IA + ATT&CK : choisir ses outils cyber sans se tromper

En décembre, beaucoup d’équipes sécurité vivent la même scène : calendrier chargé, budgets qui se ferment, et une pression très concrète pour « rationaliser » l’empilement d’outils. Au même moment, la saison des évaluations (tests indépendants, rapports d’analystes, comparatifs centrés sur MITRE ATT&CK®) bat son plein. Résultat : les comités de choix sont noyés sous des PDF, des scores, des matrices… et des promesses.

Most companies get this wrong : elles confondent symétrie et simplicité. La symétrie, c’est l’équilibre entre ce que disent les analystes, ce que mesurent les autorités de test, ce que votre organisation peut opérer, et ce que votre modèle de menace exige. Et c’est exactement là que l’intelligence artificielle en cybersécurité peut jouer un rôle utile : pas pour « remplacer » l’expertise, mais pour trier, relier et prioriser dans un paysage fournisseur devenu illisible.

Ce billet s’inscrit dans notre série “Intelligence artificielle dans la cybersécurité” : on parle ici de décisions concrètes—comment utiliser l’IA pour exploiter ATT&CK, améliorer la cyber-résilience et choisir une architecture de défense qui tient la route.

La saison ATT&CK : utile, mais facile à mal interpréter

La saison des benchmarks ATT&CK est un bon moment pour apprendre—si vous la lisez comme un outil de diagnostic, pas comme un classement.

Les évaluations centrées sur ATT&CK (et plus largement les tests de détection/réponse) vous donnent une photographie structurée : quelles techniques sont détectées, avec quel niveau de visibilité, et dans quelles conditions. Mais la réalité ? Deux pièges reviennent sans cesse :

1. Lire un test comme une note globale. Un produit peut être très fort sur une chaîne d’attaque “type” et moins pertinent sur vos scénarios.
2. Ignorer le coût opérationnel. La meilleure détection du monde ne sert à rien si elle génère 400 alertes/jour et que votre SOC n’a pas la capacité de tri.

Ce que les analystes et les testeurs apportent vraiment

• Les analystes (cabinet, recherche marché) apportent une lecture du positionnement, de la roadmap, de la maturité, des cas d’usage et parfois de la solidité financière.
• Les autorités de test apportent des mesures reproductibles : scénarios, protocole, limites, résultats observés.

Le bon réflexe, c’est de chercher la symétrie : un produit cohérent sur le papier, en test, et en exploitation.

Une phrase qui guide bien les comités : « On n’achète pas un score, on achète une capacité opérationnelle. »

Naviguer le paysage fournisseurs avec l’IA : passer du “catalogue” au “fit”

La valeur de l’IA ici est simple : réduire le bruit et accélérer le passage de “qui est bon ?” à “qui est bon pour nous ?”.

1) Transformer des rapports en décisions : extraction, normalisation, comparaison

Vous avez des rapports PDF, des notes de tests, des tableaux, des annexes. L’IA (NLP) peut :

• extraire automatiquement les éléments comparables (capacités, limites, prérequis, intégrations) ;
• normaliser des terminologies hétérogènes (EDR vs endpoint protection, XDR vs plateforme SOC, etc.) ;
• construire une matrice de capacités alignée sur votre référentiel interne (ATT&CK, NIST, ISO 27001, exigences DORA/NIS2).

Ce n’est pas magique : il faut un cadre. Mais une fois en place, vous passez de 30 documents à une vue exploitable.

2) Mapper ATT&CK à votre menace réelle (et pas à une attaque “générique”)

ATT&CK est une grille excellente… à condition d’être reliée à votre contexte : secteur, exposition, technologies, géographie, contraintes métiers.

Un usage pertinent de l’IA consiste à :

• analyser vos incidents historiques (tickets, rapports IR, logs) ;
• identifier les techniques ATT&CK les plus probables (ou déjà observées) ;
• pondérer la matrice en fonction de la vraisemblance et de l’impact.

On obtient alors une matrice ATT&CK priorisée, qui sert de base à la sélection fournisseurs et aux scénarios de tests.

3) Un scoring qui tient compte de l’exploitation : le “SOC reality check”

Dans la vraie vie, le choix d’outil se joue souvent sur :

• la qualité des signaux (faux positifs/faux négatifs) ;
• la triage-abilité (contexte fourni, enrichissement, corrélation) ;
• l’automatisation (SOAR, playbooks) ;
• l’intégration (SIEM, IAM, cloud, OT, M365, etc.).

L’IA peut aider à simuler l’impact opérationnel : par exemple en estimant le volume d’alertes attendu sur votre périmètre (à partir d’échantillons de télémétrie) et en évaluant le gain de temps via regroupement/corrélation.

Construire une “œuvre” cohérente : symétrie entre analystes, tests et architecture

La promesse du RSS était claire : la résilience cyber se renforce quand on interprète le marché via des analystes et des testeurs. Je vais plus loin : la résilience se construit quand vous faites converger ces lectures vers une architecture mesurable.

