Article original : The AI and Cybersecurity Handbook – Past the Hype and Onto the ROI

L'intelligence artificielle (IA) est devenue l'une des technologies les plus discutées dans le domaine de la cybersécurité. Sous l'impulsion de la sophistication croissante des cybermenaces et des pénuries de talents, les organisations se tournent vers l'IA comme multiplicateur de force pour les équipes de sécurité.

Mais l'intégration de l'IA dans les flux de travail de sécurité nécessite une planification et une évaluation réfléchies. Les leaders en cybersécurité ont besoin de données fiables pour justifier le cas commercial et le retour sur investissement (ROI) par rapport aux outils et processus existants.

Bien que la promesse de l'IA soit alléchante, le battage médiatique ne correspond pas toujours à la réalité une fois déployée dans des environnements opérationnels complexes.

Ce manuel analysera les avantages, les coûts et les limitations réels de la cybersécurité de l'IA sur la base des preuves actuelles et des cas d'utilisation.

En adoptant une approche rigoureuse des métriques et des cadres utilisés pour calculer le ROI, les leaders en cybersécurité peuvent prendre des décisions d'adoption éclairées alignées sur leurs objectifs commerciaux. L'objectif est de couper à travers le battage médiatique et d'évaluer comment l'IA apporte de la valeur aujourd'hui, ainsi que les lacunes qui doivent encore être abordées à l'avenir.

Avec les risques cybernétiques qui continuent de croître, comprendre le rôle pragmatique de l'IA dans la réduction des coûts, l'amélioration de la productivité et permettre aux humains de se concentrer sur des analyses à plus forte valeur ajoutée est essentiel.

Table des matières :

  1. La promesse et le potentiel de la cybersécurité de l'IA
  2. Principaux avantages de l'IA dans la cybersécurité
  3. Comment quantifier le retour sur investissement (ROI)
  4. Ce qu'il faut considérer lors de l'incorporation de l'IA dans vos pratiques de sécurité
  5. Lacunes dans la technologie et obstacles à surmonter
  6. Conclusion

La promesse et le potentiel de la cybersécurité de l'IA

L'IA est apparue comme un outil prometteur pour augmenter les analystes humains dans plusieurs domaines clés des opérations de sécurité. Examinons ces domaines maintenant.

Détection des menaces

L'application de méthodologies d'IA, telles que l'apprentissage automatique, a permis l'examen automatique de volumineux ensembles de données provenant de terminaux, de réseaux et d'environnements cloud. Cela a permis l'identification de menaces à la fois familières et précédemment inexplorées.

Les systèmes d'IA excellent dans la mise en avant des menaces qui pourraient échapper aux systèmes basés sur des règles en signalant des anomalies et des comportements suspects.

Réponse automatisée

À la suite de la détection des menaces, l'IA intervient de manière transparente pour déclencher des réponses automatisées, englobant des actions telles que le blocage des adresses IP malveillantes, la mise en quarantaine des terminaux infectés ou la désactivation des comptes utilisateurs compromis.

Cela accélère le processus, minimisant la dépendance à l'exécution manuelle des réponses par les analystes humains.

Priorisation des alertes

Les équipes de sécurité sont souvent submergées par un déluge d'alertes, ce qui peut entraîner des négligences potentielles.

Dans ces cas, l'IA intervient pour jouer un rôle pivot dans le tri des notifications, en isolant celles qui nécessitent un examen humain immédiat en raison de leur urgence ou de leur nature à haute fidélité.

Cette priorisation judicieuse réduit le bruit et garantit que les menaces critiques ne passent pas entre les mailles du filet.

Réduction des faux positifs

La capacité des algorithmes d'IA à distinguer les activités normales des activités anormales s'améliore avec le temps. Par conséquent, ces algorithmes deviennent aptes à éliminer les faux positifs qui tendent à affliger les systèmes basés sur des règles. Ce tri des alertes superflues entraîne une réduction de la charge de travail pour les analystes.

Le point commun sous-jacent à ces efforts est qu'ils utilisent tous des techniques d'apprentissage automatique pour découvrir des menaces cachées, naviguer à travers la cacophonie des alertes et libérer la capacité humaine pour s'engager dans des poursuites analytiques à plus forte valeur ajoutée.

Image

Principaux avantages de l'IA dans la cybersécurité

Il existe de nombreux avantages à utiliser l'IA (correctement) dans vos équipes de cybersécurité. En voici quelques-uns :

Réduction des coûts

L'IA introduit l'automatisation dans le domaine de la cybersécurité, traitant efficacement les tâches manuelles et répétitives qui ont traditionnellement été le domaine des analystes.

Les activités qui impliquent l'examen minutieux des journaux, l'établissement manuel de corrélations entre les événements et la documentation minutieuse des résultats pour les rapports peuvent désormais être déléguées aux systèmes d'IA.

Ce changement permet de gagner beaucoup de temps pour ces analystes et leur permet de canaliser leurs énergies dans des entreprises d'investigation plus complexes et à fort impact, telles que la chasse aux menaces et l'analyse approfondie.

Rapidité de réponse améliorée

La capacité innée des systèmes d'IA à traiter et assimiler les données plus rapidement que les humains est un avantage significatif. Ces systèmes peuvent déclencher de manière autonome des actions pour isoler ou bloquer les menaces dès qu'elles sont détectées, évitant ainsi le besoin d'autorisation de l'analyste.

Cette approche proactive réduit considérablement le temps de séjour dont disposent les acteurs malveillants pour manœuvrer dans un environnement compromis et infliger des dommages.

