L’ère des alertes manuelles et des scripts rigides cède la place à des agents IA capables de flairer, comprendre et désamorcer les menaces à la volée. Microsoft passe à la vitesse supérieure en injectant l’intelligence autonome des Agents IA au coeur de ses outils de cybersécurité.
Il y a deux ans presque jour pour jour, Microsoft était le premier à annoncer l’arrivée de l’IA conversationnelle dans la cybersécurité avec son Security Copilot, un outil destiné à seconder les équipes cyber dans l’analyse des logs de sécurité, la compréhension des mécanismes d’attaques, la veille technologique et la mise à niveau des compétences.
Deux ans plus tard, Microsoft est de nouveau l’un des premiers à faire « officiellement » entrer la cybersécurité dans l’ère agentique. L’éditeur a en effet dévoilé cette semaine ses premiers agents IA intégrés à son outil Security Copilot. Fort d’une stratégie « AI-first » et de décennies de recherche en intelligence artificielle, le géant de Redmond mise sur l’automatisation « intelligente », autrement dit par l’IA, pour transformer la cyberdéfense des infrastructures numériques des entreprises.
Un rempart face à l’explosion des cyberattaques
En matière de cybersécurité, l’IA et les automatisations sont présents depuis longtemps, tout simplement parce que la volumétrie des attaques et la volumétrie des données à contrôler dépassent depuis bien longtemps le potentiel intellectuel humain. En 2024, Microsoft a détecté plus de 30 milliards d’e-mails de phishing par exemple.
Mais jusqu’ici, la plupart des réponses automatisées étaient essentiellement algorithmiques, basiques et déclenchées par des alertes préalablement définies par des humains.
Il est temps d’exploiter les capacités d’analyses et de raisonnement des IA génératives pour gagner en intelligence, en réactivité et en niveau d’automatisation des réponses.
C’est exactement ce que vise Microsoft avec toute une série d’agents IA spécialisés capables de trier et traiter de manière autonome des alertes de sécurité, tout en s’adaptant aux retours des administrateurs.
Des agents pour automatiser les défenses
La nouvelle offre comprend six agents développés en interne, intégrés aux solutions phares de Microsoft comme Defender, Purview, Entra (ex Azure AD) et Intune :
Phishing Triage Agent in Microsoft Defender se démarque par sa capacité à distinguer les véritables alertes de phishing des faux positifs, permettant aux équipes de se concentrer sur des incidents plus complexes. Totalement intégré à Microsoft Defender, l’agent explique ses décisions et s’enrichit des retours des administrateurs et experts sécu de l’entreprise.
Alert Triage Agents in Microsoft Purview analysent les alertes de prévention des pertes de données et des risques internes, priorisent les incidents critiques et améliorent continuellement leur précision grâce aux retours des administrateurs. À terme, l’IA pourrait contribuer à fondamentalement métamorphoser l’expérience utilisateur (souvent irritante) des solutions DLP.
Conditional Access Optimization Agent in Microsoft Entra surveille les nouveaux utilisateurs ou applications non couverts par les politiques existantes, identifie les mises à jour nécessaires pour combler les failles de sécurité et recommande des correctifs rapides que les équipes d’identité peuvent appliquer en un clic.
Vulnerability Remediation Agent in Microsoft Intune surveille et priorise automatiquement les vulnérabilités et les tâches de remédiation pour résoudre les problèmes de configuration des applications et des politiques, et accélère les correctifs du système d’exploitation Windows avec l’approbation des administrateurs.
Threat Intelligence Briefing Agent in Security Copilot compile automatiquement des informations pertinentes et actualisées sur les menaces en fonction des attributs uniques d’une organisation et de son exposition aux cybermenaces.
Mais l’éditeur continue de penser et voir ses outils de cybersécurité comme des plateformes ouvertes. En parallèle, Microsoft a donc aussi invité ses partenaires à renforcer cet écosystème en proposant cinq agents complémentaires.
Privacy Breach Response Agent créé par OneTrust analyse les violations de données pour fournir des recommandations à l’équipe de confidentialité sur la manière de respecter les exigences réglementaires.
Network Supervisor Agent imaginé par Aviatrix effectue des analyses de causes profondes et résume les problèmes liés aux pannes et défaillances des connexions VPN, passerelles ou Site2Cloud.
SecOps Tooling Agent de BlueVoyant évalue le SOC et l’état des contrôles pour formuler des recommandations visant à optimiser les opérations de sécurité et à améliorer l’efficacité et la conformité des contrôles.
Alert Triage Agent de Tanium fournit aux analystes le contexte nécessaire pour prendre rapidement et en toute confiance des décisions sur chaque alerte.
Task Optimizer Agent créé par Fletch aide les organisations à prévoir et à prioriser les alertes de cybermenaces les plus critiques pour réduire la fatigue des alertes et améliorer la sécurité.
Vers une protection proactive et intégrée
Prévue pour entrer en « Preview » dès le mois prochain, cette nouvelle approche agentique vise à toujours plus libérer les équipes de sécurité des tâches répétitives pour leur permettre de se concentrer sur des actions à forte valeur ajoutée. Avec cet avantage clé que les agents ne faiblissent jamais et restent opérationnels 100% du temps, permettant ainsi aux entreprises d’être toujours plus réactives face aux cyberattaques. « Ce déploiement marque le début d’une révolution dans la sécurisation des environnements numériques, passant d’une réaction à une protection proactive et intégrée, » explique Alexander Stojanovic, vice-président de Microsoft Security AI Applied Research.
La promesse est belle, reste désormais à vérifier l’efficacité de ces agents IA sur le terrain face à des cyberattaquants qui savent rapidement s’adapter et eux aussi utiliser le potentiel de l’IA à leur profit.
puis