Une méthode pratique en 5 étapes (qui marche en comité)

1. Écrire 8–12 scénarios d’attaque prioritaires (ex : compromission identifiants M365, ransomware latéral, exfiltration via cloud storage, compromission fournisseur). Associez chaque scénario à des techniques ATT&CK.
2. Définir vos critères non négociables (souveraineté/hosting, contraintes RGPD, latence, périmètre endpoints/serveurs, OT, cloud, support 24/7).
3. Créer une matrice “Capacité → Preuve” :
   • Capacité (ex : détection T1059 commandes scripts)
   • Preuve test (résultat observable)
   • Preuve terrain (POC avec vos logs)
   • Coût opérationnel (temps analyste, tuning)
4. Utiliser l’IA pour compiler et comparer : ingestion de rapports + consolidation en tableau unique + alertes sur incohérences (ex : revendication marketing non corroborée par tests/POC).
5. Valider en POC sur données réelles (ou au minimum sur une télémétrie représentative), avec métriques simples.

Les métriques qui évitent les débats stériles

Je conseille d’arrêter de discuter “outil A vs outil B” sans chiffres. Prenez 4 indicateurs :

• MTTD (Mean Time To Detect) visé sur vos scénarios critiques
• MTTR (Mean Time To Respond) sur incidents types
• Taux de faux positifs sur une période courte mais représentative
• Couverture ATT&CK priorisée (pas la matrice complète)

Même si vos chiffres sont approximatifs au début, ils cadrent la décision.

Comment l’IA augmente le travail des analystes et des testeurs (sans les court-circuiter)

L’idée n’est pas de faire “juger” un fournisseur par un modèle. L’idée est de mieux exploiter le travail humain déjà disponible.

IA côté analystes : recherche augmentée et due diligence accélérée

L’IA aide à :

• synthétiser des positions (forces/faiblesses) sans perdre les nuances ;
• comparer les roadmaps et détecter les zones de risque (fonctionnalités promises vs livrées) ;
• repérer les dépendances critiques (cloud spécifique, agent unique, intégrations propriétaires).

IA côté tests : génération de scénarios, rejouabilité, et cartographie des écarts

Pour les équipes purple team / red team / validation, l’IA peut :

• proposer des variantes réalistes d’un scénario ATT&CK (mêmes techniques, TTP différentes) ;
• aider à documenter proprement les résultats (conditions, logs attendus, signaux observés) ;
• produire une carte d’écarts : « détecté en labo mais pas chez nous » ou « détecté mais inexploitable en SOC ».

Attention : trois zones de risque à traiter explicitement

1. Biais de données : si vous n’avez que des logs “propres”, vous sur-estimez la qualité. Testez sur du bruit.
2. Sur-automatisation : l’IA peut accélérer des mauvaises décisions. Conservez un point de contrôle humain.
3. Confidentialité : ingestion de rapports internes et de télémétrie = gouvernance stricte (hébergement, accès, rétention).

Mini FAQ (celle que vos décideurs vont poser)

« Est-ce que la couverture ATT&CK suffit pour choisir un XDR/EDR ? »

Non. La couverture ATT&CK est un indicateur, pas un objectif. Ce qui compte : la couverture de vos scénarios, la qualité du signal, et la capacité de réponse.

« Peut-on faire tout ça sans multiplier les outils ? »

Oui, si vous pilotez par l’architecture : un socle (collecte, identité, endpoints, cloud), puis des capacités spécialisées là où l’analyse de risque le justifie. L’IA sert à éviter le “tool sprawl” en rendant les arbitrages plus rationnels.

« L’IA va remplacer nos analystes SOC ? »

Non. Elle réduit la part mécanique (tri, corrélation, rédaction) et libère du temps pour l’investigation et l’anticipation. Une équipe SOC sans expertise reste vulnérable, même avec de bons modèles.

Un plan d’action en 30 jours pour retrouver de la symétrie

Si vous voulez des résultats rapides (et présentables au COMEX/DSI avant la fin de cycle budgétaire), faites ceci :

1. Semaine 1 : sélectionnez 10 techniques ATT&CK prioritaires + 5 scénarios métiers.
2. Semaine 2 : ingérez vos sources (rapports analystes/tests, exigences internes) dans une base structurée et construisez une matrice unique.
3. Semaine 3 : faites une short-list de 3 fournisseurs maximum et préparez une grille de POC orientée signal + opérations.
4. Semaine 4 : POC sur un sous-périmètre réaliste, mesurez MTTD/MTTR et taux de faux positifs, puis tranchez.

Si vous ne pouvez pas mesurer l’effet sur MTTD/MTTR, vous êtes encore dans le marketing, pas dans la cyber-résilience.

La saison ATT&CK, les analystes et les tests indépendants sont des repères utiles. L’IA, elle, sert à faire le lien : elle transforme des évaluations dispersées en décisions cohérentes, alignées sur votre risque et vos capacités opérationnelles.

Et maintenant, la question qui compte vraiment pour 2026 : votre programme sécurité est-il conçu pour “bien noter” des benchmarks… ou pour encaisser un incident majeur un mardi à 02h13 sans perdre le contrôle ?