Apprentissage automatique en cybersécurité : pourquoi c'est important aujourd'hui

Qu'est-ce que l'apprentissage automatique en cybersécurité ?

L'apprentissage automatique en cybersécurité fait référence à des algorithmes qui apprennent à partir de données de sécurité pour détecter, prévenir et répondre aux menaces sans programmation explicite pour chaque scénario d'attaque. Ces systèmes analysent les schémas du trafic réseau, du comportement des utilisateurs et des événements système afin de distinguer l'activité normale des menaces potentielles.

La sécurité basée sur l'apprentissage automatique utilise des modèles statistiques entraînés sur des ensembles de données comprenant à la fois des activités bénignes et malveillantes. Les modèles apprennent à reconnaître les signatures comportementales des attaques : la séquence d'appels API précédant le chiffrement par ransomware, les schémas réseau indiquant une exfiltration de données ou les anomalies d'authentification suggérant un vol d'identifiants. Cela permet aux systèmes de sécurité de détecter des menaces jamais vues auparavant en reconnaissant des schémas suspects plutôt qu'en recherchant des signatures connues.

Trois techniques principales d'apprentissage automatique alimentent les systèmes de sécurité modernes. L'apprentissage supervisé s'entraîne sur des ensembles de données étiquetées pour classifier de nouveaux événements. L'apprentissage non supervisé détecte les anomalies en établissant des bases comportementales. L'apprentissage profond applique des réseaux neuronaux pour traiter des données complexes comme les captures de paquets réseau. Chaque technique répond à des défis spécifiques, de la classification des malwares à la détection  des menaces internes.

Comment l'apprentissage automatique s'applique-t-il à la cybersécurité ?

L'apprentissage automatique en cybersécurité fournit une détection autonome des menaces grâce à la reconnaissance de schémas qui s'adapte à l'évolution des menaces sans programmation explicite pour chaque scénario. L'apprentissage automatique renforce les systèmes de sécurité via des algorithmes qui analysent les schémas, détectent les anomalies et s'adaptent aux menaces. Cette approche diffère des méthodes basées sur les signatures qui nécessitent des mises à jour manuelles pour chaque nouvelle variante de menace.

Selon les données du FBI, les plaintes pour phishing ont augmenté de 714 % d'une année sur l'autre, passant de 2 856 à 23 252 plaintes.  L'apprentissage automatique répond à cela par l'analyse comportementale. Les systèmes d'apprentissage automatique ont réussi à détecter des variantes de ransomware obfusquées sur de grands ensembles d'échantillons couvrant plusieurs familles de malwares. Les techniques traditionnelles de recherche de motifs et de signatures échouent face à l'obfuscation avancée, tandis que les approches d'apprentissage profond maintiennent leur efficacité.

Composants clés de l'apprentissage automatique en cybersécurité

Votre système d'apprentissage automatique d'entreprise comporte cinq couches qui déterminent l'efficacité de la détection.

1. La collecte de données constitue votre fondation. Votre système ingère des données d'événements de sécurité provenant des journaux SIEM, de la télémétrie des endpoints, des captures de trafic réseau et des statistiques d'infrastructure cloud. Singularity Platform consolide ces données dans un data lake unifié en utilisant l'Open Cybersecurity Schema Framework (OCSF) qui normalise les événements issus de sources natives et tierces.
2. L'ingénierie des caractéristiques détermine la précision de votre détection. Une ingénierie des caractéristiques appropriée permet aux réseaux neuronaux artificiels et aux machines à vecteurs de support d'atteindre une meilleure précision pour la détection d'intrusions. Les moteurs autonomes de corrélation d'événements transforment les événements de sécurité bruts en récits d'attaque structurés analysés par les modèles d'apprentissage automatique, reliant chaque événement à son processus parent, ses connexions réseau et ses modifications de fichiers.
3. L'entraînement des modèles nécessite de choisir entre apprentissage supervisé et non supervisé. L'apprentissage supervisé atteint des taux de détection élevés documentés pour les schémas de menaces connus. L'apprentissage non supervisé répond à un défi majeur : les ensembles de données étiquetées sont souvent indisponibles ou obsolètes en raison de la nature dynamique des cybermenaces.
4. L'inférence en temps réel traite des milliers d'événements par seconde, en corrélant plusieurs sources de données tout en générant des alertes exploitables sans submerger vos analystes. Les plateformes de sécurité d'entreprise mettent en œuvre l'inférence en temps réel via des architectures distribuées qui traitent des milliers d'événements de sécurité par seconde. Ces systèmes corrèlent la télémétrie des  endpoints, le trafic réseau et les données d'infrastructure cloud tout en maintenant des temps de réponse inférieurs à la seconde, nécessaires pour contenir les ransomwares.
5. La défense contre les attaques adverses complète votre architecture. La nature axée sur les données des systèmes d'apprentissage automatique introduit de nouveaux vecteurs d'attaque auxquels les systèmes logiciels traditionnels ne sont pas confrontés. NIST catégorise les attaques en évasion, empoisonnement, atteinte à la vie privée et abus, nécessitant des contre-mesures adverses.

