Les équipes de Microsoft travaillent sur le projet Ire. Il s’agit d’un agent IA combinant des modèles de raisonnement et de la rétroingénierie pour classer les malwares sans nécessiter de signatures préalables. Les premiers résultats sont encourageants.
La vague des agents IA touchent aussi la cybersécurité comme le montre le projet Ire mené par Microsoft. La firme américaine a mobilisé plusieurs équipes provenant de ses divisions Research, Defender et Discovery & Quantum. L’initiative vise à créer un agent IA capable d’analyser et de classer les logiciels comme malveillants ou bénins sans aucune connaissance préalable de leur origine ou de leur objectif. Pour cela, Ire se sert de LLM avancés et une suite d’outils de rétroingénierie et d’analyse de code pour mener son enquête et rendre son verdict.
L’agent a été testé sur des ensembles de données publics de pilotes Windows et a atteint une précision de 0,98 et un rappel de 0,83 (la précision et le rappel sont des mesures de performance). Microsoft souligne qu’Ire a réussi à constituer un dossier suffisamment solide pour bloquer automatiquement un échantillon de malware provenant d’un APT (menace persistante avancée). Ce vecteur a ensuite été confirmé et bloqué par Defender.
Comment fonctionne le projet Ire
Microsoft Defender analyse chaque mois plus d’un milliard de terminaux actifs qui nécessitent régulièrement un examen manuel des logiciels par des experts, ce qui entraîne des erreurs et une fatigue liée aux alertes. L’architecture du projet Ire comprend donc un raisonnement à plusieurs niveaux depuis l’analyse de binaire de bas niveau à la reconstruction du flux de contrôle et à l’interprétation de haut niveau du comportement du code.
L’agent commence par identifier le type et la structure du fichier, puis reconstruit le graphe de flux de contrôle du logiciel à l’aide d’outils tels que angr et Ghidra. Il analyse les fonctions clés via une API, construisant une « chaîne de preuves » détaillée pour montrer comment il est parvenu à son verdict. Un validateur intégré recoupe les résultats avec les contributions d’experts afin de garantir leur exactitude avant que le système ne classe le logiciel comme malveillant ou bénin.
Des bénéfices pour les équipes de sécurité
« Le projet Ire, en tant que prototype d’IA autonome, va au-delà des outils existants qui s’appuient sur des logiciels de rétro-ingénierie pour détecter les menaces », explique Charanpal Bhogal, directeur analyste senior chez Gartner. Il ajoute que « contrairement aux outils TDIR (détection et menaces et réponses aux incidents) actuellement disponibles sur le marché, qui dépendent de modèles de machine learing ou d’IA pour identifier les menaces et les modèles connus, le projet Ire semble effectuer une analyse approfondie et indépendante du comportement d’un fichier ».
Un changement d’approche selon l’analyste en « passant d’une approche assistée par l’homme à une orientation entièrement autonome, tout en conservant une dimension humaine ». Pour Manish Rawat, analyste chez TechInsights, l’agent « pourrait réduire la fatigue liée aux alertes et les délais de triage ».
Plusieurs clients potentiels
Lors de tests en conditions réelles sur 4 000 fichiers « difficiles » qui avaient déjoué les outils automatisés, le projet Ire a correctement signalé 9 fichiers malveillants sur 10, avec un faible taux de faux positifs de 4 %. Project Ire convient donc aux entreprises qui opèrent dans des environnements à haut risque, à fort volume et sensibles au facteur temps, où le triage traditionnel des menaces par des humains est insuffisant. Manish Rawat a ajouté que les cibles idéales étaient les entreprises nativement cloud, les multinationales et les secteurs des infrastructures critiques qui gèrent des surfaces d’attaque vastes et complexes.
Même les entreprises de taille moyenne dont les centres d’opérations de sécurité (SOC) manquent de ressources peuvent en bénéficier, car Ire aide à adapter la détection à la pénurie de talents en matière de cybersécurité. Selon Charanpal Bhogal, les grandes entreprises disposant de programmes de développement logiciel matures, en particulier dans les domaines de la défense, de la santé, des services financiers, des administrations publiques et de l’industrie, sont également bien placées pour tirer parti d’Ire.
Les défis du déploiement dans les SOC
Actuellement au stade de prototype, Microsoft prévoit d’exploiter le projet Ire au sein de son entité Defender en tant qu’analyseur de code pour la détection des menaces et la classification des logiciels. Mais l’adoption du projet Ire de Microsoft dans les SOC nécessiterait des changements techniques et opérationnels importants. « L’adoption du projet Ire dans les SOC d’entreprise nécessiterait une intégration avec les systèmes SIEM et SOAR existants, une infrastructure informatique robuste pour les LLM, une formation des analystes à l’interprétation des résultats de l’IA, une refonte des processus d’escalade et une mise à jour de la gouvernance afin de garantir la transparence, la conformité et le contrôle des risques », a déclaré Pareekh Jain, CEO d’EIIRTrend & Pareekh Consulting.
Le projet Ire témoigne d’une tendance croissante de l’industrie vers les agents IA, où les systèmes autonomes seront capables d’agir, de s’adapter et de prendre des décisions de manière indépendante. Mais dans le même temps, une dépendance excessive à l’égard des systèmes autonomes peut également présenter des risques notables, tels qu’une confiance excessive dans les décisions de l’IA, une dérive des modèles ou une exploitation hostile, un manque d’explicabilité et une dégradation des compétences humaines due à une délégation excessive, a ajouté l’analyste.