Reco a réduit de 63 % le temps de réponse aux incidents grâce à Amazon Bedrock

Reco a intégré Amazon Bedrock dans son système d'analyse des risques SaaS et l'a entraîné à transformer les alertes de sécurité brutes en récits d'incidents compréhensibles. En conséquence, les clients de l'entreprise traitent l'activité suspecte sensiblement plus rapidement, et les équipes de première ligne escaladent moins souvent les cas aux experts.

Pourquoi les alertes ralentissent le travail

Une alerte de sécurité moderne ressemble rarement à une réponse toute prête à la question de ce qui s'est exactement passé et à quel point c'est dangereux. Il s'agit généralement d'un tableau de champs structurés, d'indicateurs techniques et d'événements au format JSON qu'un ingénieur doit analyser manuellement, corréler avec d'autres signaux et traduire en langage clair pour ses collègues. Du temps est perdu à cette étape, ainsi que la chance de réagir rapidement à une menace véritablement importante. Plus une entreprise utilise de services SaaS, plus le volume de ces notifications est élevé et plus il est difficile de séparer le bruit des événements nécessitant une attention immédiate.

Reco avait deux objectifs pratiques. Le premier était de faire en sorte qu'un analyste comprenne le sens d'une alerte sans un long décodage manuel des champs et des relations entre eux. Le second était de ne pas se limiter à un bref résumé, mais de suggérer immédiatement comment poursuivre l'investigation et quoi faire ensuite. Pour un SOC, c'est crucial : c'est une chose de détecter une connexion suspecte ou un comportement anormal de l'utilisateur, et une tout autre chose de comprendre rapidement le dommage potentiel, la priorité de l'incident et les étapes concrètes pour vérifier et atténuer le risque.

Comment fonctionne le générateur

Pour résoudre cette tâche, Reco utilise un Alert Story Generator basé sur Anthropic Claude dans Amazon Bedrock. Le système prend une alerte spécifique, récupère ses métadonnées et des exemples d'analyses passées, puis assemble un prompt contextuel. Le passage d'une approche zero-shot à une approche few-shot a joué un rôle important : des exemples de référence soigneusement sélectionnés ont nettement amélioré la stabilité et la structure des réponses du modèle. De plus, Reco sélectionne les exemples de manière dynamique — en fonction de la source et du type d'alerte — afin que le modèle s'appuie non pas sur un modèle générique, mais sur des scénarios pertinents.

• Conversion du JSON brut en une description courte et compréhensible
• Mise en évidence des risques clés, des dommages potentiels et de la priorité de réponse
• Génération de requêtes d'investigation prêtes à l'emploi
• Préparation d'un résumé compréhensible à la fois pour l'équipe de sécurité et pour les parties prenantes business
• Génération de recommandations d'atténuation des risques sans assemblage manuel des étapes

Le pipeline qui suit est assez direct : l'utilisateur sélectionne une alerte dans l'interface, le système extrait le JSON de la base de données, le combine avec des exemples few-shot et des golden examples, puis envoie la requête à Claude Sonnet via Amazon Bedrock. La réponse est renvoyée au client déjà sous forme d'interprétation prête et d'une liste d'actions. L'ensemble du système est déployé sur AWS : les microservices fonctionnent sur Amazon EKS, les données contextuelles sont stockées dans Amazon RDS pour PostgreSQL, l'accès à l'interface est protégé par AWS WAF, et la livraison est accélérée par Amazon CloudFront. Reco utilise également le Bedrock prompt caching, ce qui a permis de réduire la latence d'inférence de 75%.

Ce qui a changé pour le SOC

L'essentiel dans ce cas est l'effet mesurable, et non simplement une belle interface au-dessus d'un LLM. Selon les données de Reco, le temps d'investigation s'est amélioré de 54%, car les analystes n'ont plus besoin de construire des requêtes from scratch et d'interpréter manuellement chaque champ d'une alerte. Le temps de réponse aux incidents a diminué de 63% : le système propose immédiatement des recommandations priorisées qui peuvent être mises en œuvre sans longue préparation préalable. Cela est particulièrement notable sur la première ligne de support, où auparavant de nombreux cas devaient être rapidement transférés à des spécialistes plus coûteux et plus rares.

L'effet communicationnel est tout aussi important. Les équipes de sécurité travaillent constamment à l'intersection de la technique et du business, et ici les pertes de temps proviennent souvent non seulement de l'analyse, mais aussi de la traduction des détails techniques dans un langage compréhensible pour les dirigeants et les équipes adjacentes. Reco résout ce problème en transformant un ensemble aride de signaux en une explication autonome avec contexte, évaluation des risques et étapes suivantes. En fin de compte, les analystes creusent plus profondément exactement là où c'est nécessaire, plutôt que de passer du temps à assembler mécaniquement des requêtes, à paraphraser des journaux et à fournir des explications répétées aux participants non techniques du processus.

Ce que cela signifie

Le cas Reco montre que l'IA générative dans la sécurité commence à apporter de la valeur non pas au niveau de la démonstration, mais dans le cycle opérationnel avec des métriques spécifiques. L'avantage principal ici n'est pas que le modèle puisse expliquer les alertes, mais dans la compression du temps entre l'apparition d'un signal, la compréhension du risque et l'action. Pour le marché des entreprises, c'est l'un des scénarios de déploiement de LLM les plus pratiques : moins de routine manuelle, un triage initial plus rapide et un processus de réponse plus prévisible.