Microsoft Security Copilot : le nouvel assistant pour la cybersécurité dopé à l’IA GPT-4

Microsoft utilise l’IA pour construire progressivement des copilotes afin d’adresser tous les métiers. Le dernier en date est destiné aux professionnels de la sécurité. Ce nouvel outil vise à fournir les informations sur le réseau et la coordination que les systèmes de sécurité “IA” promettent depuis longtemps.

Cette annonce intervient après avoir annoncé un assistant Copilot dopé à l’intelligence artificielle pour les applications Office. C’est donc sans surprise que Microsoft annonce Microsoft Security Copilot, un nouvel assistant destiné aux professionnels de la cybersécurité, conçu pour aider les défenseurs à identifier les failles et à mieux comprendre les énormes quantités de signaux et de données dont ils disposent quotidiennement.

Alimenté par l’IA générative GPT-4 d’OpenAI et le modèle propre à Microsoft en matière de sécurité, Security Copilot ressemble à une simple boite d’invite comme n’importe quel autre chatbot. Vous pouvez demander « quels sont tous les incidents de sécurité dans mon entreprise ? » et il les résumera. Mais en coulisses, il utilise les 65 billions de signaux quotidiens recueillis par Microsoft dans le cadre de sa collecte de renseignements sur les menaces et de ses compétences spécifiques en matière de sécurité pour permettre aux professionnels de la sécurité de traquer les menaces.

L’IA dans la cybersécurité : de la promesse à la concrétisation

Depuis des années, l’intelligence artificielle est un terme à la mode dans le secteur de la cybersécurité, promettant des outils qui repèrent les comportements suspects sur un réseau, comprennent rapidement ce qui se passe et guident la réponse à l’incident en cas d’intrusion. Les services les plus crédibles et les plus utiles ont toutefois été des algorithmes d’apprentissage automatique formés pour repérer les caractéristiques des logiciels malveillants et d’autres activités douteuses sur le réseau.

Mais alors que les outils d’IA générative prolifèrent, Microsoft affirme qu’elle a enfin mis au point un service pour les défenseurs.

Au cours des dernières années, nous avons assisté à une escalade absolue de la fréquence, de la sophistication et de l’intensité des attaques. […] Et les défenseurs n’ont pas beaucoup de temps pour contenir l’escalade d’une attaque. La balance penche actuellement du côté des attaquants.

Le 16 mars 2023 , l’entreprise a lancé Microsoft 365 Copilot, qui s’appuie sur un partenariat avec OpenAI ainsi que sur les travaux de Microsoft sur les grands modèles de langage. L’entreprise déploie maintenant Security Copilot, une sorte de carnet de bord de la sécurité qui intègre les données du système et la surveillance du réseau à partir d’outils de sécurité tels que Microsoft Sentinel et Defender, et même de services tiers.

Comment fonctionne Microsoft Security Copilot ?

Microsoft Security Copilot est conçu pour assister le travail d’un analyste de sécurité plutôt que de le remplacer - et comprend même une section « pinboard » permettant aux collègues de collaborer et de partager des informations. Les professionnels de la sécurité peuvent utiliser Security Copilot pour contribuer aux enquêtes sur les incidents ou pour résumer rapidement les évènements et faciliter l’établissement de rapports.

Security Copilot peut faire remonter des alertes, décrire en mots et en graphiques ce qui peut se passer au sein d’un réseau, et fournir les étapes d’une enquête potentielle. Lorsqu’un utilisateur humain travaille avec Copilot pour cartographier un éventuel incident de sécurité, la plateforme suit l’historique et génère des résumés, de sorte que si des collègues sont ajoutés au projet, ils peuvent rapidement se mettre au courant et voir ce qui a été fait jusqu’à présent.

Le Copilote de sécurité accepte les entrées en langage naturel, de sorte que les professionnels de la sécurité peuvent demander un résumé d’une vulnérabilité particulière, introduire des fichiers, des URL ou des extraits de code pour analyse - ou demander des informations sur les incidents et les alertes à partir d’autres outils de sécurité. Toutes les invites et les réponses sont enregistrées, ce qui permet aux enquêteurs de disposer d’une piste d’audit complète.

