SOC (Security Operations Centers) avec ou sans IA?

“We’ll have a generation of security professionals who can supervise AI but can’t function without it."

AI Research Sophos Insights AI AI Cybersecurity AI RESEARCH Generative AI SOC

Malgré tout le battage médiatique autour de « l’IA agentique » dans le secteur de la cybersécurité, les SOC (Security Operations Centers) sont toujours confrontés aux mêmes questions fondamentales : qu’est-ce que l’IA améliore réellement aujourd’hui ? Où l’IA échoue encore aujourd’hui ? Comment les organisations peuvent-elles faire la différence ?

Dans le récent webinaire de Sophos, intitulé « The Agentic SOC : Separating Signal from Noise », Kyle Falkenhagen, Senior Vice President Product Management chez Sophos, a présenté l’une des explications les plus claires et les plus simples concernant ces questionnements. Surtout, il s'est concentré sur ce que les défenseurs vivaient réellement sur le terrain, et non sur les promesses liées au Hype Cycle qui ont envahi le marché.

Dans un paysage où presque tous les éditeurs de cybersécurité prétendent désormais offrir une forme d'IA et où beaucoup d'autres font du « agent-washing » avec des outils traditionnels, cette distinction est devenue plus importante que jamais.

L'engouement du marché face à la réalité opérationnelle

Malgré l’explosion des outils étiquetés IA, relativement peu d’organisations utilisent l’IA en production aujourd’hui. Comme l’a souligné Falkenhagen, Gartner estime que moins d’un quart des entreprises utilisent actuellement des outils de cybersécurité améliorés par l’IA, même si le battage médiatique autour de ces outils est plus fort que jamais.

Ce décalage crée un dilemme. De nombreux SOC subissent une pression pour « faire quelque chose avec l’IA », mais la plupart cherchent à comprendre quelle est sa place, et si elle a une place tout simplement. Derrière tout ce battage médiatique se cache une vérité pratique : les équipes SOC sont déjà sous pression.

Les faux positifs restent le principal problème en matière de détection pour la plupart des équipes, et le volume d'alertes continue de dépasser ce que les analystes humains peuvent gérer de manière réaliste.

Ce sont ces défis opérationnels qui rendent l'IA utile aujourd'hui. Utilisée à bon escient, l'IA aide les équipes à se concentrer sur les menaces réelles plutôt que sur le flux incessant d'événements inoffensifs.

Quelle est la véritablement valeur ajoutée de l’IA ?

Le premier domaine où l'IA a atteint sa maturité est la détection, non pas au niveau des capacités génératives spectaculaires qui font les gros titres, mais au niveau d’un investissement sur plusieurs années dans les modèles comportementaux, le machine learning et le NLP qui fonctionnent discrètement en coulisses. Comme l’a dit Falkenhagen, « l’IA dans la détection n’est pas nouvelle et ce n’est pas un effet de mode. Elle améliore discrètement les produits de sécurité depuis des années ».

Cette base permet désormais de prendre en charge de nouveaux niveaux d'automatisation dans la priorisation des alertes. C’est là que l’IA peut être utile en évaluant d’énormes volumes de données télémétriques en temps réel, en attribuant un score aux alertes dans le contexte de l’environnement de l’organisation et en ne transmettant aux analystes que les plus pertinentes. Sophos génère à lui seul plus de 34 millions de détections par jour.

« L’enquête SANS 2025 Detection and Response a révélé que 73% des équipes de sécurité ont cité les faux positifs comme leur principal défi en matière de détection, un chiffre en hausse par rapport aux années précédentes et qui continue d’augmenter », a déclaré Falkenhagen. « Ce n'est pas un simple désagrément. C’est là le problème opérationnel fondamental… et le contexte des menaces ne fait qu’aggraver le problème ».

Au lieu de devoir trier un flot incessant d'alertes non filtrées, les équipes reçoivent une file d'attente plus pertinente et contextualisée, permettant ainsi de commencer plus tôt et de progresser plus rapidement dans le travail de sécurité à proprement parler.

Ce même thème se retrouve dans les investigations. L'IA peut corréler les données provenant des logs, endpoints, des sources d'authentification et de l'activité réseau beaucoup plus rapidement que les humains. Au cours du webinaire, Falkenhagen a décrit comment les investigations assistées par l'IA permettaient désormais de construire automatiquement des timelines, de faire apparaître des indicateurs pertinents et de retracer les chaînes d'attaque basée sur l'identité, souvent en quelques minutes.