Lors des incidents de sécurité, la capacité de traitement rapide des données de l'IA lui permet de naviguer rapidement à travers des quantités copieuses d'informations, déduisant les causes profondes et identifiant les actifs affectés.

Précision élevée

Les algorithmes fondamentaux qui sous-tendent la technologie de l'IA évoluent et s'affinent avec le temps, améliorant progressivement leur capacité à discerner les anomalies.

En comparaison avec les systèmes basés sur des règles, l'IA présente des taux plus faibles de faux positifs. Grâce à un apprentissage continu et à une adaptation aux intricacités uniques de l'environnement d'une organisation, l'IA devient apte à filtrer les alertes bruyantes. Cela leur permet de présenter aux analystes de sécurité des indicateurs à haute fidélité de menaces potentielles.

La priorisation stratégique des tâches garantit que les menaces les plus pressantes sont traitées rapidement, contribuant à un processus de réponse rationalisé.

Perspectives complètes

Les systèmes d'IA présentent la capacité d'ingérer et d'assimiler une diversité d'ensembles de données provenant de terminaux, de serveurs, de réseaux, d'environnements cloud et au-delà.

En corrélant intelligemment les signaux à travers cet ensemble de données multifacettes, l'IA facilite la création d'une perspective panoramique des menaces couvrant l'infrastructure hybride.

Les analystes de sécurité obtiennent un niveau de visibilité augmenté et une capacité améliorée pour la détection proactive des menaces à travers l'ensemble de la surface d'attaque. Cela les aide à être plus efficaces dans leurs efforts de chasse aux menaces.

Image

Comment quantifier le retour sur investissement (ROI)

Vous pouvez évaluer directement votre retour sur investissement (ROI) si vous ou votre équipe avez investi dans la cybersécurité pilotée par l'IA en utilisant quelques cadres structurés :

Analyse coût-bénéfice

L'analyse coût-bénéfice (CBA) est un processus systématique utilisé pour comparer les avantages (bénéfices) et les inconvénients (coûts) d'un projet, d'une politique ou d'un investissement proposé. Elle aide les décideurs à évaluer les résultats potentiels de différentes options et à choisir celle qui offre le meilleur équilibre entre bénéfices et coûts.

L'objectif de la CBA est de quantifier les impacts économiques, sociaux et environnementaux d'une proposition et d'évaluer sa valeur monétaire. Cela inclut l'estimation des coûts de mise en œuvre de la proposition, ainsi que les bénéfices anticipés, tels que l'augmentation des revenus, la réduction des dépenses, l'amélioration de la productivité ou l'amélioration de la qualité de vie.

Exemple d'analyse coût-bénéfice :

Prenons un exemple fictif. Finaxis Corporation est une institution financière de taille moyenne avec plusieurs succursales à travers le pays. L'entreprise a connu une croissance significative ces dernières années, et en conséquence, elles ont vu une augmentation du nombre de cyberattaques ciblant ses systèmes.

Pour résoudre ce problème, Finaxis Corporation envisage d'investir dans un outil de sécurité alimenté par l'IA pour renforcer ses mesures de sécurité existantes.

L'objectif de cette CBA est d'évaluer les coûts et bénéfices potentiels de l'investissement dans un outil de sécurité alimenté par l'IA afin de déterminer si l'investissement est justifié.

Les coûts comprendront :

  • Investissement initial : Le coût d'achat et de mise en œuvre de l'outil de sécurité alimenté par l'IA est estimé à 500 000 $.
  • Coûts de maintenance continus : Le coût annuel de maintenance et de mise à jour de l'outil de sécurité alimenté par l'IA est estimé à 100 000 $.
  • Coûts de formation et de support : Le coût de formation du personnel informatique de Finaxis Corporation sur l'utilisation efficace de l'outil de sécurité alimenté par l'IA est estimé à 20 000 $.
  • Réduction potentielle de la productivité : Pendant la phase de mise en œuvre, Finaxis Corporation pourrait subir une réduction de la productivité en raison de la courbe d'apprentissage associée à la nouvelle technologie. Cette réduction de la productivité est estimée durer trois mois et est évaluée à 50 000 $.

Les bénéfices comprendront :

  • Amélioration de la détection et de la prévention des cyberattaques : L'outil de sécurité alimenté par l'IA devrait détecter et prévenir les cyberattaques plus efficacement que les mesures de sécurité actuelles de Finaxis Corporation. Cela réduira la probabilité de violations de données et minimisera l'impact des attaques réussies.
  • Réduction des faux positifs : L'outil de sécurité alimenté par l'IA devrait également réduire le nombre de faux positifs générés par les mesures de sécurité actuelles de Finaxis Corporation. Cela permettra d'économiser du temps et des ressources qui étaient précédemment consacrés à l'investigation et à la résolution d'alertes inutiles.
  • Réponse aux incidents améliorée : L'outil de sécurité alimenté par l'IA fournira à Finaxis Corporation des renseignements sur les menaces en temps réel et des capacités de réponse aux incidents automatisées, leur permettant de répondre rapidement et efficacement aux incidents de sécurité.
  • Conformité : L'outil de sécurité alimenté par l'IA aidera Finaxis Corporation à respecter les exigences de conformité réglementaire liées à la cybersécurité, réduisant ainsi le risque d'amendes et de dommages à la réputation.
  • Avantage concurrentiel : En investissant dans un outil de sécurité alimenté par l'IA, Finaxis Corporation obtiendra un avantage concurrentiel sur les autres institutions financières qui n'ont pas accès à une technologie similaire.

