Operationalising Cyber Risk Management Using AI: Connecting Cyber Incidents to MITRE ATT&CK Techniques, Security Controls, and Metrics

Cette recherche présente un cadre novateur utilisant le traitement du langage naturel pour automatiser la cartographie des incidents cybernétiques vers les techniques MITRE ATT&CK, les contrôles de sécurité CIS et des métriques SMART, afin d'aider les organisations, en particulier les petites entreprises, à opérationnaliser la gestion des risques cybernétiques grâce à un modèle de similarité sémantique optimisé et à une base de connaissances publique appelée Cyber Catalog.

L'essentiel

🛡️ Le Problème : Le Chaos dans la Salle de Contrôle

Imaginez que votre entreprise est une forteresse. Aujourd'hui, les voleurs (les pirates informatiques) sont de plus en plus nombreux et intelligents. Ils n'attaquent pas toujours de la même façon : parfois ils cassent la porte, parfois ils volent une clé, parfois ils se déguisent en livreur.

Le problème, c'est que les gardes de votre forteresse (les équipes de sécurité) sont souvent débordés. Ils reçoivent des rapports d'incidents écrits en "langage humain" (des histoires confuses) et doivent :

1. Comprendre exactement comment le voleur a agi.
2. Trouver dans un énorme manuel de règles (appelé MITRE ATT&CK) quel nom technique correspond à cette action.
3. Vérifier dans un autre manuel (les Contrôles CIS) quelle défense mettre en place.
4. Mesurer si cette défense fonctionne vraiment.

Faire tout cela à la main, c'est comme essayer de résoudre un puzzle de 10 000 pièces avec des gants de boxe. C'est lent, épuisant, et les petites entreprises (les PME) n'ont pas assez de gardes pour le faire correctement.

🧠 La Solution : Un "Super-Traducteur" Intelligent

Les chercheurs de cette étude ont créé une solution en deux parties pour automatiser ce processus.

1. Le "Catalogue Cyber" : Le Grand Livre de la Vérité

Imaginez un immense dictionnaire ou un "Google Maps" des cyber-risques. Les chercheurs l'ont appelé le Cyber Catalog.

• Ce livre relie trois mondes qui étaient séparés :
  • Le Crime (la technique du pirate).
  • La Défense (la règle à appliquer pour se protéger).
  • Le Score (une mesure précise pour dire si la défense fonctionne).
• Avant, il fallait chercher manuellement ces liens. Maintenant, tout est connecté dans un seul endroit clair.

2. L'IA "Entraînée" : Le Détective qui a lu tous les livres

Pour faire le lien entre un rapport d'incident (ex: "Un employé a cliqué sur un lien bizarre") et la technique du pirate (ex: "Hameçonnage"), ils ont utilisé une Intelligence Artificielle (une IA).

Mais une IA normale, c'est comme un étudiant brillant qui a lu des romans policiers, mais qui n'a jamais vu un vrai cambriolage. Elle comprend le langage, mais pas les détails techniques.

Ce que les chercheurs ont fait :

• L'Entraînement (La Gymnastique) : Ils ont pris une IA de base et lui ont fait lire 75 000 exemples d'histoires de piratage réelles, annotées par des experts.
• L'Augmentation (Le Miroir) : Comme ils n'avaient pas assez d'exemples au début, ils ont demandé à une autre IA très puissante (GPT-5) d'inventer des milliers de nouvelles histoires de piratage qui ressemblent aux vraies, mais avec des noms de villes ou d'entreprises différents. C'est comme si le détective s'entraînait sur des milliers de fausses affaires pour ne pas se tromper sur les détails.
• Le "Négatif Dur" (Le Jeu de l'Intrus) : Pour que l'IA soit très précise, ils lui ont montré des cas où deux techniques se ressemblent beaucoup mais ne sont pas les mêmes. C'est comme entraîner un chien de police à distinguer un vrai voleur d'un simple promeneur qui porte un manteau similaire.

📊 Les Résultats : Une Précision Éblouissante

Les résultats sont impressionnants.

