Les agents IA au sein du SOC : passer du battage médiatique autour de l'IA à la réalité opérationnelle
Lire le blog
Vectra AIfigure parmi les leaders du Magic Quadrant de Gartner pour la gestion des réponses aux incidents (NDR) en 2026
Lire le rapport
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. Détection des menaces par IA

Les agents IA au sein du SOC : passer du battage médiatique autour de l'IA à la réalité opérationnelle

June 24, 2026
6/24/2026
Fabien Guillot
Directeur du marketing technique chez Vectra
Les agents IA au sein du SOC : passer du battage médiatique autour de l'IA à la réalité opérationnelle

Il y a quelques semaines, nous avons organisé à Munich notre plus grande conférence d'utilisateurs à ce jour ! Le dernier jour, nous avons organisé un concours CTF axé sur la recherche de menaces et les enquêtes. Devinez qui a réussi à résoudre le défi le plus complexe le plus rapidement ? L'IA.

Ce n'était pas la question la plus facile. Ce n'était pas une simple recherche. C'était la plus difficile. Il l'a résolue en moins de deux minutes. Il a fallu comprendre le contexte, explorer les métadonnées, changer d'angle d'approche, décoder la charge utile, poser les bonnes questions complémentaires, lancer plusieurs requêtes, relier les points entre eux et, finalement, trouver le drapeau final.

En d'autres termes, il devait fonctionner en grande partie comme un analyste SOC.

Ce moment nous a clairement rappelé dans quels domaines les agents d'IA peuvent apporter une réelle valeur ajoutée. Non pas en se substituant à l'expertise, ni en résolvant comme par magie tous les problèmes, mais en accélérant le travail d'investigation répétitif qui ralentit chaque jour les analystes.

Ce n'était pas un LLM générique prêt à l'emploi qui a permis de relever ces défis. Il s'agissait d'un agent IA spécialement conçu et optimisé avec l'ensemble de compétences adéquat pour exploiter pleinement la Vectra AI — un projet que nous avons publié en open source le jour même de l'événement.

L'IA intervient à différentes étapes de la pile

Avant d'aborder les agents d'IA, le Model Context Protocol (MCP), etc., il est important de prendre un peu de recul et de clarifier un point : l'IA n'est pas une nouveauté chez Vectra AI.

L'IA fait partie intégrante de notre ADN.

Vectra AI entièrement conçu pour exploiter les techniques d'apprentissage automatique et d'intelligence artificielle afin de détecter les comportements des attaquants. Cela inclut des méthodes d'apprentissage supervisé et non supervisé destinées à identifier les comportements tout au long du cycle de vie d'une attaque, et pas seulement les outils, signatures ou indicateurs statiques connus.

Cette distinction est importante.

Les attaquants peuvent changer d'outils. Ils peuvent renommer des fichiers. Ils peuvent faire tourner leur infrastructure. Ils peuvent modifier leurs commandes. Mais leur comportement suit toujours des schémas bien définis – les mêmes schémas que ceux décrits dans le MITRE ATT&CK . Ils doivent toujours se déplacer latéralement. Ils doivent toujours élever leurs privilèges. Ils ont toujours besoin d'un système de commande et de contrôle. Ils doivent toujours repérer, accéder aux données et les exfiltrer.

C'est là que l'IA a toujours joué un rôle essentiel au sein de la Vectra AI : elle permet la détection comportementale tout au long de la chaîne MITRE ATT&CK d'une manière plus globale, plus résiliente et plus utile que la simple recherche d'éléments connus pour être malveillants.

Mais la détection n'est que la première étape.

Au fil des ans, Vectra AI également développé des capacités d’IA qui interviennent avant même que le signal n’atteigne l’analyste. C’est un aspect important, car la valeur de l’IA au sein du SOC ne se limite pas à ce qui se passe lorsqu’un analyste pose une question en langage naturel. Une grande partie de cette valeur provient de ce qui se passe en amont du processus.

Par exemple, AI Triage permet de réduire automatiquement le bruit et d’exploiter les détections, afin que les équipes puissent se concentrer sur les activités essentielles au lieu d’être submergées par les alertes. Vectra AI également investi dans la détection des menaces et la hiérarchisation des priorités basées sur l’IA, aidant ainsi les équipes de sécurité à identifier les entités, les comportements et les schémas d’attaque qui méritent d’être traités en priorité.

En d'autres termes, lorsqu'un signal est transmis à l'analyste, il a déjà été traité par plusieurs niveaux d'intelligence artificielle.

C'est ce qui rend la prochaine étape si puissante.

Lorsqu’un analyste utilise la recherche assistée par IA au sein de la Vectra AI , ou lorsqu’une équipe connecte son propre modèle de langage à grande échelle (LLM) ou son agent local à Vectra via des API et le MCP, elle ne part pas de données télémétriques brutes et non filtrées. Elle exploite un signal enrichi et alimenté par l’IA qui a déjà été détecté, trié, hiérarchisé et contextualisé par la plateforme.

