Cybersécurité : Google veut infuser des agents IA de l’investigation à la remédiation

copyright TechTarget - Tous droits réservés LeMagIT, créé en 2008, regroupe au travers de 13 rubriques clés les informations, conseils d'experts, analyses, retours d'expérience et livres blancs nécessaires aux décideurs IT. Plus de 10 000 documents sont disponibles en téléchargement. https://cyber.law.harvard.edu/rss/rss.html Techtarget Feed Generator fr Thu, 30 Apr 2026 16:12:13 GMT https://siftrss.com/f/KRGqgdM0kYY editor@lemagit.fr <p>Lors de son événement Google Cloud Next 26 du 22 au 24 avril, le géant du cloud a multiplié les annonces consacrées à ses solutions de sécurité.</p> <p>En premier lieu, ses dirigeants ont évoqué le rachat de Wiz, l’éditeur d’une plateforme<a href="https://www.lemagit.fr/definition/Plateforme-de-protection-des-applications-cloud-native-CNAPP"> CNAPP</a> (Cloud Native Application Protection) et <a href="https://www.lemagit.fr/conseil/SSPM-vs-CSPM-Quelle-est-la-difference">CSPM</a> (Cloud Security Protection Management) multicloud. Google était déjà réputé dans ce domaine, mais sa portée multicloud était limitée. Elle mettait surtout en avant ses solutions sur le renseignement sur les menaces issues du rachat de Mandiant.</p> <p>Il s’agit d’intégrer les deux technologies pour lier plus fortement le renseignement et la détection des menaces avec l’application des bonnes pratiques de protection. Évidemment, Google Cloud multiplie les agents IA dans ce domaine. Pourquoi ? À cause de l’IA, bien sûr.</p> <p>« Les analystes humains ne parviennent tout simplement pas à suivre le rythme des attaques orchestrées par l’IA », affirme Francis deSouza, directeur des opérations et président des produits de sécurité chez Google Cloud. « Le délai moyen nécessaire pour exploiter une vulnérabilité est tombé à moins de 7 jours, ce qui signifie qu’aujourd’hui, les “exploits” ont systématiquement lieu avant même la publication d’un correctif », poursuit-il. « De plus, le délai entre l’accès initial et le transfert à un groupe de cybercriminels secondaire est passé <a href="https://www.lemagit.fr/actualites/366640645/Selon-Mandiant-les-acteurs-malveillants-ont-bascule-dans-la-deni-de-resilience">de 8 heures à 22 secondes</a> », mentionne-t-il en reprenant les données de Mandiant. « Votre système de sécurité doit fonctionner à la vitesse d’une machine », insiste-t-il.</p> <p>Pour l’heure, ces agents agissent séparément suivant s’ils sont du côté du renseignement sur les menaces ou de la plateforme CNAPP.</p> <p><a href="https://www.lemagit.fr/actualites/366621612/Microsoft-pousse-Security-Copilot-dans-lere-agentique">À l’instar de Microsoft,</a> Google Cloud a déjà mis en place un agent responsable de l’investigation et du tri des alertes en provenance de Google Security Operations (SecOps) SIEM.</p> <p>Ce système propulsé par les modèles Gemini aurait réduit le temps d’analyse de 30 minutes, quand il est fait par un humain, à 60 secondes. Dans le détail, l’analyse, enrichie avec les données de Google Threat Intelligence, peut prendre 60 secondes « minimum », jusqu’à 20 minutes. Du même coup, la moyenne paraît largement faussée.  </p> <p>Cinq millions d’alertes auraient déjà été traitées par cet agent en un an. Une offre promotionnelle (du 1er avril au 30 juin 2026) devrait faire gonfler cette statistique. Elle permet aux clients SecOps Enterprise de réaliser jusqu’à 10 investigations par heure, tandis que les clients des solutions Enterprise Plus et Unified Security ont le droit à 20 investigations par heure. L’agent de tri est compatible avec une petite liste de champs UDM (dont des règles de détection) et avec les logs AWS, Cisco, Crowstrike, Fortinet, Google, Microsoft, Okta, Barracuda, Box, Salesforce, Cloudflare, Elastic, Tanium ou encore Zscaler.