L’industrie de la sécurité a passé l’année dernière à parler de modèles, de copilotes et d’agents, mais un changement plus discret se produit juste en dessous de tout cela : les fournisseurs s’alignent autour d’une manière commune de décrire les données de sécurité. Le cadre de schéma ouvert de cybersécurité (OCSF), apparaît comme l’un des candidats les plus solides pour ce poste.

Il offre aux fournisseurs, aux entreprises et aux praticiens un moyen commun de représenter les événements, les découvertes, les objets et le contexte de sécurité. Cela signifie moins de temps pour réécrire les noms de champs et les analyseurs personnalisés et plus de temps pour corréler les détections, exécuter des analyses et créer des flux de travail pouvant fonctionner sur tous les produits. Dans un marché où chaque équipe de sécurité rassemble la télémétrie des points finaux, des identités, du cloud, du SaaS et de l’IA, une infrastructure commune a longtemps semblé une chimère, et OCSF la met désormais à portée de main.

OCSF en langage clair

OCSF est un framework open source pour les schémas de cybersécurité. Il est de par sa conception indépendant du fournisseur et délibérément indépendant du format de stockage, de la collecte de données et des choix ETL. Concrètement, il offre aux équipes d’application et aux ingénieurs de données une structure partagée pour les événements afin que les analystes puissent travailler avec un langage plus cohérent pour la détection et l’investigation des menaces.

Cela semble aride jusqu’à ce que l’on examine le travail quotidien au sein d’un centre d’opérations de sécurité (SOC). Les équipes de sécurité doivent consacrer beaucoup d’efforts à normaliser les données provenant de différents outils afin de pouvoir corréler les événements. Par exemple, détecter un employé se connectant depuis San Francisco à 10h00 sur son ordinateur portable, puis accéder à une ressource cloud depuis New York à 10h02 pourrait révéler une fuite d’informations d’identification.

Cependant, mettre en place un système capable de corréler ces événements n’est pas une tâche facile : différents outils décrivent la même idée avec différents champs, structures d’imbrication et hypothèses. L’OCSF a été créé pour réduire cette taxe. Il aide les fournisseurs à mapper leurs propres schémas dans un modèle commun et aide les clients à déplacer les données via des lacs, des pipelines et des outils de gestion des incidents et des événements de sécurité (SIEM) sans nécessiter de traduction fastidieuse à chaque saut.

Les deux dernières années ont été inhabituellement rapides

L’essentiel de l’accélération visible de l’OCSF s’est produite au cours des deux dernières années. Le projet a été annoncé en août 2022 par Amazon AWS et Splunk, s’appuyant sur les travaux de Symantec, Broadcom et d’autres géants de l’infrastructure bien connus Cloudflare, CrowdStrike, IBM, Okta, Palo Alto Networks, Rapid7, Salesforce, Securonix, Sumo Logic, Tanium, Trend Micro et Zscaler.

La communauté OCSF a maintenu une cadence de sorties constante au cours des deux dernières années

La communauté s’est développée rapidement. AWS a déclaré en août 2024 qu’OCSF était passé d’une initiative de 17 entreprises à une communauté avec plus de 200 organisations participantes et 800 contributeurs, qui s’est étendue à 900 lorsque OCSF a rejoint la Linux Foundation en novembre 2024.

OCSF apparaît dans toute l’industrie

Dans l’espace d’observabilité et de sécurité, l’OCSF est partout. AWS Security Lake convertit les journaux et événements AWS pris en charge de manière native en OCSF et les stocke dans Parquet. AWS AppFabric peut générer des données d’audit normalisées OCSF. Les résultats d’AWS Security Hub utilisent OCSF et AWS publie une extension pour les détails des ressources spécifiques au cloud.

Splunk peut traduire les données entrantes en OCSF avec un processeur Edge et un processeur d’ingestion. Cribl prend en charge la conversion transparente des données de streaming en OCSF et formats compatibles.

Palo Alto Networks peut transmettre les données du service Strata Sogging vers Amazon Security Lake dans OCSF. CrowdStrike se positionne des deux côtés du canal OCSF, avec les données Falcon traduites en OCSF pour Security Lake et Falcon Next-Gen SIEM positionné pour ingérer et analyser les données au format OCSF. OCSF est l’une des rares normes qui a franchi le gouffre d’une norme abstraite à une plomberie opérationnelle standard dans l’ensemble de l’industrie.

