Google étend son offensive en matière de cybersécurité avec l'introduction d'agents d'IA basés sur les modèles Gemini qui parcourent automatiquement le dark web et analysent d'énormes quantités de données à la recherche de menaces réelles pour les entreprises. Une nouvelle fonctionnalité a été ajoutée à la plateforme Google Threat Intelligence et est désormais disponible en avant-première. Elle traite jusqu'à 10 millions d'entrées par jour provenant de sources Internet classifiées, qui contiennent souvent des informations sur les fuites de données, les ventes d'accès aux systèmes et les activités cybercriminelles. D'après les données fournies par Google, l'efficacité de l'analyse atteint 98 %. Les outils traditionnels de surveillance du darknet reposent principalement sur une simple correspondance de mots-clés. En pratique, cela génère un grand nombre de résultats non pertinents transmis aux équipes de sécurité. La nouvelle approche de Google change la donne. Au lieu de réagir à des phrases isolées, le système analyse le contexte des énoncés, les liens entre les données et leur pertinence pour une organisation donnée. Les agents d'IA filtrent des millions d'événements et les réduisent à un petit nombre d'alertes présentant une réelle importance opérationnelle. Il s'agit d'un changement majeur pour les équipes SOC, qui étaient auparavant confrontées à une surabondance de signaux de faible valeur.

Le système repose sur la création d'un profil détaillé de l'organisation. Après le lancement du module Gemini, il analyse les informations publiques disponibles et dresse un portrait de l'entreprise, incluant ses activités, ses technologies, sa marque et ses principaux acteurs. À partir de ces éléments, l'outil interprète les entrées du dark web et évalue leur importance. Si un cybercriminel propose un accès à une infrastructure correspondant au profil d'une entreprise spécifique, le système relève automatiquement le niveau de menace et génère une alerte prioritaire. L'analyse comprend également l'activité des agents d'accès, les fuites de données et d'autres éléments de cyber-renseignement. Parallèlement, Google développe des agents d'IA au sein de Google Security Operations. Leur rôle est d'automatiser les réponses aux menaces et d'assister les analystes dans leurs investigations. De nouveaux outils permettent d'analyser les alertes de manière autonome, de recueillir des preuves et de présenter des conclusions étayées. Grâce à l'intégration avec le protocole MCP, le système permet également la création d'agents de sécurité personnalisés et adaptés aux besoins de l'organisation. Il s'agit d'un pas vers des opérations de sécurité entièrement automatisées, où l'humain reprend le rôle de superviseur.

Le développement d'agents d'IA en cybersécurité soulève des questions quant à de nouvelles failles potentielles dans les attaques. Les systèmes qui analysent d'énormes quantités de données et opèrent au sein d'une organisation pourraient devenir des cibles privilégiées pour les cybercriminels. Google souligne que cet outil repose principalement sur des données publiques et des informations partagées en toute connaissance de cause par les utilisateurs. L'entreprise insiste sur la transparence et le contrôle des flux de données. Malgré cela, une nouvelle phase émerge dans la course entre défenseurs et attaquants, avec l'intelligence artificielle opérant des deux côtés. L'introduction des agents Gemini pour l'analyse du dark web constitue une nouvelle étape dans la compétition technologique mondiale en matière de sécurité. Les principaux acteurs du marché développent leurs propres systèmes d'IA pour automatiser une grande partie des tâches auparavant effectuées par des humains. L'automatisation, l'analyse contextuelle et la réduction du bruit deviennent la nouvelle norme. Parallèlement, la confiance envers les systèmes qui prennent des décisions à partir de données difficiles à vérifier en temps réel se renforce.