La détection basée sur l'IA comble les lacunes liées aux vulnérabilités « zero-day » et aux délais dans votre chaîne de sécurité

Chaque pipeline de fichiers d’entreprise recèle une inefficacité cachée. Les tâches MFT Managed File Transfer), les proxys ICAP Internet Content Adaptation Protocol), les pièces jointes aux e-mails, les portails de téléchargement clients et les transferts de données inter-domaines partagent une même réalité statistique : environ 99,9 % des fichiers qui y transitent sont des données professionnelles saines. Les 0,1 % restants, qui sont malveillants, constituent la raison d’être même de ce pipeline. Chaque fichier est soumis aux mêmes mesures de sécurité, quel que soit le risque, et c’est cette uniformité qui constitue l’inefficacité.

Le premier inconvénient est la latence. Un fichier placé en file d’attente derrière des dizaines d’autres pendant l’heure de pointe du matin doit attendre son tour pour subir une analyse complète, qu’il s’agisse d’une simple feuille de calcul ou d’un fichier exécutable inconnu. Dans le secteur bancaire et des services financiers, ce retard se traduit directement par des transactions bloquées, un traitement plus lent et des virements bancaires en attente devant un scanner. Selon l’enquête SANS 2025 sur la détection et la réponse, le temps de réponse est devenu un défi majeur pour 53 % des équipes de sécurité, contre 45 % l’année précédente.

Le deuxième problème concerne les faux positifs. La plupart des moteurs de sécurité basés sur l’apprentissage automatique sont optimisés pour le rappel : tout détecter, accepter le bruit. Ce compromis fonctionne sur un terminal. Dans un pipeline de fichiers, un faux positif bloque un fichier professionnel légitime, déclenche une alerte inutile au SOC (centre des opérations de sécurité) et sape la confiance des analystes, qui est pourtant indispensable à l’automatisation. La même enquête du SANS a révélé que les faux positifs constituent désormais le principal défi en matière de détection pour 73 % des personnes interrogées.

Predictive Alin AI est le moteur de détection de logiciels malveillants basé sur l'IA OPSWAT, destiné à la détection « zero-day » avant exécution. Il est conçu pour identifier les fichiers malveillants avant leur exécution grâce à une analyse par apprentissage automatique des caractéristiques structurelles et comportementales des fichiers. Ce moteur ne s'appuie ni sur des signatures, ni sur une connaissance préalable d'une menace spécifique, ni sur une exécution en sandbox pour rendre son verdict. Predictive Alin AI analyse les indicateurs structurels qui révèlent une intention malveillante avant même qu'une seule instruction ne soit exécutée.

Les moteurs antivirus traditionnels fonctionnent à partir d'une liste. Une signature correspond à une menace connue, et le fichier est signalé. Avec 450 000 nouveaux échantillons de logiciels malveillants apparaissant chaque jour, selon AV-TEST.org, cette liste a toujours un temps de retard. L'IA prédictive d'Alin adopte une approche différente : elle extrait et analyse les caractéristiques structurelles laissées par les fichiers malveillants, qu'ils aient déjà été détectés ou non.

Le moteur évalue notamment les caractéristiques suivantes :

• En-têtes de fichier, sections et mise en page générale

• Modèles d'entropie et indicateurs de code compacté

• Points d'entrée et caractéristiques du flux de contrôle

• Métadonnées et tables d'importation

Il s'agit des indicateurs qu'une menace intègre dans la structure de son fichier, présents que cette menace ait déjà été observée ou non. Un fichier conçu pour échapper à la détection doit tout de même être créé, et ce processus de création comporte des schémas qu'un modèle entraîné est capable d'interpréter.

La plupart des moteurs de sécurité basés sur l'apprentissage automatique sont optimisés pour le rappel : ils signalent autant d'éléments que possible et acceptent les faux positifs comme un coût inhérent à la couverture. OPSWAT le contre-pied de cette approche avec Predictive Alin AI. Ce moteur est avant tout optimisé pour la précision, avec pour objectif un taux de faux positifs de 0,01 %. Lorsqu'il émet un verdict, celui-ci est conçu pour être fiable et pour donner lieu à une action immédiate, sans nécessiter de vérification humaine.