Sur la base des calculs ci-dessus, le coût total prévu de l'investissement dans l'outil de sécurité alimenté par l'IA sur cinq ans est de 1 320 000 $ (500 000 $ d'investissement initial + 100 000 $ par an pour la maintenance et les mises à jour + 20 000 $ pour la formation et le support).

D'autre part, les bénéfices prévus de l'investissement dans l'outil de sécurité alimenté par l'IA sur cinq ans sont :

  • Amélioration de la détection et de la prévention des cyberattaques : 2 000 000 $
  • Réduction des faux positifs : 500 000 $
  • Réponse aux incidents améliorée : 500 000 $
  • Conformité : 200 000 $
  • Avantage concurrentiel : 500 000 $
  • Total des bénéfices prévus : 3 700 000 $

Sur la base des résultats de la CBA, l'investissement dans un outil de sécurité alimenté par l'IA est justifié. Les bénéfices prévus de l'investissement l'emportent largement sur les coûts, avec une valeur actuelle nette de 2 380 000 $ sur cinq ans.

De plus, l'investissement devrait s'autofinancer en deux ans, et Finaxis Corporation continuera à réaliser des bénéfices au-delà de ce point.

Dans ce cas, nous recommanderions à Finaxis Corporation de procéder à l'investissement dans l'outil de sécurité alimenté par l'IA.

Période de récupération

La période de récupération est une approche structurée pour évaluer la rentabilité d'un investissement ou d'un projet en calculant le temps nécessaire pour que l'investissement génère suffisamment de retours pour égaler le montant investi.

Le cadre inclut généralement le calcul de l'investissement initial, des flux de trésorerie attendus et de la période de récupération elle-même, qui est le temps nécessaire pour que les flux de trésorerie cumulés égalent l'investissement initial.

Exemple de période de récupération :

CyberShield Corporation est un fournisseur fictif de solutions de cybersécurité, et ils envisagent d'investir dans une plateforme d'intelligence artificielle (IA) pour améliorer leurs outils de sécurité existants.

La plateforme d'IA permettra à CyberShield de détecter et de répondre aux menaces avancées plus efficacement, d'améliorer les temps de réponse aux incidents et de réduire le nombre de faux positifs générés par leurs systèmes actuels.

Investissement initial : Le coût de développement et d'intégration de la plateforme d'IA dans les outils de sécurité existants de CyberShield est estimé à 1 million de dollars. De plus, il y aura des frais de licence continus pour l'utilisation du logiciel d'IA, qui devraient être de 500 000 $ par an.

Flux de trésorerie attendus : CyberShield prévoit que la plateforme d'IA générera les flux de trésorerie suivants au cours des cinq prochaines années :

  • Année 1 : Revenus des ventes des outils de sécurité améliorés par l'IA : 2 millions de dollars. Économies de coûts grâce à la réduction des faux positifs et à l'amélioration des temps de réponse aux incidents : 500 000 $. Flux de trésorerie total : 2,5 millions de dollars
  • Année 2 : Revenus des ventes des outils de sécurité améliorés par l'IA : 3,5 millions de dollars. Économies de coûts grâce à la réduction des faux positifs et à l'amélioration des temps de réponse aux incidents : 750 000 $. Flux de trésorerie total : 4,2 millions de dollars
  • Année 3 : Revenus des ventes des outils de sécurité améliorés par l'IA : 5 millions de dollars. Économies de coûts grâce à la réduction des faux positifs et à l'amélioration des temps de réponse aux incidents : 1 million de dollars. Flux de trésorerie total : 6 millions de dollars
  • Année 4 : Revenus des ventes des outils de sécurité améliorés par l'IA : 6,5 millions de dollars. Économies de coûts grâce à la réduction des faux positifs et à l'amélioration des temps de réponse aux incidents : 1,25 million de dollars. Flux de trésorerie total : 7,75 millions de dollars
  • Année 5 : Revenus des ventes des outils de sécurité améliorés par l'IA : 8 millions de dollars. Économies de coûts grâce à la réduction des faux positifs et à l'amélioration des temps de réponse aux incidents : 1,5 million de dollars. Flux de trésorerie total : 9,5 millions de dollars

Pour calculer la période de récupération, nous devons déterminer quand les flux de trésorerie totaux de l'investissement égalent l'investissement initial. Sur la base des flux de trésorerie attendus ci-dessus, nous pouvons calculer la période de récupération comme suit :

Période de récupération = (Investissement initial / Flux de trésorerie totaux) x Nombre d'années

En utilisant les chiffres ci-dessus, nous obtenons :

Période de récupération = (1 million de dollars + 500 000 dollars) / (2,5 millions de dollars + 500 000 dollars + 750 000 dollars + 1 million de dollars + 1,25 million de dollars + 1,5 million de dollars) x 5

Période de récupération = 3,5 ans

Cela signifie qu'il faudra environ 3,5 ans pour que l'investissement dans la plateforme d'IA rembourse l'investissement initial et les frais de licence continus. Après ce point, les flux de trésorerie de l'investissement dépasseront l'investissement initial, résultant en un gain net pour CyberShield Corporation.

Sur la base de l'analyse de la période de récupération, l'investissement dans la plateforme d'IA semble être une bonne décision pour CyberShield Corporation. Les flux de trésorerie attendus de l'investissement couvriront l'investissement initial et les frais de licence continus dans les 3,5 ans, et le gain net après ce point contribuera au résultat net de l'entreprise.

Mais il est important de noter que d'autres facteurs tels que la tolérance au risque, les coûts d'opportunité et l'alignement stratégique doivent également être pris en compte avant de prendre une décision finale sur l'investissement.