</p> <section class="section main-article-chapter" data-menu-title="Google SecOps embarque un agent IA consacré à la chasse aux menaces"> <h2 class="section-title"><i class="icon" data-icon="1"></i>Google SecOps embarque un agent IA consacré à la chasse aux menaces</h2> <p>Trois autres types d’agents IA font leur apparition en préversion depuis la console de Google SecOps. L’agent Threat Hunting doit aider les équipes SOC à détecter les schémas d’attaques inconnus ou discrets au sein de l’environnement de l’entreprise. L’analyse couvre généralement 7 jours de logs dans l’environnement de clients. En maximum trois heures, le système part à la recherche d’acteurs, de campagnes, de ransomware, d’outils malveillants, ainsi que de techniques et de pratiques connues. L’agent accède non seulement à la télémétrie du client, mais également aux informations remontées par Mandiant, VirusTotal et Chrome.</p> <p>L’agent Detection Engineering, lui, doit identifier les écarts entre les menaces profilées par les systèmes cyber de Google et les règles de détection en place au sein du SIEM SecOps. Ces informations peuvent elles-mêmes être transmises par l’agent de chasse aux menaces. Selon cette architecture, une alerte transmise à l’agent de tri peut être traitée par un agent, qui lui-même transférera l’information à l’agent de détection, afin de faire évoluer les règles en place.</p> <p>Un troisième type d’agents fera prochainement son apparition : les agents tiers. Ils pourront transmettre des informations supplémentaires concernant des domaines qui ne sont pas couverts par Google SecOps afin d’élargir les investigations.</p> <p>Google Cloud fournit par ailleurs un serveur MCP pour Google SecOps. En combinaison des outils de la Gemini Enterprise Agent Platform, des rapports GTI, de systèmes tiers (Claude Code, Cursor, etc.), il est possible de configurer son propre agent de chasse aux menaces. </p> <figure class="main-article-image full-col" data-img-fullsize="https://www.lemagit.fr/visuals/LeMagIT/agentcustomgooglesecops.jpg"> <img data-src="https://www.lemagit.fr/visuals/LeMagIT/agentcustomgooglesecops_mobile.jpg" class="lazy" data-srcset="https://www.lemagit.fr/visuals/LeMagIT/agentcustomgooglesecops_mobile.jpg 960w,https://www.lemagit.fr/visuals/LeMagIT/agentcustomgooglesecops.jpg 1280w" alt="Schéma de l'agent ia threat hunting personnalisé" data-credit="Google Cloud/LeMagIT" height="476" width="560"> <figcaption> <i class="icon pictures" data-icon="z"></i>Google Cloud fournit les outils pour personnaliser les agents IA de chasse aux menaces. </figcaption> <div class="main-article-image-enlarge"> <i class="icon" data-icon="w"></i> </div> </figure> <p>À partir d’un rapport qui n’aurait pas été concocté par Google ou Mandiant, les usagers peuvent par exemple résumer les informations clés (qui sont les attaquants, leurs affidés, leurs méthodes habituelles, l’occurrence des attaques, etc.), lancer une détection des schémas d’attaques dans leur environnement et, éventuellement, obtenir des recommandations sur la manière de mettre à jour les systèmes et leurs outils de cyberdétection/protection.</p> <p>Cela fonctionne également à partir d’un article de presse <a href="https://www.lemagit.fr/actualites/366632861/Ransomware-comment-Akira-cache-son-niveau-dactivite-reel">consacré à une enseigne de ransomware</a>, comme on peut en lire dans LeMagIT, a confirmé un porte-parole de Google Cloud. Le représentant n’a pas dit si GCP vendra lui-même cet agent, mais en a présenté l’architecture (cf. l’image ci-dessus).</p> <p>En revanche, ici, pas de remédiation automatique. « L’on peut imaginer mettre à jour des systèmes automatiquement, mais nous ne le recommandons pas de prime abord, surtout quand ils sont critiques ou complexes », souligne-t-il auprès du MagIT. Tout au mieux, il s’agit de mettre à jour les règles de détection. Ici, l’ingénieur fait référence sans le nommer aux incidents vus ailleurs. Par exemple, en 2024, Crowdstrike a passé une mise à jour automatique défectueuse qui a affecté <a href="https://www.lemagit.fr/actualites/366596513/Incident-CrowdStrike-une-opportunite-rapidement-saisie-par-les-cybercriminels">des millions de machines Windows</a>. Plus récemment, <a href="https://www.lemagit.fr/actualites/366633512/Multicloud-responsabilite-partagee-resilience-les-lecons-a-retenir-de-la-panne-dAWS">AWS a subi une panne de plusieurs heures attribuée à son agent IA Kiro</a>.