Comprendre ces cinq couches clarifie la façon dont l'apprentissage automatique traite les menaces en pratique.

Applications clés de l'apprentissage automatique en cybersécurité

L'apprentissage automatique alimente les capacités de sécurité tout au long du cycle de vie de l'attaque, de la prévention à la détection et à la réponse.

• La détection et la classification des malwares représentent l'application la plus mature de l'apprentissage automatique en sécurité. L'IA comportementale analyse le comportement des exécutables, les caractéristiques des fichiers et les relations entre processus pour détecter le code malveillant. Ces modèles détectent des variantes de  malwares zero-day qui échappent aux antivirus basés sur les signatures en reconnaissant les schémas d'attaque plutôt que des empreintes de fichiers spécifiques.
• La détection d'intrusions réseau applique l'apprentissage automatique pour identifier les schémas de trafic malveillant. Les modèles entraînés sur le comportement réseau normal signalent les anomalies telles qu'une utilisation inhabituelle des ports, des transferts de données suspects et des schémas de communication de commande et contrôle.
• L'analyse du comportement des utilisateurs et des entités (UEBA) établit des bases comportementales pour les utilisateurs, les appareils et les applications afin de détecter les menaces internes et les comptes compromis. Lorsqu'un compte utilisateur accède soudainement à des ressources inhabituelles ou se connecte depuis des emplacements inattendus, les modèles d'apprentissage automatique signalent l'anomalie pour enquête. Cette approche permet de détecter le vol d'identifiants et les mouvements latéraux que les outils basés sur les signatures ne voient pas.
• La protection contre les emails et le phishing utilise le traitement du langage naturel et l'analyse de la réputation de l'expéditeur pour détecter les messages malveillants. Les modèles d'apprentissage automatique analysent le contenu des emails, les URL intégrées et les caractéristiques des pièces jointes pour bloquer les tentatives de phishing.
• La priorisation des vulnérabilités aide les équipes de sécurité à concentrer la remédiation sur les vulnérabilités les plus susceptibles d'être exploitées. Les modèles d'apprentissage automatique analysent les caractéristiques des vulnérabilités, la disponibilité des exploits et la criticité des actifs pour prédire les problèmes présentant le plus grand risque.

Ces applications fonctionnent ensemble dans des plateformes unifiées pour fournir une défense en profondeur sur l'ensemble de votre infrastructure.

Fonctionnement de l'apprentissage automatique dans les opérations de sécurité

Les systèmes de sécurité basés sur l'apprentissage automatique suivent un flux de travail séquentiel qui transforme les données de sécurité brutes en renseignements sur les menaces exploitables :

• La collecte de données agrège les événements de sécurité provenant des endpoints, des réseaux, de l'infrastructure cloud et des systèmes d'identité dans un référentiel centralisé.
• L'ingénierie des caractéristiques structure ensuite ces événements pour l'analyse en extrayant des indicateurs comportementaux, des relations de processus et des schémas de connexion réseau.
• Lors de l'entraînement du modèle, les méthodes supervisées apprennent à partir de données de menaces étiquetées tandis que les méthodes non supervisées identifient les anomalies sans catégories prédéfinies.
• L'inférence en temps réel applique les modèles entraînés aux événements en direct au fur et à mesure qu'ils se produisent. Lorsque le modèle identifie un comportement suspect, il déclenche des alertes avec des scores de confiance et des informations contextuelles.
• Le système maintient également une surveillance continue qui suit les métriques de performance du modèle et déclenche des cycles de réentraînement lorsque la précision tombe en dessous des seuils établis.

