Dans les centres opérationnels de sécurité, l’IA ne remplace pas l’analyste. Elle intervient là où la pression est la plus forte : le traitement du volume, la corrélation des signaux et l’accélération de l’investigation.
© DR
Chez Microsoft, l’automatisation s’inscrit dans une évolution progressive des pratiques. Paul Dominjon, directeur cybersécurité, révèle : « Ça fait des années qu’on a beaucoup de playbooks à la main, c’était quand même long à maintenir. » L’arrivée d’agents capables d’automatiser certaines fonctions vise d’abord à industrialiser ces mécanismes : enrichissement automatique d’une alerte, génération de synthèses et proposition d’actions correctives.
© DR
CrowdStrike constate que certaines tâches sont désormais pleinement automatisées. Alvaro del Hoyo, Technology Strategist, précise : « Les tâches répétitives à fort volume, comme le tri des alertes, la gestion des évènements ou l’analyse de malwares courants, peuvent être automatisées. Ce sont des problèmes que les machines sont particulièrement bien adaptées à résoudre. » L’automatisation cible en priorité ces activités à faible valeur ajoutée humaine afin de redonner du temps aux analystes pour les investigations complexes et les arbitrages critiques.
Cette évolution s’impose d’autant plus que les attaquants eux-mêmes intègrent des capacités adaptatives. « Le logiciel malveillant arrive dans le système de l’entreprise et utilise des fonctions d’IA pour s’adapter au contexte de l’entreprise », explique Georges Bossert, cofondateur et CTPO de Sekoia.io. Face à ces menaces évolutives, la corrélation avancée et la priorisation deviennent centrales pour maintenir un niveau de détection cohérent.
L’automatisation progresse également dans la réponse. Les scénarios prédéfinis permettent d’isoler un poste ou de bloquer un compte en quelques secondes. Mais cette accélération ne supprime pas la nécessité d’un pilotage humain. Alvaro del Hoyo (CrowdStrike) le rappelle : « Le risque avec l’IA est de laisser des agents agir sans supervision, ni contrôle. » L’autonomie doit donc être encadrée, avec des niveaux de validation clairement définis et une gouvernance solide.
L’apport réel de l’IA dans le SOC nouvelle génération se situe donc dans l’accélération et la priorisation, pas dans l’autonomie totale. Elle réduit le bruit, facilite l’investigation et automatise certaines actions ciblées. En contrepartie, elle exige un cadre technique solide et une gouvernance claire. Sans cela, la promesse d’efficacité peut rapidement se transformer en complexité supplémentaire.
Structurer son SOC : les arbitrages qui font la différence
Moderniser un SOC ne consiste pas à ajouter une brique technologique ou à changer de prestataire. C’est un arbitrage structurant qui engage l’organisation sur plusieurs années. La question n’est pas de savoir quel modèle est le plus visible sur le marché mais lequel correspond réellement aux besoins et aux capacités internes.
Le premier écueil reste le manque de cadrage. « On n’a pas assez spécifié, on n’a pas assez indiqué ce qu’on voulait », observe Benjamin Leroux, directeur marketing chez Advens. Lorsque les attentes ne sont pas formalisées, « chacun vient avec son point de vue, son historique et ses termes », ce qui génère des incompréhensions et des frictions dès la phase de lancement. Un SOC efficace commence donc par un périmètre clair, un niveau de profondeur défini et des responsabilités formalisées.
Autre point souvent sous-estimé : la maîtrise technique réelle. Surveiller des alertes ne suffit pas si l’organisation ne comprend pas ce qui se passe concrètement sur ses systèmes. « Un SOC, ce n’est pas uniquement un centre d’alerting. C’est une capacité à comprendre ce qui se passe réellement sur les postes et à agir dessus », rappelle Pierre-Louis Mauratille (HarfangLab). La question devient alors très opérationnelle : qui a réellement la main sur les endpoints ? qui peut isoler un poste, bloquer un comportement anormal ou investiguer rapidement sans dépendre d’un circuit trop long ?
La performance d’un SOC dépend également de sa capacité d’évolution. Les règles de détection doivent être enrichies, les scénarios ajustés et les sources de données régulièrement revues. Un dispositif figé se dégrade rapidement face à des menaces mouvantes.
Camille Suard
