Darktrace automatise la forensic en le cloud : investiguera en minutes ce qui prenait autrefois des jours et boucle la boucle avec détection et réponse en multicloud

Deloitte lance Silicon to Service pour accélérer l'adoption de l'intelligence artificielle dans le secteur public.
Share on Pinterest Share on LinkedIn

Darktrace, l’entreprise britannique spécialisée en cybersécurité intégrant l’IA, a présenté Darktrace / Forensic Acquisition & Investigation™, une solution qui promet d’automatiser la forensic dans les environnements hybrides et multicloud et réduire les délais d’enquête de jours à minutes. Son lancement est accompagné de améliorations dans Darktrace / CLOUD™, son produit de détection et réponse en cloud, avec pour objectif déclaré d’unifier posture, détection, confinement et forensic dans un flux opérationnel unique.

Ce dispositif répond à une crise croissante: l’adoption du cloud a dépassé la capacité des opérations de sécurité. Selon une Sondage auprès de 300 décideurs en sécurité cloud aux États-Unis et au Royaume-Uni, près de 90 % des organisations déclarent avoir subi des dommages avant de pouvoir contenir un incident dans le cloud, et 65 % reconnaissent que leurs enquêtes cloud prennent de trois à cinq jours de plus comparé aux infrastructures sur site. Parallèlement, plus de 40 % affirment avoir subi des dommages importants suite à des alertes cloud qui n’ont jamais été investiguées.

Dans ce contexte, Darktrace propose deux idées clés : capturer et conserver la preuve au moment précis de l’alerte — y compris la evidence volatile — et reconstituer de façon automatique le comportement de l’attaquant pour que l’analyste passe moins de temps à assembler les signaux et plus de temps à décider.

Un problème exacerbé par le cloud : preuves éphémères et signaux dispersés

La preuve d’une attaque dans le cloud s’efface plus rapidement que dans un centre de données traditionnel. Conteneurs éphémères, fonctions serverless sans stockage, instances qui naissent et disparaissent en minutes et logs fragmentés entre fournisseurs et services compliquent la tâche du SOC. Les outils basés uniquement sur logs tendent à passer à côté de comportements clés —mouvements latéraux, évolutions de privilèges, techniques furtives— et, lorsqu’une « instantanée » est extraite, l’actif n’est souvent plus là.

Les Cloudypothoneypots déployés par Darktrace— apportent un constat préoccupant : dans des services comme Jupyter Notebooks, les attaques se concentrent en rafales de volumes élevés provenant d’un petit groupe d’attaquants persistants. La conclusion opérationnelle est claire : peu de temps pour enquêter avant que les preuves ne disparaissent.

Qu’est-ce que Darktrace / Forensic Acquisition & Investigation et comment fonctionne-t-il ?

Ce nouvel outil est, fondamentalement, un moteur d’acquisition forensic automatisée pour le cloud, le hybride et le on-premise qui :

  • Capture au niveau du hôtedisque, mémoire, logs et artefactsau moment de la détection d’une menace, y compris pour les ressources à courte vie (conteneurs, ECS, Kubernetes, serverless, distro-less ou conteneurs sans shell).
  • Démarre l’acquisition sans agents et sans délai via les APIs des clouds, en évitant les instantanés manuels et en assurant que la preuve volatile ne se perde pas.
  • Reconstruit automatiquement la Ligne du temps de l’attaquant, en compressant des volumes massifs d’événements en insights de haute valeur pour identifier la cause racine en quelques minutes, sans nécessité de corrélation manuelle.
  • Étend la capacité d’investigation en parallèle et produit des rapports exportables pour alléger la charge de l’analyste et faciliter la conformité.
  • Se déploie en tant que SaaS ou en local et s’intègre aux systèmes existants (SIEM, XDR, CNAPP, EDR, NDR, outils cloud-native), pour que toute alerte déclenche une acquisition forensic immédiate.

Ce qui distingue cette approche, c’est l’automatisation et la philosophie API-first, par opposition aux solutions ponctuelles reposant sur instantanés manuels ou agents préinstallés. En environnement dynamique, « l’arrivée tardive » équivaut à ne pas arriver.

« L’enquête dans le cloud est complexe et manuelle, avec des preuves dispersées dans des logs fragmentés et des activités éphémères qui disparaissent avant d’être collectées », explique Philip Bues, Senior Research Manager, Cloud Security & Confidential Computing, chez IDC. « La forensic automatisée qui collecte, préserve et analyse les données volatiles au moment de la détection permet une enquête plus rapide, une réponse améliorée et une réduction du risque ».

Darktrace attribue partie de ces capacités à la technologie intégrée suite à l’acquisition de Cado Security au début de l’année, combinée à des investissements continus en R&D.