Ce flux de travail apporte des améliorations opérationnelles mesurables en matière de détection, de réponse et d'efficacité des analystes.

Mise en œuvre de l'apprentissage automatique dans les programmes de cybersécurité

Le déploiement réussi de l'apprentissage automatique en sécurité nécessite une approche structurée couvrant la préparation des données, la sélection des modèles, l'intégration et les opérations.

• Phase 1 : Fondation des données. Auditez vos sources de données de sécurité existantes et identifiez les lacunes. Les modèles d'apprentissage automatique nécessitent des données de qualité représentant à la fois les opérations normales et les scénarios de menace. Évaluez la complétude et la durée de rétention de votre SIEM, de la télémétrie des endpoints, du réseau et du cloud.
• Phase 2 : Priorisation des cas d'usage. Identifiez les défis de sécurité spécifiques où l'apprentissage automatique apporte un avantage mesurable par rapport aux outils existants. Les points de départ à forte valeur ajoutée incluent la réduction des faux positifs, la détection de malwares inconnus via l'analyse comportementale et la détection de comportements utilisateurs anormaux indiquant des identifiants compromis.
• Phase 3 : Déploiement pilote. Exécutez les systèmes d'apprentissage automatique en mode surveillance parallèlement aux outils de sécurité existants pour comparer les performances de détection. Cette opération parallèle renforce la confiance dans la précision de l'apprentissage automatique et révèle les besoins d'ajustement propres à votre environnement.
• Phase 4 : Intégration en production. Connectez les résultats de l'apprentissage automatique à vos flux de travail de sécurité et à vos playbooks de réponse. Mappez les alertes d'apprentissage automatique à vos procédures d' intervention sur incident. L'intégration avec les plateformes SOAR permet des actions de réponse autonomes pour les détections à forte confiance tout en orientant les résultats incertains vers les analystes.
• Phase 5 : Optimisation continue. Établissez des métriques de performance de référence et des systèmes de surveillance qui suivent la précision dans le temps. Planifiez des cycles réguliers de réentraînement des modèles pour intégrer de nouveaux renseignements sur les menaces et s'adapter aux changements de l'environnement.

Les organisations qui suivent cette approche structurée obtiennent un retour sur investissement plus rapide et évitent les pièges courants de mise en œuvre.

Bénéfices clés de l'apprentissage automatique en cybersécurité

Votre déploiement d'apprentissage automatique apporte des améliorations mesurables sur trois indicateurs essentiels pour les opérations SOC : la précision de détection des menaces, la réduction des faux positifs et le temps de réponse.

1. La précision de détection s'améliore sur tous les vecteurs d'attaque. La protection des endpoints alimentée par l'IA comportementale détecte les  menaces zero-day que les solutions basées sur les signatures manquent totalement. En analysant le comportement des processus plutôt qu'en recherchant des signatures connues, ces systèmes maintiennent des taux de détection élevés contre les nouvelles variantes de ransomware et les attaques sans fichier.
2. La réduction des faux positifs diminue le volume d'alertes. L'établissement de bases comportementales et la corrélation intelligente réduisent considérablement le bruit. Lors des évaluations MITRE, Singularity Platform n'a généré que 12 alertes alors que les concurrents en ont produit 178 000. Cette réduction de 88 % du volume d'alertes permet à vos analystes de se concentrer sur les vraies menaces plutôt que de courir après des faux positifs.
3. Le temps de réponse s'améliore grâce à une neutralisation accélérée des menaces. Lorsque les modèles d'apprentissage automatique détectent un comportement de chiffrement par ransomware, les capacités de restauration autonome ramènent les systèmes affectés à leur état antérieur à l'attaque en quelques minutes. La corrélation des événements reconstitue la chronologie complète de l'attaque pour l'analyse forensique. Singularity Identity protège la surface d'attaque de votre infrastructure d'identité avec des défenses en temps réel qui répondent aux attaques en cours avec des solutions pour Active Directory et Entra ID.
4. La consolidation des outils crée une architecture de plateforme unifiée. Les organisations gèrent généralement de nombreux outils de sécurité déconnectés, créant des lacunes d'intégration exploitées par les attaquants. Les plateformes alimentées par l'apprentissage automatique consolident la détection des endpoints, la surveillance réseau, la  sécurité cloud et les  renseignements sur les menaces dans des architectures unifiées. Cela élimine les lacunes de corrélation entre systèmes disparates tout en réduisant la complexité opérationnelle.
5. La chasse proactive aux menaces devient possible. L'apprentissage automatique permet la  chasse proactive aux menaces dans les environnements d'infrastructures critiques, y compris les services publics, la santé et la finance. Singularity Cloud Native Security fournit un CNAPP sans agent avec Offensive Security Engine qui raisonne comme un attaquant, effectuant automatiquement des tests d'intrusion sur les problèmes de sécurité cloud et présentant des chemins d'exploitation vérifiés. Le système va au-delà de la cartographie des chemins d'attaque pour détecter les problèmes, les sonder et présenter des preuves.