Valeur actuelle nette

La valeur actuelle nette (NPV) est une métrique financière qui mesure la différence entre la valeur actuelle d'une série de flux de trésorerie futurs attendus et l'investissement initial nécessaire pour réaliser ces flux de trésorerie. Elle représente la valeur totale d'un investissement à ce jour, en tenant compte de la valeur temporelle de l'argent et du risque associé à l'investissement.

Voici une formule générique pour la NPV :
Valeur actuelle nette (NPV) = Σ (CFt / (1+r)^t) - Investissement initial

Où :

  • NPV = Valeur actuelle nette
  • CFt = Flux de trésorerie en année t
  • r = Taux d'actualisation
  • t = Période de temps
  • Investissement initial = Le montant d'argent investi initialement

Le taux d'actualisation (r) reflète le coût du capital ou le coût d'opportunité de l'investissement dans le projet. Il prend en compte le risque associé à l'investissement et le rendement qui pourrait être obtenu si les fonds étaient investis ailleurs.

Les flux de trésorerie (CFt) représentent le revenu ou les revenus générés par l'investissement au fil du temps. Ces flux de trésorerie peuvent être positifs ou négatifs, selon la nature de l'investissement.

En soustrayant l'investissement initial de la somme des flux de trésorerie actualisés, nous obtenons la NPV, qui représente la valeur totale de l'investissement à ce jour. Une NPV positive indique que l'investissement devrait générer plus de valeur que l'investissement initial, tandis qu'une NPV négative suggère que l'investissement pourrait ne pas être rentable.

Exemple de valeur actuelle nette :

Paragon Secure Enterprises est une entreprise fictive de cybersécurité qui fournit des services de détection et de prévention des menaces aux entreprises. Ils envisagent d'investir dans un système de détection des menaces alimenté par l'IA pour améliorer leur capacité à identifier et à atténuer les cybermenaces.

Le système coûtera 1 million de dollars initialement, et l'entreprise prévoit d'économiser 200 000 $ par an en coûts d'exploitation grâce à une efficacité et une précision améliorées. Le système devrait durer 5 ans, et l'entreprise prévoit de générer un revenu supplémentaire de 500 000 $ par an grâce à de nouveaux clients attirés par les capacités améliorées du système d'IA.

Analyse de la NPV :

  • Déterminer l'investissement initial : 1 million de dollars (coût initial du système d'IA)
  • Déterminer les économies annuelles de coûts d'exploitation : 200 000 $ (économies de coûts estimées grâce à une efficacité et une précision améliorées)
  • Déterminer le revenu supplémentaire généré : 500 000 $ (revenu supplémentaire estimé provenant de nouveaux clients)
  • Déterminer le taux d'actualisation : En supposant un taux d'actualisation de 10 % par an pour tenir compte de la valeur temporelle de l'argent et du risque associé à l'investissement.
  • Déterminer la NPV :
    Première année : NPV = (-1 million de dollars) x (1 + 0,10)^1 = -110 000 $
    Deuxième année : NPV = (-1 million de dollars) x (1 + 0,10)^2 = -121 000 $
    Troisième année : NPV = (-1 million de dollars) x (1 + 0,10)^3 = -133 000 $
    Quatrième année : NPV = (-1 million de dollars) x (1 + 0,10)^4 = -146 000 $
    Cinquième année : NPV = (-1 million de dollars) x (1 + 0,10)^5 = -160 000 $
  • Ajouter la NPV pour chaque année : NPV = -110 000 $ + -121 000 $ + -133 000 $ + -146 000 $ + -160 000 $ = -660 000 $
  • Calculer la valeur actuelle nette : NPV = -660 000 $

La NPV de l'investissement dans l'IA est négative, indiquant que l'investissement n'est pas censé générer un retour sur investissement positif. Cela est dû au fait que l'investissement initial de 1 million de dollars est supérieur aux économies et revenus supplémentaires prévus sur les 5 ans.

Mais l'entreprise peut toujours choisir d'investir dans le système d'IA si elle croit que les capacités améliorées de détection des menaces fourniront des avantages non financiers significatifs, tels qu'une confiance et une fidélité accrues des clients, une réputation améliorée et un meilleur positionnement face aux concurrents.

Des facteurs tels que les délais requis, les taux d'actualisation et les avantages intangibles peuvent influencer le cadre le plus approprié. Mais tous fournissent des approches basées sur les données pour évaluer les retours de la cybersécurité de l'IA au-delà des sentiments instinctifs ou du battage médiatique des vendeurs.

Métriques essentielles pour l'évaluation du ROI

Le calcul du ROI implique l'incorporation de plusieurs métriques critiques dans le processus d'évaluation :

Diminution des coûts de violation : Un composant pivot pour projeter le ROI est la modélisation des réductions potentielles des dépenses liées aux violations facilitées par l'IA. Pour ce faire, vous devrez effectuer une analyse approfondie des coûts actuels de violation, en tenant compte d'éléments tels que le volume d'enregistrements compromis, le temps d'arrêt du système, les pénalités réglementaires, les dépenses juridiques et les frais de récupération.

Pour améliorer la précision de cette évaluation, assurez-vous de comparer avec les moyennes de l'industrie. Estimez les déclins anticipés à travers ces composants de coût, découlant des capacités pilotées par l'IA de prévention automatique des menaces, de réponse rapide aux incidents et de propagation réduite des dommages.

