Avec Security Copilot, Microsoft utilise GPT-4 avec un modèle spécifique à la sécurité. Une IA générative pour aider les analystes humains dans les enquêtes et les réponses.
Sa visibilité sur les menaces est alimentée à la fois par les données de sécurité de l’organisation cliente et par celles de Microsoft en matière d’analyse des menaces. Microsoft Security dit ainsi suivre activement plus de 50 groupes de ransomware, environ 250 organisations cybercriminelles d’Etats-nations, et recevoir 65 milles milliards de signaux de menace chaque jour. Sa technologie, indique-t-il, bloque plus de 25 milliards de tentatives de vol de mot de passe par force brute chaque seconde. En moyenne, les analystes de son Security Operations Center (SOC) exploitent plus de 100 sources de données différentes. Les acquisitions récentes telles que RiskIQ en juillet 2021 (solutions de surface d’attaque et de renseignement sur les menaces) et Miburo en juin 2022 (détection des attaques menées par les Etats) l’aident également à disposer de signaux et d’informations sur les acteurs.
Rechercher des attaques bien dissimulées dans un volume important de données et signaux
“Armé de milliers de milliards de signaux et entraîné dans tous les domaines de la sécurité, Security Copilot augmente considérablement la portée, la rapidité et l’efficacité de n’importe quelle équipe de sécurité », revendique Microsoft.
Security Copilot corrèle et résume les données sur les attaques, en hiérarchisant les incidents et en recommandant le meilleur plan d’action pour remédier rapidement à diverses menaces. “Avec Security Copilot, nous faisons pencher la balance en notre faveur. Security Copilot est le premier et le seul produit de sécurité à base d’IA générative permettant aux défenseurs de progresser à la vitesse et à l’échelle de l’IA », avance Vasu Jakkal, vice-présidente de Microsoft Security, citée dans un communiqué.
Security Copilot est censé se perfectionner en permanence pour que les équipes de sécurité disposent des connaissances les plus récentes sur les attaquants, leurs tactiques, leurs techniques et leurs procédures. Et fournir un accès permanent aux modèles OpenAI les plus avancés pour soutenir les tâches et les applications de sécurité.
Intégrer l’investissement dans OpenAI dans tous les produits et services possibles
Allie Mellen, analyste senior chez Forrester, explique : “Security Copilot prolonge naturellement la stratégie de Microsoft visant à intégrer son investissement dans OpenAI dans tous les produits et services qu’il peut », alors que Microsoft injecte plusieurs milliards de dollars dans son partenariat avec le spécialiste de l’intelligence artificielle, créateur du robot conversationnel ChatGPT. Selon l’analyste, Security Copilot va devenir “le tissu conjonctif” de tous les produits de sécurité Microsoft. Microsoft précise lui-même que Security Copilot “s’intègre de manière native à une liste croissante » de ses produits de sécurité, tels que “Sentinel et Defender », et qu’il s’intégrera également aux produits tiers.
L’IA, la panacée ?
L’analyste émet des réserves sur la solution. Les réponses de l’IA devront être bonnes sous peine de décevoir. Compromis, Security Copilot pourrait fournir une énorme quantité d’informations aux adversaires. Enfin, l’utilité de l’assistant est restreinte par les mêmes limites que celles qui existent aujourd’hui pour les équipes de sécurité : une mauvaise visibilité et une mauvaise connaissance de la situation limiteront son impact.
Malgré tout, elle s’enthousiasme : “C’est la première fois qu’un produit est en mesure d’apporter une véritable amélioration en matière d’investigation et de réponse grâce à l’IA. Avec cette annonce, nous quittons une ère où l’IA était reléguée à la détection et entrons dans une ère où l’IA a le potentiel d’améliorer l’une des questions les plus importantes dans les opérations de sécurité : l’expérience de l’analyste (AX) ».
Microsoft ne précise pas le calendrier de déploiement de Security Copilot.