L'efficacité de vos agents de sécurité IA dépend de la qualité de vos renseignements sur la cybercriminalité.

Par Serge-Olivier Paquette, directeur des produits

Un agent de surveillance des identifiants qui ne détecte pas le jeton SSO volé. Un système d'enrichissement des menaces qui révèle l'exposition du mois précédent alors que l'attaquant opère sur un cycle de 48 heures. Un outil d'investigation qui conclut avec assurance à l'absence de résultats, car son ensemble de données ne couvre qu'une fraction de l'écosystème des journaux de voleurs. Voilà ce qui arrive lorsque des équipes développent des applications de sécurité sophistiquées, basées sur l'IA, à partir de données sur la cybercriminalité incomplètes ou mal structurées. 

Les infrastructures d'agents sont prêtes, et MCP a considérablement simplifié la connexion des systèmes d'IA aux sources de données externes. Cependant, dans le domaine du renseignement sur les menaces, une contrainte demeure : la nécessité de disposer de données télémétriques structurées, mises à jour en continu et juridiquement recevables sur la cybercriminalité, fournissant ainsi à ces systèmes des éléments exploitables.

Le problème des données en matière de cybercriminalité est plus complexe qu'il n'y paraît.

La plupart des équipes qui entreprennent de créer leur propre système de collecte de données sur la cybercriminalité commencent avec confiance. bûches de voleur être publié sur TelegramLes identifiants apparaissent sur les sites de partage de fichiers. Forums du darkweb sont indexables. Quelques robots d'exploration, un pipeline de normalisation, et le tour est joué.

Puis la réalité s'impose.

Votre couverture Telegram semble efficace jusqu'à ce que vous réalisiez que les chaînes surveillées ne représentent qu'une fraction de l'écosystème, et que celles qui vous manquent sont celles où les nouveaux identifiants sont détectés en premier. Votre analyseur gère correctement trois formats de journaux de vol d'identifiants, mais le quatrième (d'une nouvelle variante de malware) présente une défaillance silencieuse. Votre agent passe une semaine à enrichir les alertes avec des données incomplètes avant que quiconque ne s'en aperçoive. Vous disposez des identifiants du mois dernier, mais les acteurs malveillants opèrent désormais sur des délais de quelques heures ; et lorsque votre système détecte enfin la vulnérabilité, le mal est fait.

Voici à quoi ressemble réellement une couverture partielle en production : non pas un simple manque sur un tableau de bord, mais une prise de contrôle de compte manquée, une campagne de fraude qui a pris de l’ampleur avant que votre agent IA ne la signale, une enquête qui piétine faute de données historiques.

Et cela sans même parler des complexités juridiques. La collecte de données sur le dark web est soumise au RGPD, à l'ECPA, au CFAA et aux réglementations spécifiques à chaque juridiction. Si votre système d'IA intègre des données relatives à la cybercriminalité, la provenance de ces données (et les protections qui les entourent) devient une question de responsabilité, et non plus seulement technique. L'argument « Notre agent les a simplement récupérées sur Telegram » ne résiste pas à un examen juridique et de gestion des risques en entreprise.

Vous pouvez tenter de résoudre ces problèmes en créant des agents virtuels ou en combinant des ensembles de données open source, mais une couverture partielle, même avec un raisonnement sophistiqué, ne garantit pas des résultats fiables. Vos clients se moquent bien de l'intelligence de votre agent s'il lui manque l'identifiant essentiel.

Pourquoi vos systèmes d'IA ont besoin de données de cybercriminalité de haute précision

Les exigences relatives aux données sur la cybercriminalité exploitables par un agent diffèrent fondamentalement de celles dont un analyste humain a besoin sur un tableau de bord. Un analyste peut travailler avec des données complexes, effectuer des recoupements manuels et combler les lacunes grâce à son intuition. Un agent, quant à lui, a besoin de :

• Accès à faible latence aux nouvelles expositions : Les données relatives à la cybercriminalité datant de plusieurs heures ou jours peuvent déjà être obsolètes. Les agents intervenant en temps réel ont besoin de flux de données aussi rapides.
• Une couverture suffisamment large pour éviter tout faux sentiment de confiance : Un agent qui affirme avec assurance à un client que son véhicule est propre, alors que ce n'est pas le cas, est pire qu'un agent absent. Des données incomplètes produisent des réponses partielles, et les agents ne sont pas en mesure de signaler ce qu'ils ignorent.
• Détection d'exposition à l'identité non humaineVos agents ne se contentent plus de surveiller les identifiants humains ; ils doivent également détecter les clés API, les jetons OAuth, les secrets des comptes de service et les identifiants CI/CD dissimulés dans les mêmes données de journalisation des voleurs d'identité. Des clés API de modèles divulguées, des identifiants de serveur MCP compromis et des jetons d'agents IA apparaissent déjà dans les corpus de journaux de vol d'identité. L'infrastructure sur laquelle vos agents s'exécutent devient elle-même une surface d'attaque, et les mêmes données qui protègent l'identité humaine de vos clients doivent désormais révéler ces vulnérabilités liées à l'identité non humaine.