L’IA donne une nouvelle urgence à l’histoire de l’OCSF

Lorsque les entreprises déploient une infrastructure d’IA, les grands modèles de langage (LLM) sont au cœur, entourés de systèmes distribués complexes tels que des passerelles de modèles, des environnements d’exécution d’agent, des magasins de vecteurs, des appels d’outils, des systèmes de récupération et des moteurs de politiques. Ces composants génèrent de nouvelles formes de télémétrie, dont une grande partie dépasse les frontières des produits. Les équipes de sécurité du SOC se concentrent de plus en plus sur la capture et l’analyse de ces données. La question centrale est souvent de savoir ce qu’un système d’IA agentique a réellement fait, plutôt que seulement le texte qu’il a produit, et si ses actions ont conduit à des failles de sécurité.

Cela exerce davantage de pression sur le modèle de données sous-jacent. Un assistant IA qui appelle le mauvais outil, récupère les mauvaises données ou enchaîne une séquence d’actions risquée crée un événement de sécurité qui doit être compris dans tous les systèmes. Un schéma de sécurité partagé devient plus précieux dans ce monde, en particulier lorsque l’IA est également utilisée du côté analytique pour corréler davantage de données, plus rapidement.

Pour OCSF, 2025 était placée sous le signe de l’IA

Imaginez qu’une entreprise utilise un assistant IA pour aider les employés à rechercher des documents internes et à déclencher des outils tels que des systèmes de billetterie ou des référentiels de codes. Un jour, l’assistant commence à extraire les mauvais fichiers, à appeler des outils qu’il ne devrait pas utiliser et à exposer des informations sensibles dans ses réponses.

Les mises à jour des versions 1.5.0, 1.6.0 et 1.7.0 d’OCSF aident les équipes de sécurité à reconstituer ce qui s’est passé en signalant les comportements inhabituels, en montrant qui avait accès aux systèmes connectés et en suivant étape par étape les appels de l’outil de l’assistant. Au lieu de voir uniquement la réponse finale donnée par l’IA, l’équipe peut enquêter sur toute la chaîne d’actions qui ont conduit au problème.

Qu’y a-t-il à l’horizon

Imaginez qu’une entreprise utilise un robot de support client IA et qu’un jour, le robot commence à donner des réponses longues et détaillées comprenant des conseils de dépannage internes destinés uniquement au personnel. Avec les types de changements développés pour OCSF 1.8.0, l’équipe de sécurité a pu voir quel modèle gérait l’échange, quel fournisseur l’a fourni, quel rôle jouait chaque message et comment le nombre de jetons changeait au cours de la conversation.

Une augmentation soudaine du nombre d’invites ou de jetons d’achèvement pourrait signaler que le robot a reçu une invite cachée inhabituellement volumineuse, a extrait trop de données d’arrière-plan d’une base de données vectorielle ou a généré une réponse trop longue qui augmente le risque de fuite d’informations sensibles. Cela donne aux enquêteurs un indice pratique sur l’endroit où l’interaction a dévié, au lieu de leur laisser uniquement la réponse finale.

Pourquoi cela est important pour le marché au sens large

Le plus important est qu’OCSF est rapidement passé du statut d’effort communautaire à celui de véritable norme utilisée quotidiennement par les produits de sécurité. Au cours des deux dernières années, la solution a bénéficié d’une gouvernance plus solide, de versions fréquentes et d’un support pratique pour les lacs de données, les pipelines d’ingestion, les flux de travail SIEM et les écosystèmes partenaires.

Dans un monde où l’IA élargit le paysage de la sécurité par le biais d’escroqueries, d’abus et de nouvelles voies d’attaque, les équipes de sécurité s’appuient sur OCSF pour connecter les données de nombreux systèmes sans perdre de contexte en cours de route et assurer la sécurité de vos données.

Nikhil Mungel construit des équipes de systèmes distribués et d’IA dans des entreprises SaaS depuis plus de 15 ans.