La sophistication croissante des cybermenaces, amplifiée par l’usage offensif de l’IA, redéfinit les priorités de la cybersécurité. L’automatisation des SOC et la cyber threat hunting proactive deviennent essentielles pour préserver la résilience des organisations.
Nous assistons depuis quelque temps à une mutation profonde des cybermenaces de plus en plus sophistiquées au sein d’un environnement IT distribué dans un paysage réglementaire croissant. L’enjeu est devenu existentiel. Une brèche de sécurité majeure peut paralyser l’activité d’une entreprise ou d’une organisation pendant des semaines et impacter durablement leur image.
En l’occurrence, l’avenir sera marqué par des attaques orchestrées par l’intelligence artificielle qui devient un outil central dans les stratégies des cybercriminels. L’explosion des attaques automatisées, plus ciblées et plus difficiles à détecter, les rendra plus efficaces. Face à cela, la défense commence à s’organiser en intégrant dans les outils de défense ces technologies.
Les SOC modernes passent d’un mode réactif à proactif, en recherchant de plus en plus l’automatisation des réactions. La Cyber Threat Hunting, assistée par IA, sur le Darkweb va alors présenter des avantages dans la stratégie de cybersécurité :
* Détection précoce de compromissions ou fuites (identifiant de comptes d’employés en vente ou fuite, données clients exposées, clés API, configurations VPN ou accès RDP compromis, etc.).
* Surveillance de la réputation de l’organisation (discussions de groupes APT ou hackers ciblant l’entreprise, offres d’achat ou d’accès à des infrastructures, campagnes de phishing en préparation contre des utilisateurs ou marques, etc.).
* Renseignement sur les menaces ciblées (connaître les techniques, outils et infrastructures utilisés contre des cibles similaires [sectorielles ou géographiques], détection de nouveaux malwares ou kits d’attaque diffusés sur des forums spécialisés, etc.)
Ce gain représentant un avantage temporel combiné à une automatisation va être un levier dans la gestion des risques pour l’organisation. La mise à jour des bases d’IOCs envoyée au SIEM, le déclenchement d’actions de réinitialisation des mots de passe, le blocage des IPs/domaines liés à des groupes malveillants et autres actions rapides permettront aux analystes d’être plus concentrés sur des analyses plus profondes.
Le SOC augmenté prend alors tout son sens : le bot, véritable radar permanent, fait 80 % du travail (collecte + détection + push IOC) et le hunter (le cerveau humain) intervient sur les 20 % restants. Cette approche riche de sens permettra d’avoir le plus d’impact.
____________________________
Par Cédric Boucly Directeur Cybersécurité chez Tenexa
puis