Sécurité agentique : la meilleure défense du RSSI face aux délais de mise en conformité
Six heures pour alerter l’ANSSI, 72 heures pour un rapport complet : face à la directive NIS2, les RSSI n’ont plus le luxe du doute.
La sécurité agentique est essentielle pour respecter les délais stricts en matière de reporting et de conformité, en particulier lorsqu’il s’agit de fournir des informations précises sur les failles de sécurité des systèmes.
Dès qu’un indice d’une cyberattaque est détecté, une course contre la montre s’engage. Les professionnels de la sécurité informatique doivent rapidement bloquer et remédier à la faille tout en respectant des délais stricts pour informer les autorités de régulation.
Ce processus de signalement peut nécessiter des contacts avec jusqu’à cinq entités différentes, selon le type d’attaque et le secteur d’activité de l’entreprise. Chaque autorité a ses propres procédures, questions et délais.
Ne pas signaler un incident peut entraîner des conséquences graves, telles que des amendes élevées, une perte de confiance des clients et, dans certains cas, la responsabilité personnelle des dirigeants.
La directive NIS2 impose aux grandes et moyennes organisations de secteurs critiques, tels que l’énergie, les transports, la santé, la finance et les infrastructures numériques, de transmettre une « alerte précoce » à l’autorité compétente (en France, l’ANSSI) dans les six heures suivant la détection. Un rapport complet doit alors être remis dans les 72 heures, suivi de mises à jour régulières et d’un rapport final dans un mois.
La loi sur la cyber-résilience (Cyber Resilience Act) suit une approche similaire. Concernant les violations de données personnelles, le RGPD exige que les entreprises signalent la violation « sans retard injustifié et, si possible, dans les 72 heures » suivant sa détection. De plus, la loi sur l’IA impose aux fournisseurs de systèmes d’IA « à haut risque » de signaler les incidents dans un délai de deux jours.
Ces exigences de signalement croissantes interviennent alors que les entreprises en Europe affrontent des menaces cybercriminelles de plus en plus fréquentes. En France, les organismes publics et privés ont vu une augmentation significative des violations de données au cours des trois dernières années. La CNIL a rapporté 6 167 notifications de violations de données en 2024, soit une hausse de 10 % par rapport à 2023.
Ce défi est considérable. Après une cyberattaque, les équipes de sécurité doivent établir une équipe d’intervention, identifier les anomalies, limiter la propagation de la menace, supprimer les éléments malveillants et restaurer les systèmes affectés. Cependant, les délais de rapport commencent avant d’avoir une certitude absolue sur l’incident.
Pour surmonter ce défi, les entreprises performantes définissent rapidement l’étendue de l’incident. Cela implique de corréler les alertes provenant de différents systèmes et de rassembler les informations contenues dans les journaux avant que la situation ne se refroidisse.
Une évaluation précise de l’ampleur de l’incident nécessite une base de données unifiée pour corréler et analyser les alertes. L’automatisation de ce processus permet de « relier les points » sans que le personnel informatique ait à rassembler manuellement les preuves.
L’optimisation du temps et des compétences de l’équipe de sécurité par l’IA permet de générer des corrélations et des conclusions plus rapidement, libérant ainsi les professionnels pour qu’ils se concentrent sur l’évaluation et l’analyse.
Dans les configurations les plus efficaces, un workflow « agentique » relie les alertes, identifie l’arborescence de l’attaque et détermine les entités impliquées, ce qui conduit à des enquêtes plus rapides et des rapports plus précis pour les autorités.
Les bénéfices de cette technologie dépassent le simple respect des délais réglementaires. Les entreprises qui maîtrisent l’analyse des incidents de sécurité sont mieux préparées pour limiter les attaques, réduire les dommages et renforcer leurs défenses.
En somme, la sécurité agentique pourrait être la clé pour démontrer aux régulateurs qu’une organisation prend au sérieux les risques liés à la sécurité informatique, tout en transformant les risques actuels en résilience future.
Source : CNIL
