L’industrie de la cybersécurité fait face à une asymétrie croissante entre la sophistication des vecteurs d’attaque et les capacités de traitement des centres d’opérations de sécurité (SOC). L’augmentation exponentielle de la télémétrie réseau et applicative crée un phénomène d’infobésité qui sature les capacités d’analyse humaine.
Le diagnostic de Jean Pierre GARNIER, Manager SOC au sein de notre practice Cyberdéfense -SOC est clair : dans ce contexte, l’intelligence artificielle ne se limitent plus aux simples interfaces conversationnelles que sont modèles larges de langage (LLM) et, mais comme une couche structurelle au sein de votre stratégie cyber.
Parce que ce domaine est vaste, il était insensé de vouloir couvrir tout le champ des possibles. Ainsi, cet article se concentre sur l’évolution des cas d’usage, de l’assistance ponctuelle à l’autonomie orchestrée par des protocoles standardisés, pour fixer un nouveau cap à la performance de votre SOC.
L’Analyse sémantique comme premier levier d’efficacité
L’implémentation la plus immédiate de l’IA réside dans sa capacité à traiter des données non structurées ou semi-structurées. Un analyste SOC est quotidiennement confronté à des artefacts techniques dont la compréhension nécessite une expertise multispectrale : scripts d’administration détournés, logs d’audit système ou fragments de code binaire.
Les modèles de langage permettent de réaliser une analyse sémantique de ces éléments en temps réel. En soumettant un script d’obfuscation complexe à l’un d’entre eux, l’analyste obtient une déconstruction logique des intentions de l’attaquant, identifiant les appels système critiques ou les tentatives de persistance.
Au-delà de l’explication, cette étape facilite la génération de requêtes de recherche (Threat Hunting). La transition d’une intention d’investigation vers une syntaxe technique spécifique, telle que le KQL pour Azure Sentinel ou le SPL pour Splunk, représente souvent un goulot d’étranglement. L’IA agit ici comme un traducteur de concepts, permettant de transformer une hypothèse de compromission en une requête formelle rigoureuse, minimisant ainsi les erreurs de syntaxe et les temps de développement des indicateurs de compromission (IOC).
L’Apport du RAG dans la contextualisation de la détection
L’un des principaux freins à l’utilisation de l’IA générique en milieu professionnel est son absence de connaissance de l’environnement spécifique à l’entreprise. Pour pallier cette lacune, la technique du Retrieval-Augmented Generation (RAG) s’impose comme une nécessité. Cette architecture permet de coupler un modèle de langage à une base de connaissances vectorielle contenant la documentation interne du SOC : procédures opérationnelles standard (SOP), cartographie des actifs, historiques d’incidents et rapports de renseignement sur les menaces (CTI).
Ainsi, l’analyse d’une alerte ne repose plus uniquement sur des données publiques et générales, mais sur le contexte métier de l’organisation. Lorsqu’une anomalie est détectée sur un serveur de base de données, le système est capable d’interroger la documentation interne pour vérifier si une opération de maintenance est en cours ou si le comportement observé correspond à un usage légitime documenté. Cette capacité de « mise en perspective » réduit significativement le taux de faux positifs et permet d’orienter l’investigation vers des pistes pertinentes dès les premières minutes de l’alerte.
L’emploi de l’IA ne commence pas par un agent mais par une démarche de confiance
Dans l’effervescence actuelle des entreprises de la Silicon Valley, la course technologique semble n’avoir qu’un seul objectif : créer l’entité parfaite. On nous promet des entités autonomes capables de gérer nos agendas, de coder des logiciels entiers ou de piloter des entreprises. Pourtant, cette approche occulte une réalité sociologique et pragmatique fondamentale : l’intelligence artificielle ne commence pas au moment où le code devient autonome ; elle commence au moment où l’utilisateur décide de lui accorder son crédit.
Avant même d’évoquer les contraintes de sécurité (traitées un peu après dans cet article), cette démarche doit impérativement s’intégrer dans des processus et des procédures. L’IA ne devient en effet un partenaire au sein d’un SOC que si elle applique des éléments similaires à un analyste, dans le respect de la chaîne de traitement telle qu’elle est prévue.
Cette intégration exige, en amont de tout déploiement, un travail de formalisation rigoureux : la machine ne peut opérer dans le vide. La confiance se forge d’abord dans la robustesse de la documentation opérationnelle qui encadre son action. Qu’il s’agisse de procédures opérationnelles standardisées (SOP) précises, de fiches réflexes pour les situations d’urgence, d’une base de connaissances partagée ou de matrices de décision sans ambiguïté.
En alignant l’autonomie de la machine sur ces référentiels humains, on transforme l’algorithme « boîte noire » en un collaborateur prévisible et auditable. Préparer ce terrain documentaire, c’est définir les règles du jeu avant de lancer les joueurs ; c’est s’assurer que l’IA ne se contente pas d’agir, mais qu’elle agisse avec la pertinence et la conformité attendues par ceux qui en portent, in fine, la responsabilité.
» Les utilisateurs tendent toujours à sous-estimer l’importance des risques cyber, des acteurs malveillants pourraient exploiter les vulnérabilités des technologies d’IA et à l’avenir compromettre leur usage. Il est donc impératif de comprendre et limiter ces risques, afin de promouvoir le développement de l’IA de confiance et d’en saisir pleinement les opportunités » souligne l’ANSSI dans son rapport sur le développement de la confiance dans l’IA paru en 2025.
