie DevSecOps et des processus d’intégration et de déploiement continus et sécurisés, la gestion des identités et des droits d’accès avec des architectures fondées sur la vérification systématique, et une gestion soutenue des vulnérabilités utilisant l’automatisation.

L’approche de « fondements plus rapides » se reflète également dans la façon dont CGI Federal aide les organismes à favoriser une visibilité et une priorisation à l’échelle de l’entreprise. Le travail de surveillance continue et les programmes de visibilité des risques auprès des organisations fédérales ont confirmé une réalité pour les dirigeants : la véritable résilience provient d’une réduction des délais entre l’alerte, la décision et l’intervention, et de la capacité de reproduire ce processus auprès des divers systèmes et parties prenantes.

À mesure que l’IA accroît la vélocité et la portée des pirates, les organismes combinent de plus en plus de solides processus de cybersécurité à une assistance basée sur l’IA pour le volet défensif également. CGI investit dans l’IA agentive et en applique les capacités pour réduire le temps nécessaire pour déterminer si un changement survenu est sécuritaire. Dans le cycle de vie de développement de logiciels et le pipeline d’intégration et de développement continus, ceci signifie utiliser l’analyse automatisée pour revoir le code, l’infrastructure programmée et faire des changements de configuration à un niveau granulaire.

Repérer des possibilités d’exploitation et recommander des améliorations précises aux contrôles avant le déploiement assure une sécurité renforcée. Dans les opérations, la même approche peut être appliquée pour évaluer en continu la posture de vérification systématique et les configurations de sécurité par rapport à la politique prévue, signaler les dérapages et les erreurs de configuration qui augmentent l’exposition, et accélérer les activités de renforcement en transformant les conclusions en tâches concrètes, en bases mises à jour et en séquences de redressement priorisées.

Examiner les atteintes à la sécurité exige une compréhension du scénario de l’événement depuis l’identité, le terminal, le réseau et le nuage. L’IA agentive peut aider à élaborer ce scénario grâce à l’intégration et la normalisation des journaux ainsi qu’à l’amélioration de la qualité des alertes grâce à un enrichissement et une corrélation plus intelligents.

Dans un contexte de centre de gestion de la sécurité ou d’intervention en cas d’incident, ces capacités peuvent réduire les goulots d’étranglement manuels pour le tri des alertes, la formulation d’hypothèses, l’établissement de la portée et la planification du confinement.

Ces avancées procurent un ensemble de données beaucoup plus détaillées et rapidement compilées pour permettre aux leaders de prendre des décisions informées des risques à la mission beaucoup plus rapidement. Qu’il s’agisse d’intégrer la sécurité au cycle de vie du développement de systèmes, de renforcer les opérations du centre de gestion de la sécurité, d’améliorer la réponse aux vulnérabilités, de sécuriser les systèmes de l’entreprise et d’arrière-guichet, ou de mettre en place des services de cybersécurité en mode délégué, CGI Federal travaille de concert avec les organisations des secteurs publics et privés pour mettre en pratique ces principes fondamentaux à un rythme soutenu au sein d’un environnement aux menaces en constante évolution.

Haut de page