Cette précision s'applique dans les deux sens. L'analyse qui permet d'identifier les marqueurs structurels d'un fichier malveillant permet également d'identifier ceux d'un fichier sain. C'est cette fiabilité bidirectionnelle qui rend possible le cas d'utilisation « Deflection », abordé en détail dans la section suivante.

L'IA prédictive Alin AI fournit des résultats en moins de 15 millisecondes au P50 pour les fichiers PE, avec des performances au P90 comprises entre 10 et 22 millisecondes pour tous les types de fichiers, et en moins de 100 millisecondes au P99 pour les formats complexes, notamment les PDF. Quatre formats sont actuellement pris en charge : PE, PDF, Mach-O et ELF, et la prise en charge d’autres formats est prévue dans la feuille de route. Le verdict est rendu avant même que l’utilisateur n’ait le temps de s’apercevoir que le fichier a été téléchargé, ce qui rend la protection en ligne pratique sans créer de goulot d’étranglement dans le pipeline.

La détection prouve que le moteur fonctionne. Chaque « zero-day » correctement signalé constitue un point de données qui vient enrichir l'historique nécessaire pour agir dans le sens inverse. Une fois cette confiance établie, le même seuil de précision qui permet de signaler les fichiers malveillants peut être appliqué pour valider les fichiers sains avec la même certitude.

Lorsque Predictive Alin AI émet un verdict « propre » à haut niveau de confiance, le fichier emprunte un raccourci « vérifié ». Il contourne Multiscanning Metascan™ Multiscanning est acheminé directement vers la technologie Deep CDR™ pour être assaini avant sa livraison. Lorsque Predictive Alin AI n’est pas certain, le fichier suit le parcours complet : analyse multi-moteurs sur un maximum de 30 moteurs, technologie Deep CDR™ et verdict complet avant la livraison. Chaque fichier fait l'objet d'un verdict final. Le détournement ne modifie que le parcours, pas le résultat.

C'est particulièrement important pendant les pics de charge. Les pics de trafic liés aux e-mails du matin, les transferts par lots en fin de journée et les pics de chargement après les annonces sont précisément les moments où les files d'attente s'allongent et où les temps de réponse augmentent. La déviation permet de filtrer le trafic valide dès son arrivée, de sorte que le reste du pipeline n'ait jamais à absorber cette vague.

La déviation ne réduit pas le niveau de contrôle. La philosophie « Ne faites confiance à aucun fichier. Ne faites confiance à aucun appareil.™ », sur laquelle repose MetaDefender®, reste inchangée. Aucun fichier n’est considéré comme sain par défaut. La déviation est une mesure prudente : lorsque le moteur est certain, il intervient ; en cas de doute, le fichier suit le parcours le plus long. L’ambiguïté n’est jamais résolue au niveau de la couche de déviation.

Selon l'enquête « SANS 2025 Detection and Response Survey », les faux positifs constituent le principal défi en matière de détection pour 73 % des équipes de sécurité, la proportion de celles qui y sont confrontées à un rythme très élevé passant de 13 % l'année précédente à 20 %. Chaque faux positif représente un analyste détourné d'une menace réelle, un fichier sain bloqué dans un flux de travail légitime et une érosion progressive de la confiance dans le système de détection lui-même.

Les équipes du SOC (Security Operations Center) chargées de gérer des flux de fichiers à haut débit sont confrontées à un problème qui ne fait que s'aggraver : plus le nombre de fichiers transitant par le flux est élevé, plus la pile de détection génère d'alertes, et plus il devient difficile de distinguer le signal du bruit. Lorsque les analystes passent leur service à filtrer les faux positifs, les menaces réelles ont davantage de temps pour se propager. Le goulot d'étranglement du SOC est le goulot d'étranglement de la détection.

Pour en savoir plus sur la manière dont une analyse plus intelligente permet de briser ce cercle vicieux, consultez l'article : « SOC Bottleneck : Briser le cercle vicieux de la fatigue des alertes grâce à un sandboxing plus intelligent ».

Les lacunes en matière de détection et de latence ne sont pas propres à un secteur en particulier. Que ce soit dans les secteurs de l'industrie manufacturière, de l'énergie ou dans le secteur public, ces lacunes apparaissent dans différents contextes opérationnels. Le tableau ci-dessous présente l'exposition spécifique de chaque secteur aux capacités proposées par Predictive Alin AI.

