La détection ne suffit plus : le vrai problème, c'est la décision
Résultat : un flux massif que les équipes n’ont plus la capacité d’absorber.
4 indicateurs qui mesurent le coût de la surcharge
- MTTD (Mean Time to Detect) : le temps de détection s’allonge ou se noie dans le bruit
- MTTI (Mean Time to Investigate) : le temps d’investigation explose avec la surcharge
- MTTR (Mean Time to Response) : le temps de réponse est freiné par l’incertitude et la priorisation
- Mean Time to Change : le temps nécessaire pour modifier les protections en place
Réduire ces quatre métriques, c’est l’objectif d’une approche comme Decision Center.
Decision Center : contextualiser, prioriser, agir
Apporter le contexte métier et réseau
Une alerte isolée est rarement suffisante pour décider. Decision Center contextualise chaque événement : dans quel environnement s’est-il produit, quelle est la criticité des actifs concernés, quel est l’impact probable sur le système d’information (mouvement latéral, services exposés, comptes à privilèges).
C’est le point souvent négligé : les équipes sécurité veulent comprendre pourquoi une décision est proposée, pas seulement recevoir une recommandation.
Dans la démonstration réalisée pendant le webinaire, un incident a été évalué avec un taux de confiance de 98% et une investigation bouclée en environ 319 secondes.
Pourquoi la visibilité réseau est indispensable
C’est le rôle d’une brique NDR (Network Detection and Response). La solution présentée dans ce webinaire, Decision Center de Gatewatcher, analyse les flux réseau pour détecter :
- les communications suspectes entre équipements
- les activités de type C2 (command and control, c’est-à-dire les serveurs de pilotage utilisés par les attaquants)
- les comportements anormaux via une dizaine de moteurs de détection et 16 moteurs antivirus sur les fichiers en transit
La qualité du raisonnement de l’IA dépend directement de la qualité des données qu’elle reçoit. Sans visibilité réseau, la corrélation reste partielle.
Le cycle de vie SOC accéléré : de l'alerte à la réponse
- Collecter les signaux de plusieurs sources (NDR, EDR, SIEM, identité, cloud, firewalls)
- Corréler les événements appartenant à une même attaque ou campagne
- Filtrer les faux positifs et réduire le volume d’alertes
- Contextualiser avec les données d’environnement (actifs, criticité, segmentation, rôles)
- Proposer une action : isoler, bloquer, ouvrir un ticket, déclencher un workflow
- Fournir un raisonnement explicable pour permettre validation et gouvernance
Cette structuration permet une progression vers des niveaux croissants d’automatisation : triage assisté, investigation assistée, puis actions en un clic avec garde-fous.
IA et gouvernance : agir vite sans perdre le contrôle
L’approche présentée ne vise pas à retirer le contrôle aux équipes. Elle leur donne les moyens de décider plus vite, avec plus de confiance et une traçabilité complète des investigations.
« Les attaquants utilisent de l’IA. Pour se défendre, il faut mécaniquement utiliser de l’IA. »
La gouvernance reste entre les mains des équipes. L’automatisation complète est une perspective d’évolution, pas un point de départ.
Questions fréquentes
Mon EDR fait déjà de la détection, à quoi sert Decision Center ?
Un EDR analyse les événements sur les endpoints qu’il supervise. Decision Center agrège des signaux provenant de l’EDR, du SIEM, du NDR et d’autres sources, puis les corrèle pour produire une réponse contextuelle. La valeur vient de la synthèse multi-sources, pas de la détection isolée.
Comment se fait l'intégration avec les outils existants ?
Des connecteurs configurables permettent de brancher les sources existantes via URL et token API, avec découverte automatique des champs d’investigation. L’objectif est de réduire le délai entre « on a besoin » et « on peut agir ».
Où sont traitées les données ? La souveraineté est-elle garantie ?
Deux modes sont disponibles : un mode online avec des modèles IA externes, et un mode offline ou on-premise pour les environnements contraints. Ce second mode permet un traitement des données sans rétention externe, avec la possibilité d’utiliser des LLM (Large Language Models) open source comme Mistral ou DeepSeek selon les configurations.
Ce que SYXPERIANE apporte dans ce dispositif
Chaque contexte est différent : taille de l’organisation, maturité cyber, ressources internes, contraintes réglementaires. L’accompagnement s’adapte à ces paramètres pour construire un dispositif réellement opérationnel.
Vous souhaitez échanger avec un de nos experts ?
