Stopper les APT en 2025 : l’IA au service du SOC

La majorité des intrusions graves ne commencent pas par un « gros bruit ». Elles commencent par un détail banal : un compte qui se connecte à une heure inhabituelle, un PowerShell un peu trop bavard, un flux DNS légèrement étrange. C’est précisément ce que documentent, trimestre après trimestre, les rapports APT (Advanced Persistent Threat) comme l’ESET APT Activity Report Q4 2024–Q1 2025 : des opérations patientes, structurées, et pensées pour durer.

Ce type de rapport a une valeur simple et directe : il décrit ce que font réellement les adversaires sur le terrain. Le problème, c’est qu’entre « savoir » et « agir », il y a un gouffre. En 2025, le SOC est saturé d’alertes, la surface d’attaque s’étend (cloud, SaaS, identités, OT…), et les attaquants industrialisent leurs chaînes d’outils. La réalité ? Sans automatisation intelligente, on arrive trop souvent après la bataille.

Dans cet article (série Intelligence artificielle dans la cybersécurité), je prends l’angle suivant : un rapport APT n’est pas juste un document de veille, c’est un carburant pour l’IA. Bien utilisée, l’IA transforme la threat intelligence en détection opérationnelle, en priorisation, et en réponse rapide.

Ce que les rapports APT racontent vraiment (et pourquoi ça vous concerne)

Un rapport APT comme celui d’ESET sur Q4 2024–Q1 2025 sert d’abord à cartographier les comportements : techniques d’accès initial, méthodes de persistance, outils de mouvement latéral, exfiltration, et tactiques de camouflage. Autrement dit : pas seulement des IOC (hash, IP), mais des schémas d’attaque.

IOC vs TTP : la différence qui change votre défense

Les indicateurs « figés » (IOC) sont utiles… mais ils vieillissent vite. Une adresse IP se change, un domaine se recrée, un hash se recompile. Les TTP (Tactics, Techniques, Procedures), elles, sont beaucoup plus stables : l’adversaire change d’outil, mais pas toujours de méthode.

Exemples fréquents dans les opérations APT observées ces dernières années (et typiquement documentées dans les rapports de recherche) :

• Usage de comptes valides et contournement MFA via fatigue/prompt bombing ou détournement de session
• Abus d’outils légitimes (living off the land) : rundll32, wmic, schtasks, PowerShell
• Mouvement latéral via RDP/SMB, exploitation d’AD mal segmenté
• Exfiltration « lente » et discrète, parfois chiffrée et fragmentée

Message clé : si votre défense dépend surtout d’IOC, vous perdez l’avantage à chaque rotation d’infrastructure côté attaquant.

Le point aveugle le plus courant en 2025 : l’identité

Beaucoup d’organisations ont durci les endpoints, mais la bataille s’est déplacée : l’identité est devenue la nouvelle frontière (IdP, tokens, OAuth, comptes de service, API keys). Les campagnes APT aiment ce terrain : il permet une présence durable et une discrétion élevée.

C’est là que la lecture « rapport APT » + « IA » devient intéressante : l’IA n’essaie pas seulement de repérer un malware, elle peut détecter un comportement de compte qui « sonne faux ».

Pourquoi l’IA devient indispensable face aux APT (et pas juste “sympa à avoir”)

Les APT gagnent sur un principe simple : vous devez tout surveiller, eux doivent réussir une seule fois. L’IA rééquilibre ce rapport de force en apportant trois bénéfices concrets : vitesse, corrélation, et priorisation.

1) Vitesse : réduire le temps entre signal faible et action

Un SOC « humain-only » a un goulot d’étranglement : triage, enrichissement, escalade. L’IA peut :

• regrouper les alertes similaires (dedup)
• compléter automatiquement le contexte (actif critique ? utilisateur VIP ? exposition internet ?)
• suggérer une hypothèse d’attaque (chaîne probable)

Résultat attendu : moins d’alertes “à lire”, plus d’alertes “à traiter”. Et face à une APT, chaque heure compte.

2) Corrélation : relier des événements qui ne se ressemblent pas

Un adversaire persistant opère en petites touches : un accès cloud anormal, un nouveau device enregistré, une tâche planifiée, puis une requête LDAP suspecte. Pris séparément, ce sont des « petits événements ». Ensemble, c’est une intrusion.

L’IA (et en particulier les approches graph et séquence) est efficace pour :

• reconstruire une chronologie d’attaque probable
• repérer des enchaînements rares (ex. création de compte → ajout à un groupe → accès à une ressource sensible)
• détecter des déviations par rapport au comportement normal d’un service

3) Priorisation : arrêter de courir après les faux positifs

Le vrai coût n’est pas l’attaque. C’est le bruit. Les APT se cachent dans ce bruit.

Une IA bien entraînée (et surtout bien gouvernée) peut attribuer un score de risque basé sur :

• criticité de l’actif
• proximité avec des TTP APT connus
• rareté statistique de l’action
• cohérence avec une kill chain

« Une alerte utile n’est pas celle qui crie le plus fort, c’est celle qui arrive au bon moment avec le bon contexte. »

Rendre la threat intelligence “actionnable” avec l’IA : méthode en 5 étapes

Lire un rapport APT et en tirer des détections, c’est du travail. La bonne nouvelle : c’est un travail qui se structure très bien.

Étape 1 — Extraire les comportements, pas seulement les artefacts

Quand un rapport décrit une campagne, traduisez-le en verbes : crée, modifie, exécute, exfiltre, détourne.