• Avant l'entraînement : L'IA de base avait un taux de réussite moyen (un peu comme un élève qui a 12/20). Elle comprenait l'idée générale, mais se trompait souvent sur les détails.
• Après l'entraînement : L'IA spécialisée a atteint un score de 0,79 sur 1 (très fort). Elle ne se trompe presque plus.
• La différence : L'erreur de prédiction a été divisée par trois. C'est la différence entre un GPS qui vous fait faire un demi-tour inutile et un GPS qui vous guide directement à destination.

🚀 Pourquoi c'est important pour tout le monde ?

Grâce à ce travail, voici ce qui change concrètement :

1. Gain de temps énorme : Au lieu de passer des heures à analyser un incident, l'IA le fait en quelques secondes. Elle dit : "Attention, c'est telle technique, voici la règle à activer, et voici comment mesurer si ça marche."
2. Égalité des chances : Les petites entreprises, qui n'ont pas d'équipe de 50 experts, peuvent maintenant utiliser le même niveau de protection que les géants de la tech.
3. Décisions basées sur les faits : Fini les intuitions ("Je pense qu'on est en sécurité"). On a maintenant des chiffres précis pour dire : "Notre défense contre ce type d'attaque a réduit les risques de 40%".

En résumé

Cette recherche, c'est comme avoir donné à chaque entreprise un assistant de sécurité surhumain. Cet assistant a lu tous les manuels de défense, a vu des milliers de cas de vol, et sait exactement quel verrou mettre en place pour quel type de cambrioleur, le tout en vous donnant un score précis pour savoir si vous êtes bien protégé.

C'est une avancée majeure pour rendre la cybersécurité plus rapide, plus intelligente et accessible à tous.

Résumé technique

Titre : Opérationnalisation de la gestion des risques cyber via l'IA : Connexion des incidents cyber aux techniques MITRE ATT&CK, aux contrôles de sécurité et aux métriques.

1. Problématique

Le paysage des menaces cybernétiques évolue avec une fréquence et une sophistication croissantes, pesant disproportionnément sur les petites et moyennes entreprises (PME) qui manquent de ressources et d'expertise. Les approches traditionnelles d'analyse des incidents reposent sur des processus manuels laborieux :

• Goulots d'étranglement opérationnels : La traduction de descriptions d'incidents non structurées en techniques structurées (MITRE ATT&CK) et leur lien avec des contrôles de sécurité (CIS Controls) consomment un temps précieux et sont sujets à l'erreur humaine.
• Absence de métriques objectives : L'évaluation de l'efficacité des contrôles de sécurité repose souvent sur des jugements subjectifs plutôt que sur des données quantifiables, rendant difficile la justification des dépenses de sécurité et la démonstration de la conformité.
• Déconnexion des connaissances : Il existe un fossé entre l'intelligence des menaces (ATT&CK), les mesures défensives (CIS Controls) et les indicateurs de performance (métriques SMART), empêchant une gestion des risques basée sur des preuves.

2. Méthodologie

Les auteurs proposent un cadre intégré en cinq étapes principales :

A. Développement du "Cyber Catalog" (Base de connaissances)
Une base de connaissances unifiée a été créée pour relier trois domaines :

1. Contrôles CIS (v8) : 18 contrôles critiques et 153 mesures de sécurité (Safeguards).
2. Techniques MITRE ATT&CK : Comportements adversaires documentés.
3. Métriques SMART : Indicateurs quantifiables (Spécifiques, Mesurables, Atteignables, Pertinents, Temporels) pour évaluer l'efficacité des contrôles.
   Le catalogue établit des mappings bidirectionnels entre les techniques d'attaque et les contrôles défensifs, associés à des métriques d'évaluation.

B. Préparation des données d'entraînement

• Données de base : 762 paires incident-technique annotées manuellement par des experts à partir de la base de données EuRepoC.
• Augmentation synthétique : Utilisation d'un modèle de langage (GPT-5) pour générer 100 variations sémantiques par incident, créant un corpus de 76 200 paires.
• Assurance qualité : Filtrage rigoureux via BERTScore (seuil F1 > 0,75) pour éliminer les doublons et les données de faible qualité, aboutissant à un jeu de données final de 74 986 paires.
• Mining de "Hard Negatives" : Stratégie pour identifier des techniques sémantiquement proches mais incorrectes afin d'améliorer la discrimination du modèle.