</p> <p>Dans un même temps, Google Cloud prévient à plusieurs reprises que les serveurs MCP peuvent de manière générale exposer ses clients à des failles de sécurité. Les agents IA sont protégés à l’aide de Model Armor, une passerelle doublée d’un LLM as a Judge.</p> </section> <section class="section main-article-chapter" data-menu-title="Les agents Blue, Red et Green de Wiz"> <h2 class="section-title"><i class="icon" data-icon="1"></i>Les agents Blue, Red et Green de Wiz</h2> <p>Ce n’est pas totalement la logique qui prévaut chez Wiz. <a href="https://www.lemagit.fr/actualites/366620958/Securite-Cloud-Google-soffre-finalement-la-jeune-pousse-Wiz-pour-32-milliards-de-dollars">L’entreprise rachetée par Google pour 32 milliards de dollars</a> a elle aussi présenté un trio d’agents IA. Leurs noms sont à la fois peu inspirés et tout à fait reconnaissables. L’agent Blue, en disponibilité générale, reprend peu ou prou l’architecture évoquée plus haut. Comme la couleur l’indique, c’est le système IA consacré à l’équipe bleue au sein des entreprises. </p> <p>À la détection d’une menace dans Wiz Defend, l’agent collecte les événements associés, identifie les schémas comportementaux et évalue le rayon d’exposition à la menace. Il doit corréler les signaux à l’exécution, la télémétrie réseau et le contexte de l’environnement concerné, avant de produire un rapport remis aux analystes SOC. À lui de déterminer si la menace est réelle à partir des faisceaux de preuves réunis par l’agent.</p> <p>« Wiz nous fournit les outils nécessaires pour analyser les environnements, depuis le cloud jusqu’au code, en passant par l’ensemble de la pile », résume Thomas Kurian, CEO de Google Cloud, lors d’un point presse.</p> <blockquote class="main-article-pullquote"> <div class="main-article-pullquote-inner"> <figure> « Wiz nous fournit les outils nécessaires pour analyser les environnements, depuis le cloud jusqu’au code, en passant par l’ensemble de la pile. » </figure> <figcaption> <strong>Thomas Kurian</strong>CEO, Google Cloud </figcaption> <i class="icon" data-icon="z"></i> </div> </blockquote> <p>Le « Blue Agent » a deux sous agents qui doivent permettre de réunir davantage de preuves. L’un (Forensics) analyse les scripts, les binaires et les artefacts. L’autre (Code Analysis) doit lier les détections au runtime, au code source par l’identification des pull requests, des changements de code, et de leurs propriétaires. Dans cette logique, le système peut détecter si un compte légitime a été compromis, si la modification est en réalité souhaitée (certaines librairies peuvent contenir des CVSS de faible criticité qui ont peu d’effet si elles sont déployées dans un environnement isolé) ou si un attaquant a lui-même « commité » du code malveillant au sein de dépôts.</p> <p>L’agent rouge, en préversion publique, est consacré à la red team. Intégré à Wiz Attack Surface Management, sa base de connaissances porte sur la compréhension des mécanismes de l’infrastructure cloud et des applications qui y sont hébergées. Toutefois, son rôle est de découvrir les moyens d’exploiter des API. « Le Red Agent cartographie l’ensemble de votre surface d’attaque API en regroupant les points de terminaison provenant des API cloud, de la documentation Swagger et OpenAPI, du senseur Wiz Runtime et de son propre robot d’exploration Web alimenté par l’IA », affirment les porte-parole de Wiz. « Ce robot analyse le code côté client afin de détecter les API fantômes, les services de test oubliés et les points de terminaison non documentés, qui ne sont pas visibles lors d’une analyse traditionnelle ».</p> <p>Ensuite, l’agent va « raisonner » sur la meilleure manière de s’en prendre aux API, afin de trouver les chemins d’attaque qui ne seraient pas référencés dans des référentiels comme l’OWASP. Ces tests de pénétration ne sont pas tous préconfigurés. Là encore, une fois l’analyse effectuée, le Red Agent produit des rapports partiellement hiérarchisés que les équipes concernées devront elles-mêmes personnaliser.