Par exemple, la détection par apprentissage automatique pilotée par l'IA pourrait empêcher une attaque par ransomware qui aurait pu perturber les opérations pendant 48 heures. L'évitement des coûts réalisé en empêchant un tel temps d'arrêt devrait être incorporé.

L'analyse de la cause racine pilotée par l'IA pourrait avoir confiné une violation à 10 000 enregistrements au lieu de 50 000. Quantifiez la réduction résultante des dépenses de récupération, des pénalités, des actions juridiques, etc.

Cette modélisation minutieuse des coûts de violation sert de base solide pour justifier les investissements dans la cybersécurité de l'IA et améliorer la précision des projections de ROI.

Économies de temps des analystes : Pour dériver le ROI de l'IA, vous devrez effectuer un audit complet des flux de travail actuels des analystes afin d'identifier les voies d'automatisation. Cela implique de cataloguer les heures que les analystes consacrent à des activités telles que la corrélation manuelle des données, la documentation des incidents, les investigations sur les faux positifs, la génération de rapports et d'autres tâches répétitives.

Collaborez avec les équipes pour quantifier cette charge de travail en termes d'heures équivalentes à temps plein (ETP) par semaine. Calculez les économies de temps potentielles qui découlent du remplacement de ces tâches par l'automatisation pilotée par l'IA. Évaluez le potentiel d'augmentation de la productivité en réallouant les analystes à des entreprises plus stratégiques telles que la planification stratégique et la chasse aux menaces.

Vous pouvez également modéliser la réduction potentielle des coûts due au besoin de moins d'analystes de niveau 1, grâce à l'automatisation. N'oubliez pas de prendre en compte le potentiel d'amélioration de la satisfaction et de la rétention des employés en soulageant les travailleurs humains des tâches monotones.

Cette analyse granulaire des économies de temps fournit les bases pour calculer le ROI de l'IA en utilisant une productivité accrue, une allocation optimisée de la main-d'œuvre et un pool d'analystes plus motivé.

Productivité améliorée : La capacité de l'IA à élever la productivité des analystes est convaincante. Vous pouvez calculer les améliorations d'efficacité projetées en contrastant le rythme actuel de traitement des alertes, des cas et des incidents avec la vitesse projetée facilitée par le tri et la priorisation basés sur l'IA.

Par exemple, une plateforme d'IA pourrait potentiellement doubler le volume d'incidents à haute fidélité que chaque analyste peut gérer pendant un quart de travail. Considérez les temps de réponse accélérés qui pourraient être réalisés si les analystes se concentrent exclusivement sur les 10 % d'alertes classées par risque commercial. Vous pouvez également prendre en compte les gains de productivité découlant de la réduction du turnover et de l'épuisement professionnel résultant de l'élimination des tâches répétitives et fastidieuses pour les travailleurs humains.

Interrogez différentes équipes pour quantifier avec précision les augmentations potentielles de productivité basées sur le temps économisé par un "collègue" IA traitant la collation de données de routine, la rédaction de rapports et la corrélation d'informations. Construisez des modèles pour représenter diverses hypothèses concernant les gains de productivité, telles que 10 %, 25 % ou 50 % de débit supérieur.

La précision de ces estimations augmente la capacité des dirigeants à évaluer le ROI de l'IA, basé sur sa capacité à permettre aux équipes de sécurité d'accomplir davantage.

Réduction des faux positifs : La cybersécurité pilotée par l'IA peut apporter une réduction du problème épineux des faux positifs, qui affligent souvent les mécanismes de défense conventionnels.

Commencez par quantifier les taux actuels de faux positifs de l'organisation, basés sur une analyse des alertes de menace, des événements IPS, des détections de logiciels malveillants et des points de données connexes. Ensuite, évaluez la réduction potentielle basée sur les améliorations documentées attribuées aux solutions soutenues par l'IA.

Par exemple, un antivirus avancé basé sur l'IA pourrait potentiellement réduire les faux positifs de 90 %. Calculez les économies de coûts consécutives lorsque les analystes passent 50 % moins de temps à enquêter sur des alertes et des événements système erronés. Vous pouvez également prendre en compte l'augmentation en aval de la productivité, car les analystes redirigent leurs efforts vers la chasse proactive aux menaces au lieu de poursuivre de fausses alertes.

Il vaut également la peine d'essayer de monétiser les avantages tels que l'amélioration de la qualité du renseignement sur les menaces et la gestion renforcée des vulnérabilités facilitée par le soutien de l'IA.

Plus l'évaluation des points de douleur actuels associés aux faux positifs est précise, plus la justification financière devient convaincante pour les investissements dans la cybersécurité pilotée par l'IA qui améliorent la précision et l'efficacité opérationnelle.

Idéalement, les estimations devraient être basées sur des cas d'utilisation documentés, des projets pilotes et des références de vendeurs pour étayer les valeurs utilisées dans les projections de ROI.

Ce qu'il faut considérer lors de l'incorporation de l'IA dans vos pratiques de sécurité

Il existe plusieurs limitations potentielles et risques qui méritent une considération attentive. Voici ce que vous devriez penser avant d'incorporer l'IA dans vos pratiques de sécurité.

Investissement initial

L'adoption de capacités d'IA de niveau entreprise implique des investissements initiaux substantiels, ce qui peut tempérer les projections initiales de ROI. Les plateformes de cybersécurité d'IA de premier plan proposées par les fournisseurs peuvent avoir des prix s'élevant à des millions de dollars lorsqu'on tient compte des frais de licence sur plusieurs années, des mises à niveau matérielles nécessaires, des services d'intégration, des dépenses de formation, et plus encore.