Pour les équipes habituées à rassembler manuellement les preuves provenant de plusieurs outils, ce changement est profond. Cette possibilité ne supprime pas le besoin de jugement humain, mais accélère tout ce qui se passe avant que ce jugement ne soit appliqué. Avec 88% des ransomwares exécutés en dehors des heures de bureau, l'IA agentique assure une vigilance 24h/24 que les humains ne peuvent pas maintenir. Et alors que 59% des organisations sont confrontées à une grave pénurie de compétences, l'IA augmente les capacités de votre équipe, permettant ainsi de détecter et de contenir les menaces critiques, quel que soit le moment où elles surviennent.

Les requêtes en langage naturel abaissent également la barrière pour les analystes juniors qui ne possèdent pas d'expertise SIEM approfondie. Demander « tous les comptes ayant enregistré plus de 50 échecs de connexion au cours de la dernière heure » se fait désormais en langage naturel au lieu d'une requête sur plusieurs lignes.

« L’IA devient un égaliseur. Cela offre aux analystes moins expérimentés le type d’enrichissement contextuel et d’investigation guidée qui nécessitait auparavant des années d’expertise », a déclaré Falkenhagen.

Là où l'IA échoue encore

Malgré tous ces progrès, l'IA a encore des limites, et une dépendance excessive à l'égard de ces outils peut comporter ses propres risques.

La première limite concerne le contexte professionnel d’une entreprise. L’IA peut suggérer des mesures de confinement, mais elle ne peut pas en comprendre les conséquences opérationnelles.

« L’IA ne connaît pas votre activité », a déclaré Falkenhagen.

Par exemple, la mise hors service d'un serveur compromis peut être techniquement correcte, mais s'avérer désastreuse pour le chiffre d’affaires si elle est effectuée au mauvais moment.

L'IA a également du mal avec la véritable nouveauté. Les menaces qui sortent des sentiers battus, chaînes zero-day, nouvelles techniques d'ingénierie sociale, risques internes, nécessitent souvent un raisonnement humain pour être comprises.

Et puis il y a le problème de l’érosion des compétences. Si les analystes passent des années à simplement approuver les décisions de l'IA, au lieu de mener eux-mêmes des investigations, leur expertise risque de s'atrophier. Gartner prévient que jusqu'à 75% des équipes SOC pourraient être confrontées à ce problème d'ici 2030.

« Nous aurons une génération de professionnels de la sécurité capables de superviser l’IA, mais incapables de fonctionner sans elle », a déclaré Falkenhagen.

La communication est la dernière frontière. L’IA peut recommander des actions, mais elle ne peut pas encore gérer les conversations avec les parties prenantes (stakeholders), les notifications de violation de données ou les briefings de direction. Ces tâches requièrent de la nuance, de l'empathie et une compréhension approfondie de l'impact sur l’entreprise, des qualités que les responsables SOC ne peuvent pas se permettre de confier à l'IA.

Distinguer le vrai du rebranding

Comment faire pour aider les organisations qui tentent d'évaluer les outils basés sur l'IA ?

La première question que la plupart des utilisateurs potentiels devraient se poser est : Comment fonctionne réellement l'IA ? Non pas au sens marketing, mais au sens architectural. Si un éditeur ne peut pas expliquer ses modèles, ses sources de données ou sa logique de décision, c’est un signe avant-coureur.

De plus, il convient de réfléchir aux principes qui la régissent. L’IA doit être centrée sur l’humain, transparente et responsable, sous peine de risquer d’introduire de nouveaux modes de défaillance au lieu de les prévenir. Les responsables des SOC doivent rechercher des preuves de supervision humaine et s'assurer que les analystes peuvent facilement prendre le contrôle du système en cas de besoin.

La troisième question est la plus simple et souvent la plus révélatrice : Que se passe-t-il lorsque l'IA se trompe ?

« Si un fournisseur ne peut pas expliquer comment fonctionne son IA, quels principes la régissent et ce qui se passe lorsqu'elle dysfonctionne, passez votre chemin. Ces trois questions permettent de faire le tri dans le bruit [plus rapidement] que n’importe quel rapport d’analyste », a déclaré Falkenhagen.

Vous souhaitez en savoir plus sur la manière avec laquelle Sophos utilise l'IA dans l'ensemble de ses produits et services ? Consultez la présentation de notre solution ici. Vous pouvez également visionner l'intégralité du webinaire, disponible dès maintenant à la demande.

Billet inspiré de Where AI in the SOC is actually delivering — and where it isn’t, sur le Blog Sophos.

À propos de l'auteur

Jon Munshaw

Jon Munshaw is a Content Marketing Manager with Sophos. He helps tell the story of Sophos through a variety of content and ensures that the company's tone of voice and story are consistent across all platforms. After starting his career in journalism, he pivoted to cybersecurity and has since become interested in dissecting complicated cybersecurity topics and "translating" them for different audiences.