Des timelines complètes et des preuves qui ne s’effacent pas : le « avant et après » pour un SOC

La valeur pratique s’apprécie sur deux plans :

  1. Preuve conservée. En gelant disques, mémoire et artefacts au moment précis de l’alerte, on évite le problème classique de la recherche cloud : le cul-de-sac dû au manque de preuve (celle qui disparaît lorsque le conteneur est recyclé ou la fonction désactivée).
  2. Contexte unifié. Le moteur construit automatiquement une ligne du temps cohérente, intégrant mouvements, crédentials, appels et objectifs, ce qui accélère — et normalise — l’analyse de cause racine. Au lieu d’assembler manuellement des pièces, l’analyste reçoit des séquences expliquées.

Cas d’usage. « Dans un monde cloud-first, il faut pouvoir investiguer tout avec rapidité, où que ce soit et sans délai », raconte Justin Dimmick, Senior Security Response Engineer chez Cloudera. « Avec Darktrace / Forensic Acquisition & Investigation, ce qui était autrefois un processus spécialisé et lente devient désormais une action automatique, réalisable en un clic. Il capture la preuve forensic instantanément, même dans les environnements cloud rapides, et transforme les impasses en intelligence exploitable. Nous avons réduit drastiquement notre MTTR et passons d’une archéologie réactive à une enquête en temps réel ».

Une double solution : forensic automatisée + Darktrace / CLOUD

L’intégration avec Darktrace / CLOUD — la solution de cloud detection & response de la maison — complète le dispositif :

  • Détection et réponse autonomes : l’IA auto-apprenante surveille l’environnement cloud pour détecter à la fois menaces connues et innovantes et les contenir à la vitesse de la machine.
  • Visibilité dynamique : cartographie en temps réel des actifs, services et architectures permettant de repérer zones d’ombre, suivre la mobilité de l’attaquant et fournir du contexte en instantané.
  • Gestion proactive des risques : contrôles de posture et modélisation des chemins d’attaque pour détecter expositions et mésconfigurations avant qu’elles ne soient exploitées.

Lorsque Darktrace / CLOUD et Forensic Acquisition & Investigation coexistent, ils détectent et bloque activité suspecte, tandis que Forensic Acquisition & Investigation capture disque, mémoire et logs de l’actif concerné. La menace est contenue immédiatement, tout en préservant la preuve nécessaire pour l’enquête et la remédiation sans perte d’information.

Par ailleurs, des améliorations visuelles (diagrammes d’architecture cloud plus intuitifs) et la détection étendue de techniques avancées (mouvements latéraux, C2, escalade de privilèges) accélèrent encore le diagnostic.

Déploiement et déclencheurs : autonome ou intégré, SaaS ou on-prem

La forensic automatisée peut être déployée en tant que solution indépendante — renforçant la capacité forensic du SOC et des équipes d’intervention — ou intégrée dans la ActiveAI Security Platform™ de Darktrace pour des investigations de bout en bout sur tout le périmètre digital. Le déclencheur peut provenir d’une détection Darktrace ou de toute autre alerte émise par les systèmes existants (SIEM, XDR, CNAPP, EDR, NDR, services cloud-native), garantissant une réponse immédiate d’acquisition forensic.

Le déploiement reste flexible : SaaS ou on-premise, avec une attention particulière pour certains secteurs (finance, santé, secteur public) où il est crucial de garder le contrôle sur l’emplacement des preuves et leur conservation.

Un marché en mouvement : dommages avant containment et enquêtes prolongées

Les chiffres issus du sondage auprès de 300 responsables de la sécurité cloud aux États-Unis et au Royaume-Uni soulignent l’urgence :

  • Près de 90 % ont subi des dommages avant de pouvoir contenir un incident cloud.
  • 65 % mettent 3 à 5 jours supplémentaires pour investiguer un incident cloud comparé à un incident on-prem.
  • Plus de 40 % reconnaissent avoir subi des dommages liés à des alertes cloud qui n’ont jamais été investiguées.

Dans un contexte où les attaquants lancent des rafales coordonnées à grande échelle — comme le montrent les Cloudypot sur des services notebook — le temps pour conserver la preuve et agir efficacement se réduit considérablement. L’automatisation dans la capture et la reconstruction des preuves devient donc une nécessité pour garder l’initiative et limiter l’impact.

Voix du secteur et perspectives

« L’adoption du cloud a ouvert des opportunités exceptionnelles, mais aussi apporté de nouveaux défis et points aveugles », résume Connie Stride, Senior Vice President of Product chez Darktrace. « En intégrant une forensic de pointe dans notre plateforme, nous associons détection cloud, réponse autonome et forensic automatisée en un seul endroit. Cela apporte une clarté forensic en quelques minutes, un accès immédiat aux données essentielles avant leur disparition, et permet à n’importe quelle équipe de réagir avec décision ».

