Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Your MTTD Looks Great. Your Post-Alert Gap Doesnt

1 minute de lecture

Mis à jour :

Combler le fossé post-alerte : L’impératif de l’IA dans les SOC

Face à une accélération sans précédent des attaques (temps d’exécution en quelques minutes, voire secondes), les centres d’opérations de sécurité (SOC) font face à un goulot d’étranglement critique : le temps écoulé entre le déclenchement d’une alerte et son analyse réelle par un humain.

Points clés :

  • Obsolescence du MTTD : Le temps moyen de détection (MTTD) est devenu une mesure insuffisante. Bien que la détection soit devenue rapide grâce aux outils modernes, elle ne rend pas compte du délai de traitement (« post-alert gap »).
  • Le problème de la file d’attente : Dans un SOC traditionnel, les alertes stagnent dans des files d’attente. L’investigation manuelle, qui exige la corrélation de données entre plusieurs outils, prend 20 à 40 minutes, laissant aux attaquants une large fenêtre d’opportunité.
  • L’IA comme levier d’exécution : L’automatisation par l’IA permet de supprimer la file d’attente, de corréler les données instantanément et d’effectuer des investigations approfondies à « vitesse machine », permettant de réduire le temps d’investigation (MTTI) sous la barre des deux minutes.

Vulnérabilités : L’article mentionne l’existence de capacités autonomes (modèle “Mythos”) capables d’exploiter des vulnérabilités zero-day sur les principaux systèmes d’exploitation et navigateurs web, soulignant une automatisation croissante de la phase offensive.

Recommandations pour un SOC axé sur l’IA : Il est nécessaire de passer d’indicateurs de performance basés sur la vitesse brute à des mesures centrées sur la qualité et la couverture de sécurité :

  1. Taux de couverture d’investigation : Viser 100 % des alertes analysées en profondeur (contre 5-15 % manuellement).
  2. Surface de détection : Cartographier en continu la couverture selon le framework MITRE ATT&CK pour identifier les zones de cécité.
  3. Vélocité de rétroaction : Automatiser l’intégration des résultats d’investigation pour affiner les règles de détection en temps réel.
  4. Hunting proactif : Convertir systématiquement les découvertes issues de la chasse aux menaces en règles de détection permanentes pour combler les lacunes identifiées.

Source

Vous pourriez aimer