IA et sécurité cloud AWS – Réduire les faux positifs de 85%

  • Auteur/autrice de la publication :
  • Post category:Non classé

 

En septembre 2025, Amazon Web Services a publié une étude d’impact montrant que l’intégration d’algorithmes de machine learning dans ses services de sécurité cloud (GuardDuty, Security Hub, Macie) a permis de réduire de 85% le volume des faux positifs que les équipes sécurité devaient traiter. Pour une grande entreprise recevant 200 alertes par jour, cela signifie traiter seulement 30 alertes pertinentes au lieu de 200.

 

Le défi qu’AWS a identifié était classique mais critique : le surmenage des équipes sécurité par des faux positifs. Un administrateur système accédant à des ressources inhabituelles à 3 heures du matin semble suspect, mais s’il s’agit d’un incident légitime, déclencher une alerte critique transforme un événement normal en bruit blanc. Avec des centaines de ces événements quotidiens, les équipes SOC finissaient par ignorer les alertes ou, pire, laisser passer des menaces réelles noyées dans le bruit.

AWS a donc déployé des modèles d’IA qui apprennent continuellement les patterns « normaux » de chaque client. Le système construit une empreinte digitale comportementale unique pour chaque compte : qui y accède, quand, depuis où, avec quels rôles, et comment. L’IA compare ensuite chaque nouvel événement à cette empreinte de normalité. Si un administrateur habituel accède à S3 à une heure habituelle en utilisant ses credentials habituels, l’IA reconnaît cela comme normal, même si c’est techniquement un accès privilégié. À l’inverse, si une adresse IP nouvelle en Chine tente d’accéder à des ressources sensibles, l’IA crée une alerte contextuelle : elle comprend que c’est anormal ET potentiellement malveillant.

L’impact sur les opérations de sécurité est mesurable. Les équipes passent de 4 heures moyennes d’investigation par incident à 15 minutes seulement. 80% des incidents de niveau 1 (les moins critiques) sont maintenant traités automatiquement par des actions correctives de routine (changement de credential, isolation temporaire, génération de log enrichi). Les experts humains se concentrent sur les vraies menaces, les incidents complexes et les investigations stratégiques.

Cependant, cette approche révèle aussi un défi : elle ne fonctionne bien que si l’IA dispose d’une vue claire de ce qui est « normal ». Les nouvelles organisations, celles en forte croissance ou celles qui changeront radicalement de comportement (fusion, acquisition, migration IT massive) doivent recalibrer continuellement leurs modèles. Google Cloud et Azure, concurrents directs, proposent des solutions similaires mais avec des calibrages différents, ce qui explique les variations de performance.

Sources

IPPON, AWS Security Hub, Amazon GuardDuty

Lien : Voir l’article original