La transition englobe divers coûts associés, y compris des tâches telles que l'agrégation et la préparation des pipelines de données pour la formation des modèles d'IA, l'intégration des outils d'IA avec l'infrastructure de sécurité existante, le déploiement progressif des environnements de production, et la formation et la gestion du changement nécessaires pour familiariser les équipes de sécurité avec cette nouvelle technologie.

Étant donné l'engagement de capital substantiel avant de récolter les bénéfices, le délai de récupération est prolongé. De plus, la réalisation effective des résultats prometteurs de l'IA dans tous les environnements n'est pas garantie. Cela introduit des retards potentiels supplémentaires ou des attentes de ROI diminuées.

Maintien des opérations

Après le déploiement, vous devrez consacrer des ressources significatives pour maintenir le fonctionnement des systèmes d'IA et effectuer une maintenance, un ajustement et une amélioration des performances continus.

Le paysage des cybermenaces évolue rapidement, ce qui signifie que vous devrez fréquemment réentraîner les modèles sur de nouvelles données pour détecter les schémas d'attaque émergents. Des ressources adéquates, y compris des scientifiques des données et des ingénieurs en apprentissage automatique, sont essentielles pour maintenir le calibrage approprié de l'IA.

Si vous n'avez pas suffisamment de professionnels qualifiés en IA dans vos équipes, cela peut sévèrement entraver vos efforts pour maintenir une efficacité optimale et un ROI.

La gestion continue des modèles implique le maintien des pipelines de données, la surveillance des métriques de précision des modèles changeants, la révalidation, la mise en œuvre de boucles de rétroaction continues, et plus encore. Négliger cet aspect opérationnel complexe peut conduire à la détérioration des modèles au fil du temps. Cela peut également entraîner une augmentation des faux positifs, des menaces manquées et une productivité diminuée (et finalement entraver l'atteinte du ROI).

Maintenir un ROI maximal de la cybersécurité de l'IA n'est pas une simple proposition plug-and-play. Au contraire, cela demande du personnel expérimenté pour surveiller, valider et élever l'IA tout au long de sa durée de vie opérationnelle.

Manque de transparence

De nombreux systèmes d'IA reposent sur des algorithmes complexes qui fonctionnent souvent comme des boîtes noires, avec une transparence limitée sur la logique derrière certaines sorties, prédictions ou conclusions.

Ce manque de transparence pose un défi significatif pour les équipes de cybersécurité adoptant l'IA, car elles luttent pour ne pas pouvoir examiner les fondements des recommandations générées par la machine.

Si vous ne pouvez pas voir le processus de prise de décision de l'IA, la rectification des résultats inexacts, la résolution des biais ou des problèmes de performance devient de plus en plus complexe. Les équipes pourraient hésiter à faire confiance aux informations d'un système d'IA qu'elles ne peuvent pas pleinement comprendre.

Le manque d'explicabilité affecte également négativement l'optimisation complète des modèles au fil du temps. Sans une compréhension précise de la raison et de la manière dont l'IA détecte les menaces, la boucle de rétroaction nécessaire pour l'amélioration incrémentielle de la précision est entravée.

Bien qu'il y ait eu des améliorations dans le domaine de l'IA explicable pour éclairer ces boîtes noires, la technologie reste naissante, en particulier pour les applications d'apprentissage profond complexes dans la cybersécurité. L'opacité caractérisant de nombreux systèmes d'IA leaders aujourd'hui sert d'obstacle à la maximisation et à la démonstration visible d'un ROI mesurable.

Nouvelles surfaces d'attaque

L'intégration de l'IA introduit de potentielles nouvelles surfaces d'attaque qui étaient absentes dans les paradigmes précédents. Les entités adverses élaborent activement des stratégies pour éviter et manipuler les modèles d'apprentissage automatique par le biais de techniques telles que l'empoisonnement des données, l'évasion des modèles et l'ingénierie inverse des algorithmes.

Par exemple, les adversaires pourraient subtilement corrompre les données d'entraînement au fil du temps pour amplifier les faux négatifs au sein d'un modèle de détection des menaces. Ils pourraient également identifier les angles morts dans les modèles et orchestrer des attaques conçues pour contourner la détection.

En réponse, les équipes de cybersécurité devraient surveiller, corriger et réentraîner en permanence les modèles pour contrer un ensemble en constante évolution d'attaques ciblant l'IA. Cette dynamique de chat et de souris adversariale peut augmenter les coûts, impactant négativement le ROI.

De plus, le potentiel que les défaillances de l'IA ou les prédictions erronées puissent provoquer des incidents de sécurité imprévus en raison de vulnérabilités non anticipées pose un risque supplémentaire. Comme toute technologie naissante, vous devez peser judicieusement les risques latents et les coûts associés à un paysage de menaces en évolution dynamique façonné par l'IA lors de la prévision du ROI.

Image

Lacunes dans la technologie et obstacles à surmonter

Qualité des données

Un inconvénient majeur des systèmes d'IA réside dans leur dépendance à des volumes substantiels de données de haute qualité pour une formation efficace. Des données bruyantes, biaisées, incomplètes ou chargées d'erreurs peuvent profondément compromettre la précision des modèles et conduire à des résultats erronés.

Par exemple, un algorithme de détection des menaces formé sur des données involontairement biaisées vers certains schémas d'anomalies pourrait négliger des menaces réelles qui ne se conforment pas à ces schémas. La présence de lacunes ou d'irrégularités dans les journaux de trafic réseau, la télémétrie des terminaux ou d'autres sources de données peut encore réduire l'efficacité réelle de l'IA.