L'utilisation de l'IA prédictive Alin par secteur d'activité

Les entreprises du secteur des services financiers gèrent certains des flux de fichiers les plus volumineux de tous les secteurs. Les portails de téléchargement destinés aux clients, les workflows de réception de documents et les transferts inter-domaines génèrent tous un trafic de fichiers continu, et chaque alerte inutile détourne l’attention d’un analyste d’une véritable menace. Selon l’enquête du SANS, les faux positifs constituent le principal défi en matière de détection pour 73 % des équipes de sécurité, la proportion de celles qui y sont confrontées à des taux très élevés passant de 13 % l’année précédente à 20 %.

La solution prédictive Alin AI réduit le volume d'alertes à la source en privilégiant la précision plutôt que le taux de détection. Un verdict auquel le SOC peut se fier est un verdict que le SOC peut automatiser, ce qui permet aux analystes de se concentrer sur les dossiers qui nécessitent réellement une enquête.

Les environnements de production sont confrontés à un problème spécifique d’intrusion. Les mises à jour de micrologiciels, les artefacts de compilation et les progiciels fournis par des prestataires tiers arrivent sous forme de fichiers avant de se transformer en menaces. Au moment où un progiciel malveillant atteint un système OT, les dégâts se sont déjà produits à l’intérieur du périmètre. L’IA prédictive d’Alin intercepte ces fichiers au niveau du périmètre, émettant un verdict avant leur exécution, avant même qu’ils ne soient introduits dans les environnements de production. Intégré à MetaDefender , la plateforme avancée de détection et de prévention des menaces OPSWAT, ce moteur ajoute une couche d’intelligence prédictive aux workflows d’acquisition existants sans nécessiter de modifications architecturales.

Les opérateurs du secteur de l’énergie et des services publics gèrent certains des environnements les plus isolés en termes de connectivité au sein des infrastructures critiques. De nombreuses méthodes de détection perdent en efficacité dans les déploiements en mode « air-gap », car elles reposent sur des requêtes vers le cloud ou sur des données de télémétrie externes qui ne sont tout simplement pas disponibles. L'IA prédictive d'Alin fonctionne entièrement hors ligne avec la même précision de 99,99 % que les déploiements dans le cloud, sans nécessiter de connectivité externe ni de requêtes vers le cloud pour maintenir ce niveau de performance. Les paquets de mise à jour sur site et les logiciels fournis par les fournisseurs peuvent être inspectés au niveau du périmètre avant d'atteindre les opérations du réseau ou de la centrale, les verdicts étant rendus en quelques millisecondes, quelle que soit l'isolation du réseau.

Les environnements gouvernementaux et de défense sont soumis à deux contraintes simultanées : des exigences de conformité strictes, selon lesquelles aucun élément ne peut être déplacé sans avoir été vérifié, et des architectures réseau qui interdisent toute connectivité externe. Ces contraintes ont longtemps obligé à choisir entre une analyse approfondie et la rapidité opérationnelle. L’IA prédictive d’Alin résout ces deux problèmes en offrant une détection « zero-day » avant l’exécution qui :

• Fonctionne entièrement hors ligne dans des environnements isolés physiquement et inter-domaines

• Répond aux exigences de détection à haut niveau de fiabilité sans recourir à la détonation en bac à sable

• S'intègre aux déploiements existants MetaDefender , MetaDefender File Transfer™ et MetaDefender

• S'améliore en continu grâce à une boucle de réentraînement « zéro jour » optimisée par MetaDefender , sans nécessiter de connexion active pour cela

Découvrez Predictive Alin AI en action

Le webinaire « Scan What Matters » explique comment l'IA prédictive d'Alin comble à la fois les lacunes en matière de détection des vulnérabilités « zero-day » et celles liées à la latence du pipeline, avec une démonstration en direct du cas d'utilisation de la déviation et des indicateurs de précision en production. Regardez l'enregistrement à la demande à votre rythme.

Évaluez les performances de votre programme de détection

L'enquête SANS 2025 sur la détection et la réponse, parrainée par OPSWAT, rend compte de la manière dont plus de 300 professionnels de la sécurité issus des secteurs bancaire, public, de la santé et de l'industrie repensent la détection face à la multiplication des faux positifs, à la fatigue liée aux alertes et aux vulnérabilités « zero-day ». Téléchargez le rapport complet pour évaluer où en est votre programme.