Disponibilité. Darktrace / Forensic Acquisition & Investigation, ses intégrations à la ActiveAI Security Platform et ses nouvelles fonctionnalités dans Darktrace / CLOUD sont dès à présent accessibles. Par ailleurs, une Communication d’Innovation est prévue pour le 9 octobre afin de détailler la vision de Darktrace pour la sécurité cloud.

Ce que cela implique pour un CISO (et son équipe)

  • Réduction du MTTR : passer de jours à minutes en investigation, ce n’est pas une amélioration marginale mais une transformation du résultat.
  • Couverture des ressources éphémères : conteneurs et fonctions laissent leur trace quand il faut, au moment du signal.
  • Moins d’archéologie et plus de réponse : timelines unifiés et rapports prêts á l’audit allègent le travail manuel de corréler logs et événements.
  • Coexistence avec la panoplie existante : toute alerte peut déclencher une acquisition forensic, sans devoir réécrire l’intégralité de l’écosystème.
  • Choix de conservation : en mode SaaS ou on-premise, selon la réglementation et la stratégie de gestion des risques.

En résumé : question d’action et de réactivité face à la menace

La sécurité cloud ne peut plus se limiter à une réaction tardive : il faut investir dans une capacité d’investigation rapide et efficace. Darktrace / Forensic Acquisition & Investigation offre une solution pour capter le volatile, reconstruire de façon automatique et agir plus vite, en intégrant détection et forensic sous un même toit. Dans un contexte où la menace accélère, convertir des journées en minutes pourrait faire la différence entre contenir un incident ou subir un dommage grave.

Questions fréquentes

Qu’est-ce que la forensic automatisée dans le cloud et en quoi diffère-t-elle des instantanés manuels ?
La forensic automatisée capture disque, mémoire et logs en temps réel lors de la détection d’une menace, en utilisant les APIs du fournisseur cloud, même pour les actifs éphémères. Contrairement aux instantanés manuels (ou aux agents préinstallés), elle ne dépend pas de la continuité de vie de la ressource ni d’une intervention humaine pour préserver la preuve volatile, et construit le timeline de l’attaque sans intervention.

Comment Darktrace investigate-t-il les incidents dans les conteneurs et fonctions serverless à courte durée ?
L’outil est conçu pour capturer des preuves dans les actifs éphémères (ex : AWS ECS, Kubernetes, containeurs distro-less/no-shell), garantissant que la preuve ne disparaît pas avec le cycle de vie du service. Cela permet d’analyser mouvements latéraux, élévations ou abus de crédentials même lorsque l’actif n’est plus là.

Se connecte-t-il avec mon SIEM/XDR/CNAPP ou doit-on tout remplacer ?
Il peut fonctionner de façon indépendante ou en intégration dans la ActiveAI Security Platform. En tout état de cause, il peut écouter les alertes issues des outils existants (SIEM, XDR, CNAPP, EDR, NDR, services cloud-native) et déclencher une acquisition forensic immédiatement, sans nécessité de réécrire la stack.

Quels bénéfices concrets par rapport aux méthodes traditionnelles d’investigation cloud ?
L’objectif est de réduire dejours à minutes le temps d’enquête : capturer l’évidence instantanément, générer des timelines automatiques avec cause racine, produire des rapports exportables et permettre le parallélisme. Cela se traduit par moins de MTTR, moins de dommages liés à des alertes non investiguées et une capacité accrue à agir rapidement tout en préservant la preuve pour la remédiation et la conformité.

Source : darktrace

Share on Pinterest Share on LinkedIn

Info Cloud

le dernier

Geoffrey Hinton et d’autres experts avertissent : l’intelligence artificielle s’accélère si rapidement que 2026 pourrait représenter un tournant dans l’emploi

Manuel Hernández rejoint Aire Networks pour renforcer le secteur de la vente en gros du Groupe Aire

Apple y Google scellent un partenariat pour la prochaine génération d’Apple Intelligence : Gemini sera la base des nouveaux modèles et Siri promet une avancée « plus personnelle » en 2026

Skygard accélère la consolidation du centre de données à Oslo : deux acquisitions et un nouveau hub pour les charges d’IA

Ceuta se hisse dans la ligue des centres de données avec le « premier » centre de données de Templus : infrastructure régionale, ambition mondiale

RealMD, l’application argentine qui combine l’IA et des médecins freelances pour accélérer les ordonnances et les indications en heures (ou minutes)