Ces avantages s'accompagnent de défis architecturaux qu'il convient de comprendre avant le déploiement.

Défis et limites de l'apprentissage automatique en cybersécurité

Vos systèmes de sécurité basés sur l'apprentissage automatique présentent des vulnérabilités architecturales que les contre-mesures actuelles ne peuvent pas entièrement corriger. Les recommandations conjointes de la NSA, du NCSC-UK et de la CISA indiquent que les systèmes d'apprentissage automatique sont vulnérables aux  attaques adverses, qui exploitent des vulnérabilités inhérentes à l'apprentissage automatique plutôt que des failles d'implémentation pouvant être corrigées.

Il est important de prendre en compte diverses vulnérabilités et limites propres aux systèmes d'apprentissage automatique en sécurité pour planifier une mitigation efficace. 

• La qualité des données détermine votre succès. Les ensembles de données publics pour l'entraînement de l'apprentissage automatique en cybersécurité sont fréquemment obsolètes. De nombreux projets échouent car leurs modèles reposent sur des données inexactes, incomplètes ou mal étiquetées.
• La dérive du modèle crée des vulnérabilités persistantes. Les adversaires peuvent exploiter vos mécanismes de détection de dérive, créant des instances adverses qui échappent aux détecteurs de dérive tout en dégradant les performances du modèle.
• Les attaques par injection de prompt émergent comme un vecteur d'attaque unique ciblant les systèmes d'apprentissage automatique, où les adversaires manipulent les LLM via des entrées conçues pour exfiltrer des données ou exécuter des actions non autorisées.
• Les préoccupations concernant la fiabilité des agents se sont intensifiées dans l'industrie. Les plateformes de sécurité d'entreprise doivent mettre en œuvre des architectures distribuées où les agents endpoint maintiennent des capacités de protection autonome lors des interruptions réseau. Les organisations exigent de plus en plus des plateformes de sécurité capables de maintenir une protection autonome lors des pannes réseau, répondant ainsi aux préoccupations d'entreprise concernant la fiabilité des systèmes et la continuité d'activité.
• La supervision humaine reste essentielle. Les plateformes de sécurité d'entreprise mettent en œuvre la collaboration humain-apprentissage automatique en fournissant aux analystes de sécurité un contexte forensique complet pour chaque alerte. Les analystes reçoivent une corrélation des menaces assistée par l'apprentissage automatique lors des investigations, mais les systèmes doivent exiger une validation obligatoire pour les actions de réponse critiques. Cela maintient la supervision humaine essentielle pour les décisions à haut risque.

Éviter ces écueils nécessite de suivre des cadres et des bonnes pratiques établis.

Bonnes pratiques pour l'apprentissage automatique

Le déploiement de l'apprentissage automatique pour la cybersécurité nécessite une mise en œuvre structurée couvrant la gouvernance, l'intégration et les opérations. Trois cadres de référence guident ce processus : le NIST AI Risk Management Framework pour la structure de gouvernance, les directives CISA AI Data Security pour la protection des données et les SANS Critical AI Security Controls pour la mise en œuvre opérationnelle. Les bonnes pratiques suivantes couvrent la gouvernance des modèles, l'intégration des cadres et la collaboration humain-apprentissage automatique.

Gouvernance et vérification des données d'entraînement

Évaluez les modèles d'apprentissage automatique selon des dimensions de sécurité incluant la sécurité du modèle de données, la sécurité du pipeline MLOps, le risque lié aux données propriétaires et la provenance des données d'entraînement. Les directives CISA imposent des systèmes de vérification multicouches, le suivi de la provenance via des systèmes d'identifiants de contenu, la certification des fournisseurs de jeux de données tiers et la validation des modèles de base lors de l'utilisation de modèles pré-entraînés.

