Crowdstrike a présenté plusieurs agents au sein du service Agentic Security Workforce pour aider les équipes sécurité. (Crédit Photo: Crowdstrike)
A l'occasion de sa conférence annuelle Crowdstrike a mis le cap sur l'IA agentique pour la cybersécurité. Pour cela, l'éditeur s'appuie sur l'expertise d'Onum acquis cet été pour apporter des renseignements en temps réel, de l'automatisation et un langage commun pour la défense.
Après l'IA générative, Crowdstrike s'empare de la tendances de agents IA. Lors de sa conférence Fal.Con, la société a présenté deux initiatives reposant sur cette technologie et se basant sur Onum, racheté 290 M$ fin août. La start-up espagnole propose un pipeline de télémétrie en tems réel sur différents points. S'intégrant à l'outil Falcon, Onum va transférer les détections basées sur l'IA provenant de la plateforme de Crowdstrike directement aux sources de données tierces grâce à une analyse en pipeline, démarrant la détection avant même que les données n'entrent dans l'EDR.
Une plateforme de sécurité agentique
Le premier projet se nomme Agentic Security Platform et à pour objectif d'aider les entreprises à faire face à des adversaires de plus en plus épaulés par l'IA. Après avoir lancé Charlotte, le chatbot IA, Crowdstrike prévoit désormais d'évoluer vers « un niveau d'autonomie encore plus évolué axé sur ce que nous appelons le SOC agentique », explique Elia Zaitsev, directeur technique de CrowdStrike. Il ajoute, « nous souhaitons que plusieurs agents travaillent de manière orchestrée afin d'automatiser progressivement de plus en plus d'aspects des tâches actuelles d'un analyste humain ». Pour y parvenir, l'éditeur se base sur ce qu'il appelle son « graphe d'entreprise », qui n'est pas une base de données graphes au sens traditionnel du terme. Il s'agit plutôt selon le CTO d'une « fusion et d'une abstraction de tous les autres éléments que nous avons intégrés à notre plateforme et dans lesquels nous avons investi depuis près de 15 ans ».
Le graphe d'entreprise repose sur la plateforme Onum pour la couche basse en contextualisant les données de détection et de réponse, les données sur les actifs, les risques et les renseignements. Cette couche alimente un niveau supérieur constitué d'un modèle de données sémantiques donnant aux analystes humains et aux agents d'IA la capacité d'agir. Pour Elia Zaitsev, ce modèle de données sémantiques « apporte un langage commun, une pierre de Rosette pour les différents éléments de la cybersécurité ». Et de donner un exemple, « un fournisseur comme CrowdStrike peut appeler un événement IPv4 dans un journal, tandis qu'un autre peut appeler IP underscore four ». Il ajoute, « en tant qu'humains, nous savons intuitivement si vous avez une formation qu'il s'agit d'une adresse IP version 4. Mais les machines ne fonctionnent généralement pas de cette façon ». Elles ont donc besoin de significations sémantiques, qui font office de catalogue de données pour que « les agents IA puissent comprendre immédiatement, sans formation ni ajustements spécifiques », glisse le directeur technique. A noter également que la plateforme comprend Agent Works, une solution no-code pour que les clients puissent tester, développer, orchestrer et déployer en toute sécurité leurs propres systèmes agentiques, leurs propres données et des connaissances spécifiques à leur entreprise. Agent Works permet aussi des agents grâce à l'IA générative en langage naturel. « Nous en sommes actuellement au point où des agents construisent d'autres agents », a ajouté Zaitsev.
Un soutien renforcé pour les équipes de sécurité
La seconde initiative se nomme Agentic Security Workforce. Elle a été développée développée pour aider les analystes de sécurité débordés par des tâches chronophages et dans les cas où les mesures de sécurité traditionnelles ne peuvent pas faire face aux menaces générées par l'IA. Ce soutien fournit des agents prêts à intervenir au sein des capteurs Falcon, transcendant ainsi les copilotes « demander-répondre ». « L'une des principales préoccupations des RSSI est que leurs entreprises, leurs utilisateurs finaux, adoptent précipitamment les technologies d'IA », a déclaré M. Zaitsev. Il ajoute, « les RSSI sont dans une situation difficile. Ils ne veulent pas freiner l'innovation. Ils ne veulent pas freiner l'adoption des technologies par les entreprises, mais ils sont également terrifiés à l'idée que des données puissent être transmises à des systèmes tiers sur lesquels ils n'ont aucune visibilité, aucun contrôle, etc. »
Crowdstrike avait déjà lancé une application de protection des données identifiant l'utilisation d'un navigateur et de détecter et d'empêcher l'usage des services de GenAI non approuvés. L'éditeur étend les capacités de l'application avec Agentic Security Workforce. « Nous pouvons détecter la présence de secrets, de mots de passe ou de code source involontairement exposés », a précisé M. Zaitsev. Ainsi « si un développeur tente ensuite d'envoyer ce code source à un assistant de codage gen AI non approuvé, nous pouvons l'identifier et le bloquer. Mais inversement, nous pouvons lui permettre de continuer à l'utiliser avec un assistant de codage d'entreprise approuvé, où il serait autorisé à envoyer des éléments tels que des secrets, car le processus est contrôlé et audité. »
Suivez-nous