Un outil collaboratif et parfaitement intégré à Microsoft

Les résultats peuvent être épinglés et résumés dans un espace de travail partagé, afin de faciliter la collaboration sur les mêmes analyses / enquêtes et sur les menaces. Le système est également capable de produire automatiquement des diapositives et d’autres outils de présentation sur une enquête afin d’aider les équipes de sécurité à communiquer les faits d’une situation aux personnes extérieures à leur département, et en particulier aux cadres qui n’ont pas d’expérience en matière de sécurité mais qui ont besoin de rester informés.

Security Copilot permet en outre de disposer d’une sorte de filet de sécurité pour une surveillance 24 heures sur 24 et 7 jours sur 7. Ainsi, même si une personne possédant un ensemble de compétences spécifiques ne travaille pas pendant une période ou un jour donné, le système peut offrir une analyse de base et des suggestions pour aider à combler les lacunes. Par exemple, si une équipe souhaite analyser rapidement un script ou un binaire logiciel susceptible d’être malveillant, Security Copilot peut commencer ce travail et contextualiser le comportement du logiciel et ses objectifs.

Security Copilot alimenté par ChatGPT-4, mais pas que …

Les outils de sécurité basés sur l’apprentissage automatique ont été efficaces dans des domaines spécifiques, tels que la surveillance du courrier électronique ou de l’activité sur des appareils individuels (ce que l’on appelle la sécurité des points finaux), Security Copilot rassemble tous ces flux distincts et permet d’attraper ce que d’autres auraient pu manquer.

Security Copilot est largement alimenté par le ChatGPT-4 d’OpenAI, mais Microsoft insiste sur le fait qu’il intègre également un modèle propriétaire spécifique à la sécurité de Microsoft. Le système suit tout ce qui est fait au cours d’une enquête. L’enregistrement qui en résulte peut être vérifié, et les documents qu’il produit pour la distribution peuvent tous être édités pour plus de précision et de clarté. Si un élément suggéré par Copilot au cours d’une enquête est erroné ou non pertinent, les utilisateurs peuvent cliquer sur le bouton « Off Target » pour former davantage le système.

Partage des données avec Microsoft : « Aie confiance » 🐍

Microsoft insiste sur le fait que les données des clients ne sont pas partagées avec d’autres et qu’elles « ne sont pas utilisées pour former ou enrichir les modèles d’IA de la fondation ».

Malgré tout, Microsoft s’enorgueillit d’utiliser « 65 billions de signaux quotidiens » provenant de son énorme base de clients dans le monde entier pour informer ses produits de détection des menaces et de défense.

Mais Chang Kawaguchi, vice-président de Microsoft et architecte de la sécurité de l’IA, souligne que Security Copilot est soumis aux mêmes restrictions et règlementations en matière de partage de données que tous les produits de sécurité avec lesquels il s’intègre. Ainsi, si vous utilisez déjà Microsoft Sentinel ou Defender, Security Copilot doit se conformer aux politiques de confidentialité de ces services.

Des attaquants équipés avec des IAs, une défense en concéquence

M. Kawaguchi explique dans The Verge que Security Copilot a été conçu pour être aussi flexible et ouvert que possible, et que les réactions des clients influenceront les ajouts de fonctionnalités et les améliorations à venir. L’utilité du système dépendra en fin de compte de sa perspicacité et de sa précision concernant le réseau de chaque client et les menaces auxquelles il est confronté. Selon M. Kawaguchi, le plus important est que les défenseurs commencent à bénéficier de l’IA générative le plus rapidement possible.

Comme il le souligne, il est impératif de fournir aux défenseurs un système d’IA générative le plus rapidement possible. Car il est probable, si ce n’est certain, que les attaquants utilisent cette technologie pour contourner les mesures de sécurité existantes.