Security

CTI-REALM open source : benchmark IA cybersécurité

3 min de lecture

Résumé

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Besoin d'aide avec Security ?Parler à un expert

Introduction

Microsoft a annoncé CTI-REALM, un nouveau benchmark open source qui répond à un défi croissant dans les opérations de sécurité : déterminer si des agents IA peuvent réaliser un véritable travail d’ingénierie de détection, et pas seulement répondre à des questions de cybersécurité. Pour les équipes de sécurité qui évaluent l’IA pour des cas d’usage SOC et de détection, cela est important, car le benchmark se concentre sur les résultats opérationnels — la création et la validation de détections à partir de threat intelligence.

Ce qui change avec CTI-REALM

CTI-REALM (Cyber Threat Intelligence Real World Evaluation and LLM Benchmarking) est conçu pour tester l’ensemble du workflow suivi par les analystes de sécurité lors de la création de détections.

Capacités clés

  • Évalue les agents IA sur la génération de règles de détection de bout en bout plutôt que sur des tests isolés de connaissances CTI.
  • S’appuie sur 37 rapports CTI sélectionnés issus de sources publiques, dont Microsoft Security, Datadog Security Labs, Palo Alto Networks et Splunk.
  • Mesure les performances sur les endpoints Linux, Azure Kubernetes Service (AKS) et l’infrastructure Azure cloud.
  • Évalue non seulement les résultats finaux, mais aussi les étapes intermédiaires telles que :
    • compréhension des rapports CTI
    • mapping des techniques MITRE ATT&CK
    • identification des sources de données
    • affinement des requêtes KQL
    • génération de règles Sigma
  • Fournit aux agents des outils réalistes, notamment des référentiels CTI, des explorateurs de schéma, des moteurs de requêtes Kusto, des références MITRE ATT&CK et des bases de données Sigma.

Premiers résultats des tests de Microsoft

Microsoft a évalué 16 configurations de modèles de pointe sur CTI-REALM-50, un ensemble de benchmark de 50 tâches.

Parmi les résultats notables :

  • Les modèles Anthropic Claude arrivent en tête du classement, principalement grâce à une meilleure utilisation des outils et à un affinement itératif des requêtes.
  • Dans la famille GPT-5, le raisonnement moyen a surpassé le raisonnement élevé, ce qui suggère qu’un raisonnement plus poussé peut réduire l’efficacité dans des scénarios de détection agentique.
  • La détection dans Azure cloud s’est révélée la plus difficile, avec des scores inférieurs à Linux et AKS en raison de la complexité de la corrélation entre plusieurs sources de télémétrie.
  • La suppression des outils spécifiques à la CTI a réduit les performances sur tous les modèles testés.
  • L’ajout d’une guidance de workflow rédigée par des humains a considérablement amélioré les performances des modèles plus petits.

Pourquoi c’est important pour les administrateurs IT et sécurité

Pour les responsables SOC, les ingénieurs en détection et les architectes sécurité, CTI-REALM offre un moyen plus concret d’évaluer l’IA avant de l’utiliser dans des workflows de production. Au lieu de s’appuyer sur des scores de benchmark généraux, les équipes peuvent identifier précisément les points de difficulté d’un modèle — comme la compréhension des menaces, le mapping de la télémétrie ou la spécificité des règles.

Cela peut aider les organisations à :

  • Valider l’adéquation d’un modèle IA aux tâches d’ingénierie de détection
  • Identifier les domaines où une revue humaine et des garde-fous restent nécessaires
  • Comparer les modèles de manière objective avant un déploiement opérationnel
  • Renforcer la confiance dans le développement de détections assisté par l’IA

Prochaines étapes

Les équipes de sécurité intéressées par l’ingénierie de détection assistée par l’IA devraient :

  • Consulter le research paper CTI-REALM et la méthodologie du benchmark
  • Tester les modèles candidats par rapport au benchmark avant une adoption en production
  • Utiliser les résultats pour définir les processus de revue et les garde-fous
  • Surveiller le dépôt Inspect AI pour la disponibilité de CTI-REALM et les contributions de la communauté

Microsoft présente CTI-REALM comme une ressource communautaire destinée à aider le secteur à évaluer les modèles de manière cohérente et à adopter l’IA de façon plus sûre dans les opérations de sécurité.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Arjun Chakraborty
SecurityAI agentsthreat intelligencedetection engineeringKQL

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.

Security

Phishing fiscal Microsoft 365 : hausse avant le 15 avril

Microsoft alerte sur une forte hausse, à l’approche du 15 avril, des campagnes de phishing et de malware liées aux impôts visant les utilisateurs de Microsoft 365, avec des leurres autour des déclarations fiscales, formulaires W-2 et remboursements. Cette menace est importante car les attaques sont de plus en plus ciblées et sophistiquées — QR codes, chaînes de redirection, fichiers cloud et abus d’outils RMM — ce qui complique leur détection et accroît le risque de vol d’identifiants et d’infection.