Concrètement, cela signifie qu'un agent de surveillance des identifiants a besoin d'accéder à des milliards de paires d'identifiants divulguées, dédupliquées, normalisées et mises à jour en continu à mesure que de nouveaux journaux de voleurs sont intégrés. Un service d'enrichissement des menaces a besoin de données structurées sur l'activité des acteurs malveillants sur les forums, les places de marché et les canaux de communication du dark web, et non de données brutes nécessitant un traitement supplémentaire. Un outil d'automatisation des investigations a besoin d'un historique suffisamment détaillé pour remonter de l'infection d'un identifiant compromis à sa source, et non pas seulement pour confirmer son existence.

Le point commun : la qualité des données fournies par votre agent est limitée par la couverture et la fraîcheur des données auxquelles il a accès. Aucune ingénierie, aussi performante soit-elle, ne peut compenser un jeu de données incomplet.

Voici à quoi cela ressemble avec les données appropriées

Chez Flare, nous avons passé près de dix ans à constituer l'un des ensembles de données sur la cybercriminalité les plus complets qui soient : 

• Plus de 20 milliards d'identifiants divulgués ont été dédupliqués et normalisés.
• Couverture de 92 % de l'écosystème des fichiers cleptogiciels 
• Plus de 50,000 XNUMX canaux Telegram surveillés
• Archives historiques du dark web remontant à 2017

Ces données alimentent déjà les enquêtes des forces de l'ordre fédérales, les programmes de sécurité des entreprises du Fortune 50 et les équipes de lutte contre la fraude des institutions financières.

De plus en plus, Flare alimente également l'IA. Flare donne accès aux données via des API compatibles MCP, mises à jour en continu et conçues pour s'intégrer directement aux flux de travail automatisés que les équipes de sécurité développent aujourd'hui. Que vos agents gèrent la surveillance des identifiants, l'enrichissement des données relatives aux menaces, la détection des fraudes ou les enquêtes automatisées, l'intégration est simple : connectez-vous à l'API, lancez les requêtes et laissez votre système d'analyse exploiter au mieux des données fiables.

Voici ce que permet concrètement l'intelligence connectée et structurée en graphes. Une infection par un voleur de journaux sur l'ordinateur portable d'un développeur exfiltre des identifiants, des cookies et des jetons OAuth. La résolution d'identité de Flare cartographie la zone d'impact en quelques secondes : un identifiant atteint la console d'administration Okta et toutes les applications SaaS qui y sont rattachées ; un autre est une clé API CI/CD avec un accès direct à la production. La chaîne d'intelligence s'étend automatiquement. Flare met en corrélation l'identifiant volé avec un IAB annonce sur un Forum en langue russe Publié il y a 72 heures, cet article établit un lien avec un acteur malveillant connu pour ses campagnes de Rançongiciels contre des institutions financières nord-américaines et révèle une vulnérabilité (CVE) sur le dispositif VPN de l'entreprise, déjà exploitée par les outils de cet acteur. L'analyste ne reçoit pas simplement un « identifiant trouvé dans le journal du voleur ». Il obtient la séquence complète des actions : identité compromise → application exposée → accès mis en vente → acheteur de Rançongiciels → vulnérabilité exploitable → console d'administration. Chaque maillon est une arête du graphe que votre agent IA parcourt en quelques secondes, une investigation qui prendrait des heures à un analyste humain, si tant est qu'il parvienne à la réaliser.

Voici à quoi cela peut ressembler pour nos clients :

• Lorsqu'une grande plateforme de médias sociaux a intégré l'ensemble de données d'identifiants de Flare, elle a constaté un Augmentation de 92 % de la couverture des expositions totales des comptes: des menaces auxquelles leurs outils existants étaient totalement absents. 
• A plateforme de commerce électronique leader Flare a consolidé des sources de renseignements fragmentées dans sa base de données afin de rationaliser les opérations de lutte contre la fraude et les abus. 

Les entreprises spécialisées en IA à l'avant-garde de cette transformation utilisent déjà les données de Flare sur la cybercriminalité dans de multiples cas d'utilisation liés à la sécurité.

Construire ou acheter : où concentrer vos investissements

La mise en place d'une infrastructure de données complète sur la cybercriminalité exige des années d'investissement et des ressources considérables, sans parler des coûts supplémentaires liés à sa maintenance pour garantir la fiabilité des systèmes d'IA. Pour la plupart des équipes, cet investissement est plus judicieux lorsqu'il est consacré à la logique des agents et aux flux de travail qui produisent des résultats constants. Acquérir la couche de données auprès d'un fournisseur ayant déjà réalisé cet investissement n'est pas une solution de facilité, mais un investissement plus judicieux en ressources d'ingénierie et en capital.