Vers une orchestration croisée entre SOAR et IA
Le couplage de l’intelligence artificielle avec les solutions de Security Orchestration, Automation, and Response (SOAR) marque une rupture avec l’automatisation traditionnelle basée sur des scripts statiques. Jusqu’alors, les playbooks de réponse étaient des arbres de décision rigides, incapables de s’adapter à des nuances ou à des données imprévues. L’intégration de modèles d’IA sous la forme d’agents au sein de ces flux permet d’introduire une logique probabiliste dans la prise de décision. Le système peut évaluer la pertinence d’une action de remédiation, comme l’isolation d’un poste de travail, en fonction de la criticité de l’utilisateur et de la probabilité de compromission réelle.
Cette approche transforme le SOAR en un système de triage cognitif. L’IA peut prendre en charge l’enrichissement automatique des alertes en interrogeant des API tierces, en analysant les fichiers suspects et en corrélant ces informations pour présenter un dossier d’investigation complet à l’analyste. Le rôle de l’humain évolue alors vers une fonction de validation et de supervision de la logique décisionnelle, l’IA se chargeant de l’exécution des tâches répétitives et de la structuration des preuves techniques.
L’Émergence des Agents Autonomes et du Protocole MCP
Le stade le plus avancé de cette évolution est représenté par les systèmes d’agents IA autonomes, capables de mener des investigations de bout en bout sans intervention humaine continue. Contrairement à un script linéaire, chacun d’entre eux reçoit un objectif global et détermine lui-même la suite d’actions nécessaires pour l’atteindre. Cette autonomie nécessite une interface standardisée pour interagir avec les outils de sécurité. C’est ici qu’intervient le Model Context Protocol (MCP), un standard ouvert permettant de connecter les modèles de langage aux sources de données et aux outils de manière uniforme.
Le protocole MCP permet d’exposer les capacités des outils de sécurité (EDR, pare-feu, gestionnaires d’identités) sous forme de fonctions compréhensibles par l’IA. Celle-ci peut ainsi décider, de manière itérative, de lister les processus actifs sur une machine, d’analyser les connexions réseau sortantes, puis de révoquer un jeton d’accès si une exfiltration de données est suspectée. Cette boucle de rétroaction — observation, réflexion, action — permet une réactivité quasi instantanée face aux menaces, tout en conservant une traçabilité totale des décisions qu’elle a prises.
Considérations éthiques et contraintes techniques
Le déploiement de telles technologies au sein d’un SOC n’est pas exempt de défis majeurs. La question de la confidentialité des données est centrale : l’envoi de télémétrie sensible vers des modèles hébergés dans le cloud présente un risque de fuite d’informations. La solution réside dans l’utilisation de modèles de taille réduite (SLM) ou de modèles performants hébergés localement, tels que Mistral ou Llama, garantissant que les données ne quittent jamais le périmètre de sécurité de l’entreprise.
De plus, le phénomène d’hallucination, inhérent aux modèles génératifs, impose de maintenir une surveillance rigoureuse. Une décision erronée de l’IA pourrait entraîner l’interruption de services critiques pour l’entreprise. Il est donc impératif de concevoir des systèmes où l’IA propose et l’analyste dispose, du moins pour les actions de remédiation les plus impactantes. L’avenir du SOC repose sur cette symbiose, où la puissance de calcul et de synthèse de l’IA complète la capacité de jugement et l’intuition de l’expert cyber.
Le passage de « l’IA outil » à « l’IA agent » modifie notre rapport au travail et à la décision. Ce n’est plus une simple interaction homme-machine, c’est une délégation de pouvoir. Or, on ne délègue rien à quelqu’un — ou quelque chose — en qui on n’a pas confiance. Le discours prédominant aujourd’hui se concentre sur ses capacités : sa vitesse de traitement, son absence d’hallucinations ou sa mémoire contextuelle. Maisl’agent, aussi brillant soit-il, reste une coquille vide s’il n’est pas intégré dans un système de responsabilité.
- L’outil vs le partenaire : Un outil que l’on ne comprend pas est un risque. Une entité à laquelle on ne fait pas confiance est un gadget que l’on finit par ignorer.
- La boîte noire : Si l’utilisateur craint que ses données ne soient siphonnées ou que les décisions de l’IA soient biaisées, l’adoption s’arrête net, peu importe la puissance du modèle sous-jacent.
| Bon à savoir Une étude de l’ANSSI de 2025 : l’IA au service de la détection : enjeux et impacts établit un panorama des cas d’usage de l’IA pour le SOC. |
Conclusion
L’intégration de l’intelligence artificielle dans la détection cyber représente un changement de paradigme nécessaire. De l’assistance à la recherche jusqu’à l’orchestration par agents autonomes via le protocole MCP, chaque étape de maturité apporte une réponse aux limites structurelles du SOC moderne. Si les défis techniques et éthiques restent réels, la capacité à transformer la donnée brute en connaissance actionnable en temps réel est le seul levier permettant de maintenir une défense efficace face aux menaces de demain. La transition vers un modèle de détection augmenté est désormais engagée, redéfinissant durablement l’architecture des opérations de sécurité.
Au SOC de Synetis, cette réflexion est déjà bien ancrée et même mise en œuvre sur plusieurs plans, sans pour autant brûler les étapes et induire des risques de sécurité complémentaires. Ce sujet vous intéresse ? Venez échanger avec nous sur cette thématique !
Auteur :
Jean-Pierre Garnier, Manager SOC