Le processus de nettoyage et de préparation des données d'entreprise pour le déploiement de l'IA est complexe et chronophage. Les dépenses associées au maintien de l'infrastructure, des compétences et de la gouvernance essentielles pour la gestion et les opérations continues des données sont considérables.

Si vous ne traitez pas les problèmes de qualité des données dès le départ, vos équipes de cybersécurité pourraient avoir du mal à traduire les investissements dans l'IA en ROI tangible.

Les domaines d'accentuation clés incluent :

  • Établir des pipelines pour filtrer, normaliser et étiqueter les ensembles de données d'entraînement.
  • Surveillance continue de la qualité des données et des indicateurs de performance des modèles.
  • Développer une expertise interne en IA et en science des données pour une validation minutieuse des modèles.
  • Assurer la diversité, l'exhaustivité et la précision des flux de données nourrissant les systèmes d'IA.

Dilemmes d'explicabilité

Un obstacle notable à la réalisation du potentiel maximal des investissements dans la cybersécurité de l'IA découle de la nature intrinsèque de boîte noire de nombreux algorithmes d'apprentissage automatique. Les mécanismes complexes qui sous-tendent les modèles comme les réseaux neuronaux profonds restent très insondables.

En conséquence, les équipes de sécurité se retrouvent avec une compréhension minimale de la logique motivant les conclusions ou déterminations de l'IA, telles que la décision de bloquer certains trafics ou de signaler des anomalies particulières.

Ce manque d'explicabilité entrave profondément les efforts pour résoudre les détections inexactes, identifier les biais latents et améliorer continuellement les performances réelles.

Si les membres de l'équipe ne comprennent pas la logique derrière les résultats de l'IA, cela peut favoriser une méfiance inhérente envers les recommandations du système parmi les analystes.

Les contraintes en matière d'explicabilité entravent également les audits minutieux pour les exigences de gouvernance et de conformité. Le processus d'optimisation continue des modèles est entravé lorsque les facteurs influençant les résultats restent dans des boîtes noires.

Bien que des techniques émergentes comme LIME et les valeurs de Shapley visent à révéler les processus de prise de décision de l'IA, de nombreux outils manquent encore de fonctionnalités intégrées robustes pour l'explicabilité. Affronter ces défis sera crucial pour démontrer un ROI quantifiable et obtenir l'adhésion des professionnels de la cybersécurité.

Les domaines critiques de concentration comprennent :

  • Prioriser les fournisseurs d'IA qui adoptent des algorithmes et des modèles avec une transparence accrue.
  • Utiliser des techniques d'explicabilité pour auditer les modèles et quantifier les zones d'obscurité.
  • Communiquer efficacement les informations provenant de l'IA explicable pour renforcer la confiance des utilisateurs.
  • Intégrer les considérations d'explicabilité dans les exigences de conception des produits d'IA.

Introduction de nouvelles vulnérabilités

Au-delà des complexités techniques, l'incorporation de l'IA peut inadvertamment révéler de nouvelles surfaces d'attaque et vecteurs si des mesures de sécurité appropriées ne sont pas appliquées de manière méticuleuse.

Tout comme toute autre avancée technologique, les acteurs de la menace sont prêts à exploiter l'IA et l'apprentissage automatique en présence de ces vulnérabilités.

Par exemple, les attaquants pourraient progressivement compromettre le pipeline de données qui alimente les modèles, sapant progressivement la précision de la détection au fil du temps. Ils pourraient également révéler des angles morts dans les modèles et concevoir des attaques soigneusement conçues pour échapper aux algorithmes d'IA.

L'absence de tests exhaustifs et d'attaques simulées pendant la phase de développement pourrait conduire à des vulnérabilités imprévues résultant en des incidents dangereux.

La complexité des systèmes d'IA élargit également la portée des mauvaises configurations, des vulnérabilités logicielles et des écarts d'intégration que les attaquants pourraient exploiter.

Comme d'autres outils de sécurité, les composants d'IA demandent des correctifs continus, un renforcement, une surveillance et une redondance pour gérer les risques émergents. L'échec à mettre en œuvre des pratiques de cybersécurité robustes adaptées à l'IA pourrait potentiellement affecter négativement le ROI en augmentant la probabilité ou les dépenses des violations. Identifier et atténuer de manière proactive ces inconvénients potentiels est important.

Les points focaux clés comprennent :

  • Entreprendre des exercices de red teaming et des simulations adversariales pour découvrir les vulnérabilités de l'IA.
  • Protéger les entrées de données et le pipeline d'entraînement de l'apprentissage automatique par des mesures complètes.
  • Surveiller vigoureusement le comportement de l'IA pour détecter les anomalies suggérant des tentatives de manipulation.
  • Développer des contrôles de sécurité sur mesure pour les systèmes d'IA et leurs interfaces.

Exigences en compétences

Si vous souhaitez continuer à tirer de la valeur de l'IA dans la cybersécurité, vous devrez rassembler des équipes possédant le mélange optimal de compétences. Le fonctionnement de l'IA de niveau entreprise nécessite l'implication de scientifiques des données accomplis, d'ingénieurs en apprentissage automatique, d'experts en analyse de données et de spécialistes de l'infrastructure.

Mais la disponibilité d'une telle expertise spécialisée reste limitée malgré la demande accrue, ce qui entraîne une augmentation des dépenses salariales.

Il existe également une courbe d'apprentissage abrupte pour les analystes de sécurité existants en transition pour travailler aux côtés de l'IA. Une formation insuffisante et l'absence de gestion du changement efficace peuvent entraver l'adoption, soit en raison de la méfiance, soit d'une compréhension inadéquate des outils.

