L'ANSSI, l'agence nationale de la sécurité des systèmes d'information, vient de publier, avec le cabinet Wavestone, une étude détaillée sur l'intégration de l'intelligence artificielle dans les SOC. Non, on ne parle pas des puces de vos smartphones, mais de ces centres d'opérations chargés de détecter et de répondre aux incidents de sécurité. Les résultats sont nuancés, parfois instructifs.
Les SOC (Security Operations Centers) accumulent les difficultés. D'un côté, le volume des alertes est en hausse et les périmètres à surveiller sont toujours plus larges (cloud, mobile, objets connectés). En parallèle, il y a une pénurie mondiale d'analystes qualifiés qui aggrave le problème. L'IA peut-elle résoudre ce problème ? Pour y voir clair, l'ANSSI a mandaté Wavestone afin d'auditionner 48 éditeurs de solutions de cybersécurité (dont 34 européens répartis dans 22 pays) sur leurs usages concrets de l'IA dans la détection et la réponse aux incidents.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Deux IA dans les SOC, deux missions bien différentes
L'étude distingue deux familles technologiques. La "PredAI" ou l'IA prédictive, est fondée sur le machine learning. C'est la plus ancienne et la mieux établie. Certains éditeurs européens la déploient depuis plus de 15 ans pour analyser les comportements anormaux des utilisateurs, une technique appelée UEBA (User and Entity Behavior Analytics). Elle sert aussi à surveiller les flux réseau, à identifier des malwares ou encore à attribuer un score d'urgence aux alertes pour que les analystes traitent en priorité les plus dangereuses.
La GenAI, ou l'IA générative, on la connaît depuis quelques années, c'est celle des assistants conversationnels ; elle joue un rôle complémentaire. Elle ne détecte pas à proprement parler, mais aide les analystes à aller plus vite. Elle peut rédiger un rapport d'incident, proposer des pistes d'investigation, construire des règles de détection ou développer des "parsers", ces petits programmes qui permettent d'intégrer les journaux d'événements de nouvelles sources dans le système d'analyse. Sa maturité reste toutefois inégale selon les éditeurs et les pays.
Vers des agents capables d'agir seuls sur un incident
Le rapport consacre un chapitre aux "agents IA SOC" - des systèmes conçus pour traiter un incident de bout en bout, de la réception de l'alerte jusqu'à la remédiation, sans intervention humaine à chaque étape. Ces agents combinent donc machine learning et modèles de langage (LLM) pour reproduire le raisonnement d'un analyste, en décomposant le traitement en tâches spécialisées : classification, génération de requêtes, suggestion d'actions.
Deux approches coexistent. La première repose sur des agents au comportement programmé et prévisible : on sait exactement pourquoi ils ont pris telle décision, et on peut la reproduire à l'identique. La seconde s'appuie sur des modèles de langage similaire à ce que propose ChatGPT, ce qui permet de mieux les adapter, mais aussi, paradoxalement, ce qui les rend moins prévisibles. Un agent peut par exemple arriver à la bonne conclusion sans qu'on sache vraiment comment. Dans un contexte de cybersécurité, où chaque décision peut avoir des conséquences concrètes sur un réseau d'entreprise, c'est donc un problème réel.
La question de l'hébergement du modèle est aussi importante. Quand un éditeur utilise un LLM via une API - c'est-à-dire qu'il envoie ses données à un serveur distant géré par un tiers comme OpenAI ou Google - il perd une partie du contrôle sur ce qui circule. C'est le cas de 38% des éditeurs interrogés dans l'étude. Les acteurs européens choisissent plutôt des modèles open source comme Llama ou Mistral, qu'ils font tourner sur leur propre infrastructure, pour éviter que des données sensibles ne quittent leur environnement.
Si l'IA prédictive a prouvé sa valeur dans les SOC depuis longtemps, c'est donc la GenAI et les agents autonomes qui concentrent désormais les attentes, mais aussi les incertitudes. Avant d'aller vers plus d'autonomie, les éditeurs devront augmenter le niveau de confiance en une machine capable afin qu'elle puisse être en mesure de prendre des décisions critiques tout en étant parfaitement capables de les expliquer.
