Votre entreprise a décidé d’implémenter des outils basés sur l’intelligence artificielle (IA) et le machine learning (ML) afin d’améliorer le monitoring de la sécurité de son système d’information. Ces outils seront configurés pour détecter des comportements anormaux et des signaux d’alerte faibles afin de prévenir toute violation de données. Avant de déployer pleinement ces technologies, le CISO souhaite s’assurer que leur intégration sera conforme aux meilleures pratiques de sécurité et efficace contre d’éventuelles menaces sophistiquées telles que les APT.

Dans ce contexte, quelle stratégie devrait adopter le CISO afin de garantir une intégration efficace des nouveaux outils d’IA et de ML dans les opérations de sécurité de son organisation ?

[A] Intégrer rapidement les outils d’IA/ML pour remplacer tous les systèmes de monitoring existants basés le plus souvent sur des technologies dépassées ou obsolètes

[B] Configurer les outils d’IA/ML pour qu’ils fonctionnent en isolation sans interaction avec les autres systèmes de sécurité afin d’éviter les redondances d’alerte et les faux-positifs

[C] Adopter une approche hybride en déployant les outils d’IA/ML en complément des systèmes de sécurité existants

[D] Utiliser les outils d’IA/ML essentiellement pour la surveillance des flux réseaux afin d’éviter tout conflit avec les antivirus installés sur les Endpoints


reponse linkedin

 


Proposition [A] : Remplacer immédiatement les anciens systèmes de sécurité sans prendre le temps de mesurer l’apport véritable des nouveaux systèmes est une mauvaise stratégie. Elle risque de priver (tout au moins dans un premier temps) le SOC de l’entreprise de nombreuses sources d’information augmentant ainsi la vulnérabilité de l’entreprise.

Proposition [B] : Faire fonctionner les outils d’IA/ML de manière isolé réduit drastiquement leur efficacité en empêche toute remontée d’alerte vers le SIEM de l’entreprise. Ce n’est pas la bonne stratégie.

Proposition [C] : Cette méthode permet une transition en douceur vers l’utilisation d’outils d’IA/ML tout en maintenant les systèmes de sécurité éprouvés. Elle offre la possibilité d’évaluer l’efficacité des nouveaux outils d’IA/ML en parallèle avec les systèmes existants, permettant ainsi des ajustements progressifs basés sur des performances comparatives.

Proposition [D] : Bien que la surveillance du trafic réseau soit un élément important de la sécurité d’un système d’information, se concentrer exclusivement sur cet aspect avec les outils d’IA/ML est une mauvaise stratégie qui néglige d’autres aspects tout aussi cruciaux de la sécurité comme par exemple la sécurité des Endpoints ou des charges de travail dans le Cloud ou encore la sécurité d’Active Directory.

La bonne réponse est la proposition [C]. Utiliser une approche hybride offre le meilleur équilibre entre innovation et prudence, permettant ainsi une transition progressive et efficace vers des technologies plus avancées sans dégrader la sécurité. C’est clairement la meilleure stratégie que doit adopter le CISO.

tip

Pour en savoir plus sur l’IA/ML et les techniques de détection des incidents de sécurité nous vous recommandons de suivre le module n°17 de la formation CISSP en distanciel de VERISAFE.


Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE