En cybersécurité, les LLM sont à double tranchant. Alors que les défenseurs s’appuient sur les LLM pour protéger leurs infrastructures informatiques internes, les acteurs malveillants trouvent des moyens de rendre leurs attaques beaucoup plus efficaces et de les propager à grande échelle. La bonne nouvelle, c’est que les LLM offrent des avantages décisifs aux défenseurs dans cette lutte permanente contre les cybermenaces.
Exploitation automatisée ou escroqueries de phishing personnalisées à grande échelle sont autant de nouvelles menaces potentielles. Heureusement, bon nombre restent encore à l’état d’hypothèse. En effet, les fonctionnalités actuelles des modèles empêchent les acteurs malveillants de tirer pleinement parti de l’IA pour mener des cyberattaques qui entraîneraient de graves répercussions sur les organisations et nécessitent encore l’intervention et l’expertise humaines pour mener à bien des attaques complexes en plusieurs étapes.
Le potentiel sous-jacent des LLM pour les défenseurs
Une chose est sûre : le moment est venu pour les professionnels de la cybersécurité de consacrer leurs efforts et leur attention à la compréhension des risques émergents, à l’anticipation des scénarios d’attaque et au développement de techniques de défense efficaces, car les fonctionnalités des modèles dans ce domaine continueront de se perfectionner à l’avenir.
La clé réside dans leur compréhension des scénarios d’utilisation traditionnels et basés sur les LLM des cyberattaques, dans la mise en œuvre efficace des LLM pour leur communauté et dans l’utilisation d’outils et de frameworks appropriés pour suivre l’évolution de cette technologie.
Une fois que l’équipe d’analystes a déterminé comment et dans quels cas utiliser l’IA de manière efficace, la possibilité d’optimiser la productivité grâce aux LLM devient réelle. Tout comme les LLM peuvent aider à atténuer les risques de burn-out liés à la création de contenu ou à la recherche, ils peuvent également aider les analystes à rationaliser et à trier les alertes de sécurité et les analyses d’événements. Grâce à leur capacité de compréhension du langage humain, les analystes en cybersécurité peuvent ainsi perfectionner les LLM afin qu’ils puissent apporter leur aide dans des tâches de plus en plus spécifiques liées à la cybersécurité.
Les modèles peuvent également aider à accélérer le traitement des cyber-incidents, par exemple en résumant les détails d’une attaque et la réponse correspondante du SOC.
Dans le cadre d’un exercice de recherche de menaces, plusieurs LLM open weight ont été utilisés pour classer 2 000 scripts PowerShell, dont la moitié contenait du code bénin et l’autre moitié du code malveillant. Les résultats obtenus ont offert une combinaison prometteuse de haute précision, avec très peu de faux négatifs. En outre, le temps de classification peut varier entre 0,75 et 3 secondes par script. Cela a conduit à une réduction du temps de classification initial des scripts de PowerShell de 99 %, alors qu’une classification effectuée par un analyste humain aurait pris en moyenne entre 5 à 12 minutes par script.
Ce que réserve l’avenir des LLM aux défenseurs et aux attaquants
L’application future des LLM dans le domaine de la sécurité est à la fois passionnante et inquiétante. Aujourd’hui, l’utilisation de l’IA agentique ou de systèmes d’IA capables d’apprendre, de prendre et d’exécuter des décisions de manière autonome, est en constante augmentation. À mesure que les acteurs malveillants développent des agents d’IA dotés de capacités d’attaque, la possibilité de les déployer à grande échelle pourrait permettre aux cyberattaques de gagner considérablement en rapidité et en efficacité.
Aussi, les défenseurs de la cybersécurité doivent impérativement améliorer leur compréhension des LLM et leur manière de les appliquer, afin de continuer à progresser et d’éviter de se faire devancer par les cyberattaquants. Enfin, compte tenu de l’ampleur et de la diversité considérables des tâches d’analyse textuelle dans les SOC modernes, l’impact à court terme de « l’IA à l’edge » est à la portée des défenseurs.
Par Ryan Fetterman, Senior Manager chez Splunk SURGe