</p> <p>L’éditeur sous la coupe de Google Cloud aurait déjà pu faire la preuve de l’efficacité de son système à la défaveur d’une « plateforme communautaire ». Le Red Agent y aurait trouvé une faille zero day pour contourner l’authentification à des tenants normalement protégés par identifiants. GCP ne cite toutefois pas le nom de cette solution.</p> <blockquote class="main-article-pullquote"> <div class="main-article-pullquote-inner"> <figure> « À l’ère de l’IA, la meilleure défense consiste à utiliser en permanence l’IA contre nous-mêmes, afin de donner aux défenseurs l’avantage de la première initiative face aux attaquants. » </figure> <figcaption> <strong>Yinon Costica</strong>Cofondateur et vice-président produit, Wiz </figcaption> <i class="icon" data-icon="z"></i> </div> </blockquote> <p>« À l’ère de l’IA, la meilleure défense consiste à utiliser en permanence l’IA contre nous-mêmes afin de donner aux défenseurs l’avantage de la première initiative face aux attaquants. Et c’est exactement ce que fait le Red Agent », vante Yinon Costica, cofondateur et vice-président produit chez Wiz, lors du keynote d’ouverture de Google Cloud Next 26.</p> </section> <section class="section main-article-chapter" data-menu-title="De la détection à la remédiation agentique"> <h2 class="section-title"><i class="icon" data-icon="1"></i> De la détection à la remédiation agentique</h2> <p>Mais là où les équipes derrière Google SecOps ne poussent pas encore jusqu’à la remédiation automatisée, Wiz en prend le chemin. C’est le rôle de l’agent vert (Green Agent). À partir des analyses, de l’inventaire cloud, la corrélation des résolutions, le lien entre le code exécuté et leur propriétaire, l’analyse des dépôts, et une base de connaissances, il doit fournir des recommandations sur la résolution de problèmes.</p> <p>Ces problèmes peuvent être dus à la mauvaise configuration de ressources cloud et des ports réseau, des trous dans les politiques IAM, etc. Dans ces cas-là, l’agent Green ne s’arrête pas à de vagues conseils, mais génère des instructions détaillées, avec des éléments de code (commandes, scripts HCL Terraform, YAML pour Kubernetes, etc.). Il peut créer des pull requests ou directement envoyer ces éléments à un agent IA de programmation pour les appliquer. Les recommandations, disponibles dans la console de Wiz, sont également accessibles par API ou serveur MCP. De manière plus classique, l’agent bleu peut être associé au flux de travail automatisé de la plateforme pour envoyer les rapports aux bonnes personnes ou déclencher des procédures d’isolation.</p> <p>Le tout devra être multicloud. Aussi, la plateforme Wiz continuera d’être disponible sur Microsoft Azure, AWS et Oracle Cloud.</p> <p>« À mesure que les modèles deviennent plus sophistiqués, il est nécessaire d’automatiser le processus de détection des vulnérabilités, de leur correction, puis de la réponse aux menaces. C’est la raison pour laquelle nous avons acquis Wiz », souligne Thomas Kurian. Avant l’avènement de l’IA, l’automatisation des processus de renseignement faisait déjà consensus. En revanche, <a href="https://www.lemagit.fr/conseil/DevSecOps-les-benefices-et-les-risques-de-lautomatisation">la remédiation automatique n’a pas la même popularité</a>.</p> <p>Pour autant, les concurrents ne sont pas en reste : Microsoft, Crowdstrike, IBM, Palo Alto Networks, Elastic et l’ensemble des acteurs du marché sont en train de constituer leur batterie d’agents IA.</p> </section> Selon Google Cloud, si les attaquants utilisent l’IA, alors les défenseurs doivent faire de même. C’est l’une des raisons du rachat de Wiz, assure Thomas Kurian, CEO de GCP. Toutefois, les équipes du fournisseur ne semblent pas encore totalement d’accord concernant la remédiation automatique. https://cdn.ttgtmedia.com/visuals/LeMagIT/hero_article/gcpwiz.jpg https://www.lemagit.fr/actualites/366642467/Cybersecurite-Google-veut-infuser-des-agents-IA-de-linvestigation-a-la-remediation Wed, 29 Apr 2026 13:40:00 GMT Cybersécurité : Google veut infuser des agents IA de l’investigation à la remédiation LeMagIT 60 editorial@fr.techtarget.com