Les analystes pourraient se fier à tort ou mal interpréter l'IA sans les conseils nécessaires. Assurer une supervision efficace est donc impératif pour garantir que l'IA augmente effectivement les équipes comme prévu.

La combinaison de la sécurisation de talents spécialisés en IA et de la facilitation de la montée en compétences de la main-d'œuvre plus large en cybersécurité est cruciale, car les coûts et les complexités associés à la gestion du changement organisationnel nécessaire ne doivent pas être sous-estimés.

Pour de nombreuses entreprises, les défis en capital humain associés à l'IA peuvent substantiellement éroder le ROI envisagé si elles ne sont pas correctement préparées.

Les domaines critiques d'accentuation comprennent :

  • Mettre en œuvre des stratégies englobant une rémunération compétitive, un développement professionnel robuste et des initiatives de rétention pour les talents en IA.
  • Fournir une formation complète à tous les membres des équipes de sécurité interférant avec la technologie de l'IA.
  • Établir des politiques explicites délimitant les responsabilités basées sur les rôles et les modèles de supervision.
  • Mesurer et concevoir des incitations pour favoriser l'adoption efficace de l'IA au sein de l'équipe humaine.

L'expertise humaine reste cruciale

Bien que l'IA fournisse des avantages notables en termes d'automatisation et d'augmentation, l'expertise humaine reste indispensable.

L'IA offre des recommandations et des insights plutôt que des conclusions définitives. Les analystes doivent valider les anomalies, contextualiser les résultats générés par la machine et effectuer des évaluations de risque nuancées.

Les professionnels de la sécurité compétents sont indispensables pour interpréter les insights générés par l'IA, mener des recherches supplémentaires sur les menaces, identifier les limitations des modèles et fournir continuellement des feedbacks pour améliorer les performances.

En l'absence de guidance humaine, les systèmes d'IA pourraient potentiellement atteindre des décisions statistiquement valides mais contextuellement invalides. Ils manquent également de la perspicacité nécessaire pour discerner les subtilités.

Le succès à long terme nécessite la collaboration de praticiens expérimentés avec les systèmes d'IA, plutôt que leur remplacement pur et simple. Si les organisations tombent dans le piège de minimiser les rôles humains et de trop dépendre de l'automatisation de l'IA, les outils pourraient ne pas remplir leur potentiel. Trouver un équilibre optimal est crucial pour extraire un ROI maximal.

Bien que l'IA gère efficacement les tâches intensives en données, ce n'est pas une panacée plug-and-play pour la cybersécurité. Maintenir une implication humaine compétente reste crucial pour réaliser les bénéfices de manière responsable.

Les domaines vitaux de concentration comprennent :

  • Élaborer des directives pour une collaboration harmonieuse entre humains et IA et délimiter les points de transition du travail.
  • Quantifier le pourcentage de décisions nécessitant un jugement humain.
  • Établir des processus pour recueillir en permanence les feedbacks des analystes sur les performances de l'IA.
  • Concevoir des incitations et mener des formations pour favoriser des partenariats efficaces entre les experts humains et l'IA.

Pour actualiser le potentiel de l'IA dans la cybersécurité, les organisations doivent maintenir une perspective réaliste qui reconnaît les lacunes et les défis réels par rapport au battage médiatique actuel.

Une approche pragmatique axée sur le complément et l'autonomisation de l'expertise humaine reste judicieuse.

Image

Conclusion

En résumé, l'IA offre un potentiel substantiel pour élever les efforts de cybersécurité et conférer des avantages commerciaux palpables. Mais il est impératif de reconnaître que l'IA n'est pas une panacée. Avant de se lancer dans une adoption généralisée, les organisations doivent entreprendre une évaluation objective des avantages, des coûts et des limitations.

Lorsque judicieusement mise en œuvre, l'IA peut alléger la charge des analystes humains, augmenter la précision de la détection des menaces, accélérer les durées de réponse et fournir une vue d'ensemble à travers l'infrastructure. Cela se traduit directement par une réduction des coûts de violation, une gestion des risques améliorée et une efficacité opérationnelle accrue dans le domaine de la sécurité.

Néanmoins, il est important de reconnaître que les systèmes d'IA demandent une préparation extensive des données, une surveillance persistante, un renforcement de la sécurité et une intégration transparente avec les ensembles d'outils existants. Les coûts initiaux et continus nécessitent une considération minutieuse des économies potentielles et des améliorations de productivité.

Une méthodologie rigoureuse fondée sur des justifications commerciales informées par les données, des initiatives pilotes bien mesurées et des métriques de performance robustes est une pierre angulaire pour le triomphe.

Il est crucial de percevoir l'IA comme un augmentateur et un multiplicateur de force, plutôt que comme un substitut aux analystes de sécurité compétents. L'efficacité des systèmes d'IA est inexorablement liée à la compétence des humains chargés de les superviser et de les optimiser.

En façonnant les stratégies d'IA, les leaders dans le domaine de la cybersécurité devraient diriger leur focus vers l'autonomisation des analystes pour exécuter leurs responsabilités avec une efficacité et une efficacité accrues. Avec une trajectoire pragmatique et méticuleusement planifiée, les organisations peuvent exploiter le potentiel de l'IA pour obtenir un avantage stratégique dans la lutte contre les menaces sophistiquées en constante évolution.

Vous pouvez me suivre sur Twitter, LinkedIn ou Linktree. N'oubliez pas de #GetSecure, #BeSecure & #StaySecure !