Évitez de déployer des modèles évalués uniquement sur des données propres sans tests adverses. Ne supposez jamais que les ensembles de données à grande échelle web sont propres sans vérification ; les directives CISA précisent explicitement que les organisations ne peuvent pas supposer que les ensembles de données sont propres, exacts ou exempts de contenu malveillant.

Sélection de modèles basée sur les risques et vérification des données d'entraînement 

Évaluez les modèles d'apprentissage automatique selon des dimensions de sécurité incluant la sécurité du modèle de données, la sécurité du pipeline MLOps, le risque lié aux données propriétaires et la provenance des données d'entraînement. Les directives CISA imposent des systèmes de vérification multicouches, le suivi de la provenance via des systèmes d'identifiants de contenu, la certification des fournisseurs de jeux de données tiers et la validation des modèles de base lors de l'utilisation de modèles pré-entraînés.

Évitez de déployer des modèles évalués uniquement sur des données propres sans tests adverses. Ne supposez jamais que les ensembles de données à grande échelle web sont propres sans vérification ; les directives CISA précisent explicitement que les organisations ne peuvent pas supposer que les ensembles de données sont propres, exacts ou exempts de contenu malveillant.

Intégration avec le cadre MITRE ATT&CK et surveillance continue

Le  cadre ATT&CK fournit une méthodologie d'intégration structurée :

• Mappez les résultats de détection de votre apprentissage automatique aux techniques et tactiques ATT&CK spécifiques
• Utilisez la taxonomie ATT&CK comme étiquettes structurées pour les ensembles de données d'entraînement
• Validez la couverture de détection sur l'ensemble du cycle de vie de l'attaque

Les plateformes de sécurité d'entreprise doivent mapper automatiquement tous les résultats de détection de l'apprentissage automatique aux techniques MITRE ATT&CK spécifiques. Lorsque les systèmes d'apprentissage automatique détectent des menaces, les analystes doivent voir à quelles tactiques ATT&CK le comportement correspond, permettant des workflows d'investigation structurés et une analyse des lacunes de couverture.

Mettez en œuvre des contrôles d'accès robustes et une validation des entrées pour les modèles d'apprentissage automatique ; le Playbook JCDC de la CISA identifie les contrôles faibles comme points de défaillance courants. Les directives SANS imposent une surveillance continue avec suivi autonome des performances par rapport aux références établies, la détection de dérive pour les données et les concepts, le réentraînement déclenché lorsque les seuils de performance sont franchis, et des cycles de validation avant le déploiement en production.

Collaboration structurée humain-apprentissage automatique

Les organisations doivent mettre en œuvre une autonomie graduée équilibrant automatisation et supervision des analystes. Maintenez une supervision humaine pour les décisions de sécurité critiques. Les tâches routinières fonctionnent de manière autonome tandis que les décisions critiques nécessitent une validation humaine. Ajustez le niveau de supervision en fonction de l'impact de la décision. La qualité de l'ingénierie des caractéristiques détermine si vous atteignez une haute précision de détection ou si vous sous-performez significativement.

Comment l'apprentissage automatique améliore les opérations SOC

Les centres d'opérations de sécurité font face à une pression croissante due à l'augmentation du volume d'alertes, à l'épuisement des analystes et à des attaques sophistiquées plus rapides que les temps de réponse humains. L'apprentissage automatique transforme les workflows SOC en automatisant les tâches routinières et en permettant aux analystes de se concentrer sur les activités à forte valeur ajoutée.