• Quels processus ?
• Quels chemins (registry, tâches planifiées, services) ?
• Quelles relations (parent/child process) ?
• Quels patterns réseau (DNS, TLS, ports, périodicité) ?

L’IA (NLP) aide à structurer automatiquement ces éléments depuis un document de recherche interne/externe.

Étape 2 — Mapper en ATT&CK et construire des “packs” de détection

Un bon livrable SOC n’est pas un PDF. C’est :

• des règles (SIEM/EDR)
• des requêtes de chasse
• des playbooks SOAR

L’IA peut accélérer ce mapping, mais je recommande une validation humaine systématique. Les APT aiment les détails, et une règle trop large fait exploser le bruit.

Étape 3 — Faire du “détection engineering” orienté séquences

Plutôt que « si X alors alerte », préférez « si X puis Y puis Z dans une fenêtre de temps ».

Exemples de séquences pertinentes :

1. Connexion interactive sur un serveur → création de tâche planifiée → exécution d’un binaire depuis Temp
2. Ajout d’un consentement OAuth → accès massif à des boîtes mail → export de données
3. Requête LDAP inhabituelle → dump d’identifiants → authentification sur un poste jamais utilisé par l’utilisateur

L’IA est forte pour détecter ces enchaînements et réduire les faux positifs.

Étape 4 — Automatiser la réponse… mais avec des garde-fous

Face à une suspicion APT, les actions automatiques les plus utiles (et les moins risquées) sont souvent :

• isoler un endpoint à score élevé
• révoquer des sessions/tokens
• forcer une réauthentification, rotation de secrets
• bloquer une destination réseau à très forte confiance

Gardez en tête un principe : automatiser l’action réversible d’abord, puis monter en puissance.

Étape 5 — Boucle d’apprentissage : ce que votre SOC apprend devient un modèle

Chaque incident confirmé (ou invalidé) doit alimenter :

• les features de scoring
• la liste des séquences suspectes
• les exceptions métier légitimes

C’est comme ça que l’IA devient réellement utile : elle apprend votre normalité, pas une normalité théorique.

Cas d’usage concrets : IA + SOC contre des tactiques APT

Voici trois scénarios très « 2025 », directement alignés avec ce que décrivent les rapports APT (activité persistante, camouflage, détournement d’outils légitimes).

Détecter le “living off the land” sans tout bloquer

Le défi : PowerShell et rundll32 sont partout. Les bloquer casse l’IT.

Approche IA utile :

• modèle qui tient compte du contexte (poste, utilisateur, fréquence)
• analyse des relations de processus (qui lance quoi)
• détection de command lines rares et de patterns d’obfuscation

Résultat : on alerte sur l’usage anormal, pas sur l’outil.

Surveiller l’identité : sessions, tokens, et OAuth

Approche IA utile :

• détection d’impossible travel (avec prudence : VPN, télétravail)
• corrélation device enregistré → changement MFA → accès à des apps sensibles
• scoring des applications OAuth selon permissions demandées

Ici, l’IA fait gagner un temps énorme parce que le volume d’événements IdP est massif.

Chasse proactive : transformer un rapport en campagnes de hunting

Chaque nouveau rapport APT doit déclencher une routine :

• 10 requêtes de chasse prêtes à exécuter
• 3 séquences à surveiller en continu
• 1 exercice tabletop « et si c’était nous ? »

L’IA peut générer un premier jet de requêtes (KQL, SPL, etc.) à partir de TTP décrites, puis vos analystes les ajustent à votre environnement.

Questions fréquentes (et réponses franches)

“Est-ce que l’IA remplace les analystes SOC ?”

Non. Elle remplace le travail répétitif : triage basique, enrichissement, regroupement. Les analystes gardent ce que l’IA fait mal : arbitrer, enquêter, décider.

“On n’a pas assez de données pour entraîner un modèle.”

Bonne nouvelle : beaucoup de cas d’usage reposent sur des modèles pré-entraînés + adaptation légère, ou sur des approches statistiques/graph qui demandent surtout de la qualité de logs.

“Quel est le risque principal ?”

Deux risques :

• automatiser trop vite (blocage injustifié, interruption métier)
• faire confiance à un modèle opaque sans métriques, sans revue, sans journalisation des décisions

Un SOC IA-ready, c’est d’abord de la gouvernance et une discipline d’ingénierie.

Passer du rapport APT à un plan d’action dès ce mois-ci

Si vous ne deviez faire que trois choses après avoir lu un rapport comme l’ESET APT Activity Report Q4 2024–Q1 2025, je choisirais celles-ci :

1. Lister 5 TTP qui ressemblent à votre environnement (cloud, AD, VPN, messagerie) et créer des détections orientées séquences.
2. Mettre l’identité au centre : journaux IdP complets, corrélation device/session/token, règles de réponse réversibles.
3. Industrialiser la boucle : chaque rapport → pack de hunting → ajustements → métriques (taux de FP, MTTD, MTTR).

L’IA en cybersécurité n’est pas une vitrine. C’est un moteur d’exécution : elle prend la threat intelligence et la rend exploitable, à l’échelle, sans épuiser votre équipe.

Si votre SOC devait affronter une intrusion persistante en janvier, est-ce que vous préféreriez découvrir l’histoire dans un rapport… ou dans vos alertes, en temps réel, avec une réponse déjà prête ?