.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
L'IA est en train de remodeler la cybersécurité. Les attaquants utilisent l'IA pour accélérer la reconnaissance, générer des malwares, personnaliser le phishing et automatiser certaines parties de la chaîne d'attaque. Les défenseurs sont désormais confrontés à un problème de type ‘humain plus machine’, qui nécessite l'IA pour épauler les analystes, accélérer les décisions et renforcer les résultats.
Sophos intègre l'IA dans l'ensemble de sa gamme de solutions depuis près d'une décennie, et l'IA agentique est désormais un élément central de cette stratégie.
Au sein de Sophos MDR (Managed Detection and Response), les capacités des agents automatisent la priorisation et l'investigation en phase préliminaire tout en laissant aux analystes un contrôle strict. Il en résulte une détection plus rapide, une réponse également plus rapide ainsi qu’un SOC plus efficace.
Comment Sophos MDR utilise les agents de Sophos AI ?
Les agents IA sont des moteurs autonomes qui exécutent des flux de travail définis sans la nécessité d'interventions humaines. Ils diffèrent des assistants IA, qui répondent aux questions des analystes.
Sophos MDR utilise actuellement deux agents IA de niveau production, tous deux conçus par notre équipe IA interne et perfectionnés avec nos analystes MDR, pour accélérer le traitement des cas et améliorer l'efficacité du SOC.
Agent de priorisation (Triage Agent) : réduire le bruit et privilégier l'essentiel
L'agent de priorisation fonctionne en continu et s'active dès qu'une nouvelle détection est créée.
Cet agent :
- Analyse les signaux contextuels tels que les identifiants de corrélation et la télémétrie historique.
- Identifie l’activité inoffensive des pentests.
- Élimine les détections en double ou redondantes.
- Attribue un niveau de gravité au cas afin de déterminer si une analyse est nécessaire.
Cette priorisation automatisée réduit le bruit des alertes de plus de 60% et permet aux analystes de se concentrer sur les événements qui comptent vraiment.
Agent d'investigation de cas (Case Investigation Agent) : des investigations rapides et transparentes
Lorsqu'un cas est transmis pour examen, l’agent d'investigation de cas prend le relais.
Cet agent :
- Élabore une chronologie comportementale à l'aide de la télémétrie runtime et des détections corrélées.
- Enrichit les indicateurs de compromission (IoC), effectue des vérifications de réputation et analyse l'activité en ligne de commande (notamment la désobfuscation).
- Génère des étapes d'investigation dynamiques adaptées à la menace.
- Analyse les preuves de manière itérative, en ajustant son plan au fur et à mesure que de nouvelles informations apparaissent.
- Fournit un verdict clair et explicable et recommande des actions à lancer.
Cet agent réduit le temps moyen d'investigation (MTTI : Mean Time to Investigate) jusqu'à 50%, offrant aux analystes une base structurée et vérifiable pour une prise de décision rapide.
La validation via l’approche HITL (Human-In-The-Loop) reste essentielle. Les agents accélèrent le travail, tandis que les analystes Sophos MDR confirment les résultats, affinent les conclusions et prennent des mesures concrètes.
Fournir des résultats SOC mesurables
Les agents de Sophos AI renforcent les opérations MDR à chaque étape :
Intervention plus rapide des analystes : les incidents de routine et de faible gravité sont traités automatiquement, permettant ainsi aux analystes de se concentrer immédiatement sur les menaces à fort impact.
Des investigations plus rapides : les agents font apparaître des indicateurs précoces, enrichissent les données et fournissent des conclusions prêtes à être validées.
Accès constant à l'expertise : les agents déploient à grande échelle les connaissances collectives des playbooks et l’expérience des analystes de Sophos MDR.
Amélioration de l'efficacité des analystes : l'automatisation permet aux analystes de se concentrer sur les chasses complexes, le confinement et la perturbation des adversaires.
Amélioration continue : les agents se réactivent lors de nouvelles détections et réenrichissent les nouveaux indicateurs de compromission au fur et à mesure de l'évolution des investigations.
Ces fonctionnalités permettent de réduire directement le temps moyen de détection (MTTD : Mean Time To Detect) et le temps moyen de réponse (MTTR : Mean Time To Respond) pour les clients Sophos MDR.
Comment fonctionnent les agents Sophos AI ?
Agent de priorisation de cas (Case Triage Agent) : automatisation de la première réponse
L'agent de priorisation effectue une séquence structurée d'actions, notamment :
- Extraction des entités et des observables (hôtes, utilisateurs, processus, IoC).
- Classification de l’activité des pentests.
- Création de liens entre des détections connexes pour éviter les cas en double.
- Attribution d’un niveau de gravité en fonction des signaux contextuels.
Ces capacités permettent aux analystes de consacrer leur temps aux menaces les plus pertinentes et à fort impact.
Agent d'investigation de cas (Case Investigation Agent) : analyse approfondie et adaptative
L’agent d'investigation de cas utilise trois sous-agents coordonnés :
- Génération de plan : crée un ensemble dynamique d'étapes d'investigation.
- Exécution : lance des requêtes, effectue des appels d'API et récupère les résultats.
- Analyse : enrichit les indicateurs de compromission (IoC), extrait les entités et met à jour l'état de l'investigation.
L'agent procède par itérations jusqu'à ce qu'il dispose de suffisamment de preuves pour produire un rapport complet comprenant un verdict, un résumé, des indicateurs de compromission, une chronologie et des actions recommandées.
Ensemble, ces agents agissent comme des partenaires d'investigation toujours disponibles, accélérant le traitement précoce des dossiers et fournissant des résultats structurés et explicables.
Agentique, mais avant tout axé-sur-l'humain
Chez Sophos, notre approche de l'IA agentique repose sur trois principes :
- IA embarquée : l'IA est intégrée directement aux flux de travail MDR, et non pas ajoutée de manière superficielle.
- Transparence : chaque action automatisée est explicable et auditable.
- L’approche HITL (Human-In-The-Loop) : les analystes restent responsables et autonomes.
Ces principes garantissent que l'IA agentique amplifie l'expertise humaine plutôt que de la remplacer.
Les agents de Sophos AI apportent déjà des améliorations mesurables aux clients MDR en réduisant le bruit, en accélérant les investigations et en renforçant les défenses contre les attaques avancées menées par des humains.
Les prochaines étapes : le SOC agentique
Les agents IA MDR constituent la première étape vers une vision plus large des SOC agentiques. Nous étendons les fonctionnalités des agents au niveau de l'ensemble de la plateforme Sophos, notamment :
- Des agents améliorés qui génèrent des hypothèses, recueillent des informations contextuelles et proposent des actions.
- Une couverture étendue du réseau, de l'identité, de la messagerie et du Cloud.
- Les agents IA pour les clients et partenaires XDR.
- Une hyperautomatisation grâce à l'IA et au SOAR.
- Une gouvernance, une visibilité et une sécurité runtime unifiées via l'IA.
Ce SOC Next-Gen est alimenté par des agents autonomes mais supervisés qui amplifient l'impact des analystes et fournissent des résultats de sécurité constants et de haute qualité.
Plus en savoir plus
Explorez nos technologies IA sur Sophos.com/AI et apprenez-en davantage sur Sophos MDR en vous rendant sur Sophos.com/MDR. Nos principes en matière d'IA et notre FAQ sur l'IA responsable sont disponibles dans le Sophos Trust Center.
Billet inspiré de Sophos AI Agents: Accelerating MDR and Powering the Agentic SOC, sur le Blog Sophos.