• Le triage et la priorisation des alertes représentent l'amélioration SOC la plus immédiate. Les modèles d'apprentissage automatique attribuent un score aux alertes entrantes en fonction de la gravité de la menace, de la criticité des actifs et de facteurs contextuels pour mettre en avant les incidents nécessitant une attention urgente. La corrélation intelligente des alertes regroupe les événements liés en incidents cohérents, réduisant le nombre d'éléments à examiner par les analystes.
• L'investigation automatisée accélère la réponse. Lorsqu'un analyste enquête sur une alerte, les systèmes d'apprentissage automatique fournissent un enrichissement contextuel en rassemblant les événements liés, les actifs affectés et les renseignements sur les menaces. Purple AI permet des requêtes en langage naturel pour que les analystes enquêtent sur des chaînes d'attaque complexes sans écrire de syntaxe de requête.
• La chasse aux menaces devient proactive. L'analyse alimentée par l'apprentissage automatique détecte les anomalies comportementales et les signaux faibles qui méritent une enquête avant qu'ils ne déclenchent des seuils d'alerte. Cela fait passer les opérations SOC d'une posture réactive à une recherche active des menaces.
• La répartition de la charge de travail s'améliore grâce à un routage intelligent. Les systèmes d'apprentissage automatique attribuent les incidents aux analystes en fonction de leur niveau de compétence, de leur charge de travail actuelle et de leur expertise par type de menace. Les analystes juniors reçoivent des alertes avec des classifications à forte confiance, tandis que les incidents complexes sont orientés vers le personnel senior.

Le résultat est un SOC capable de traiter un volume de menaces plus important avec le même effectif tout en améliorant les taux de détection et les temps de réponse.

Stoppez les menaces avancées avec SentinelOne

Vos déploiements d'apprentissage automatique cloud nécessitent des plateformes de sécurité qui mettent en œuvre les cadres NIST et CISA évoqués ci-dessus. Singularity Platform réduit significativement le volume d'alertes. Elle génère 88 % d'alertes en moins que la médiane de tous les fournisseurs évalués. Les MITRE ATT&CK® Evaluations : Enterprise 2024 ont confirmé que la plateforme SentinelOne a atteint une précision de détection de 100 % sur les 80 attaques simulées. Elle a réalisé 100 % de détections sur Windows, Linux et macOS et n'a enregistré aucun retard de détection lors de l'identification des menaces en temps réel.

Storyline fournit une corrélation autonome des événements qui transforme les événements de sécurité bruts en récits de menaces pour examen par les analystes.

Purple AI se distingue par ses capacités d'investigation autonome qui corrèlent les menaces sur l'ensemble de votre infrastructure. Purple AI fonctionne via des requêtes en langage naturel tout en maintenant le cadre de supervision humaine exigé par les recommandations NIST. Il fournit une corrélation des menaces assistée par l'apprentissage automatique tout en maintenant l'approbation humaine obligatoire pour les actions de réponse critiques.

En cas d'attaque par ransomware, Rollback restaure les systèmes à leur état antérieur à l'attaque tout en préservant le contexte forensique. La Singularity Platform mappe toutes les détections aux techniques MITRE ATT&CK, permettant l'analyse des lacunes de couverture sur vos opérations de sécurité. Singularity Cloud Native Security fournit un Offensive Security Engine qui effectue automatiquement des tests d'intrusion sur les problèmes de sécurité cloud et présente des chemins d'exploitation vérifiés. Singularity Identity protège votre infrastructure d'identité avec des défenses en temps réel pour Active Directory et Entra ID. L'offre CNAPP sans agent de SentinelOne bloque également les menaces à l'exécution et fournit des services de gestion de posture de sécurité IA (AI-SPM). Vous pouvez l'utiliser pour la protection des charges de travail cloud, la sécurité des conteneurs et des VM, la gestion de la posture de sécurité Kubernetes (KSPM) et l'exécution de scans de vulnérabilités. Prompt Security by SentinelOne offre une protection contre les menaces basées sur les LLM, les malwares IA, et peut garantir la conformité IA. Vous pouvez bloquer les actions IA agentiques non autorisées et stopper les attaques de type denial of wallet et denial of service, les injections de prompt, les tentatives de jailbreak, et plus encore.

Demandez une démo SentinelOne pour découvrir comment nous pouvons améliorer votre posture de sécurité grâce à une IA puissante pour protéger endpoints, serveurs et charges de travail cloud.

Points clés à retenir

Lorsque les attaques de phishing augmentent de façon spectaculaire d'une année sur l'autre et que les ransomwares frappent à 2 h du matin, vos défenses basées sur les signatures ne peuvent pas s'adapter assez rapidement. L'IA et l'apprentissage automatique en cybersécurité offrent une précision de détection supérieure avec des temps de réponse plus rapides, déployés via les cadres NIST, CISA et SANS, vous donnant des capacités autonomes de détection et de réponse pour stopper le chiffrement avant qu'il ne se propage.