C. Architecture du modèle et Entraînement

• Modèle de base : all-mpnet-base-v2 (Sentence Transformers), choisi pour sa capacité à capturer le sens sémantique.
• Fonction de perte modifiée : Utilisation de la MultipleNegativesRankingLoss (MNRL) adaptée avec un mécanisme "Duplicate-Aware" (via NoDuplicatesDataLoader). Cela empêche le modèle de traiter deux incidents différents correspondant à la même technique comme des "négatifs" l'un pour l'autre dans le même batch, résolvant le problème des relations "un-à-plusieurs".
• Configuration : Entraînement sur 10 époques avec un taux d'apprentissage de $2 \times 10^{-5}$ et un lot (batch size) de 16.

D. Évaluation
Comparaison du modèle affiné (ft_mpnet_v6) contre des modèles de base (all-mpnet-base-v2, all-distilroberta-v1, all-MiniLM-L12-v2) sur des métriques de corrélation (Spearman, Pearson) et d'erreur (MAE, MSE).

3. Contributions Clés

1. Le Cyber Catalog : Une ressource publique et structurée (CSV) intégrant CIS Controls, MITRE ATT&CK et des métriques SMART, comblant le vide entre l'intelligence des menaces et la gestion opérationnelle.
2. Approche de données innovante : Une méthodologie robuste d'augmentation de données synthétiques validée par BERTScore, combinée à une stratégie de hard negative mining et de gestion des doublons pour les relations un-à-plusieurs.
3. Performance supérieure : Démonstration qu'un fine-tuning spécifique au domaine sur des données cybernétiques améliore considérablement la précision par rapport aux modèles génériques.
4. Ressources ouvertes : Mise à disposition publique du catalogue, du jeu de données, du modèle entraîné et du code pour faciliter le déploiement, notamment dans les environnements à ressources limitées.

4. Résultats

Le modèle affiné (ft_mpnet_v6) a démontré des performances nettement supérieures aux modèles de base :

• Corrélation de Spearman : Le modèle atteint 0,7894 (corrélation très forte), contre 0,5852 pour le modèle de base non affiné. Cela représente une amélioration relative d'environ 37 % ($\Delta\rho \approx 0,21$).
• Corrélation de Pearson : 0,8756, indiquant une relation linéaire forte entre les prédictions et la vérité terrain.
• Précision des erreurs :
  • MAE (Erreur Absolue Moyenne) : 0,1352 (réduction de ~67 % par rapport aux baselines).
  • MSE (Erreur Quadratique Moyenne) : 0,0272 (réduction drastique des erreurs importantes).
• Distribution des erreurs : L'analyse montre que le modèle propose des prédictions plus stables et concentrées autour de zéro, avec une probabilité négligeable d'erreurs graves, contrairement aux modèles de base.

5. Signification et Impact

Ce travail offre une solution pratique pour opérationnaliser la gestion des risques cyber :

• Accélération du triage : Automatisation de la classification des incidents vers les techniques ATT&CK et les contrôles CIS, réduisant le temps d'analyse pour les analystes, en particulier dans les PME.
• Prise de décision basée sur les données : Le lien direct entre les incidents, les contrôles et les métriques SMART permet d'identifier les lacunes de sécurité et d'allouer les ressources là où l'impact est maximal.
• Évaluation objective : Remplacement des jugements subjectifs par des métriques quantifiables pour mesurer l'efficacité des contrôles de sécurité au fil du temps.
• Extensibilité : Le cadre est conçu pour être intégré dans des systèmes de détection d'intrusion (HIDS) et peut être étendu à d'autres cadres normatifs (NIST SP 800-53, ISO 27001).

En résumé, cette recherche comble le fossé entre l'intelligence des menaces non structurée et la gestion de la sécurité opérationnelle, fournissant un outil actionnable pour une réponse aux incidents plus rapide et une gestion des risques plus rigoureuse.