C'est une grande différence.

L'IA au sein du SOC est en plein essor.

En réalité, soyons honnêtes : on en entend beaucoup parler ces derniers temps. Chaque fournisseur a son histoire sur l’IA. Chaque rapport d’analyste aborde l’IA sous un angle ou un autre. Chaque conférence propose au moins une session promettant que l’IA agentique, les copilotes, les assistants, le MCP, l’automatisation et les flux de travail « human-in-the-loop » sont sur le point de tout changer.

Et c'est sans doute le cas.

Mais lors du Hunt Club Munich, une chose est apparue très clairement : la plupart des équipes de sécurité ne se posent pas la question suivante : « L'IA va-t-elle faire son entrée dans le SOC ? »

Ils posent une question bien plus concrète :

« Par où commencer, à quoi faut-il se fier, et comment rendre tout cela utile sans créer un nouveau chaos opérationnel ? »

C'était le thème central de la session que j'ai récemment animée au Hunt Club , au cours de laquelle nous avons abordé le rôle de l'IA dans l'architecture SOC et la manière dont les responsables de la sécurité peuvent passer du battage médiatique autour de l'IA à une mise en œuvre concrète.

L'objectif était simple : privilégier l'aspect pratique. Pas encore une conversation abstraite sur l'IA. Pas encore une prédiction sur « l'avenir du SOC ». Nous voulions que les participants repartent avec une vision claire de ce que l'IA est capable de faire aujourd'hui, de la manière dont Vectra AI l'IA au sein du SOC, et de la façon dont les équipes peuvent commencer à tester leurs propres agents locaux à l'aide du kit de démarrage open source que nous avons publié dans le cadre de cette présentation.

Car la vraie question n'est pas de savoir si l'IA fera partie du SOC.

La vraie question est la suivante : quelle voie est la plus judicieuse pour votre équipe à l'heure actuelle ?

Le public nous a fait part d'une information importante

L'un des aspects les plus enrichissants du Hunt Club ne résidait pas seulement dans ce que nous avons présenté, mais aussi dans les retours que nous avons reçus.

Au cours de la session, nous avons posé une question simple au public : où en est votre SOC aujourd’hui, et où souhaitez-vous qu’il en soit dans trois ans ?

Les réponses étaient révélatrices.

Aujourd'hui, la plupart des équipes décrivent leur SOC comme se situant à mi-chemin entre un système basé sur des règles et un système assisté par l'IA. Mais lorsque nous leur avons demandé où elles souhaitaient en être dans trois ans, le tableau a complètement changé !

Certes, ces chiffres en disent long. Mais ils nous révèlent aussi quelque chose de très humain : les défenseurs sont ambitieux, mais ils ne sont pas téméraires.

La plus grande avancée ne réside pas dans le fait que « l’IA fasse tout ». Elle réside plutôt dans l’autonomie partielle, où l’IA peut mener l’enquête dans son intégralité et recommander une réponse, mais où l’humain continue d’examiner chaque action et de prendre la décision finale.

Cette nuance a son importance.

Le public ne disait pas : « S'il vous plaît, retirez l'analyste du SOC. » Il disait plutôt : « S'il vous plaît, supprimez le travail répétitif, épuisant et chronophage qui empêche les analystes de se consacrer à ce pour quoi ils sont réellement doués. »

Et franchement, c'est exactement là que doit se situer le débat sur l'IA au sein du SOC.

Car le chemin qui mène de l'investigation manuelle à la réponse autonome ne se fait pas d'un seul coup. Il s'agit d'une courbe de maturité.

Cette évolution est importante, car chaque SOC part d'une situation différente.

Certaines équipes présentes dans la salle expérimentaient déjà des agents locaux, des serveurs MCP, des flux de travail personnalisés et l'automatisation interne. D'autres en étaient à un stade plus précoce de leur parcours et cherchaient encore à comprendre quelle place occupait l'IA dans l'architecture et comment s'assurer qu'elle n'introduisait pas de nouveaux risques, de nouvelles complexités ou un nouveau type de fausse confiance.

Et c'est là tout l'enjeu : l'adoption de l'IA au sein du SOC n'est pas seulement une question technologique. C'est avant tout une question de modèle opérationnel.

  • Peut-on se fier aux données qui alimentent le modèle ?
  • Les analystes peuvent-ils comprendre pourquoi l'IA a formulé une recommandation ?
  • Peut-on continuer à faire participer les humains aux décisions importantes ?
  • Peut-on éviter d'envoyer des données sensibles là où elles ne devraient pas aller ?

Cette enquête a confirmé ce que de nombreux responsables de la sécurité ressentent déjà : les équipes veulent agir rapidement, mais elles veulent le faire en toute sécurité. Elles souhaitent que l'IA les aide à réduire les délais d'intervention de plusieurs heures à quelques minutes, mais elles veulent également garder le contrôle, bénéficier de la transparence et avoir confiance dans ce système.

Le SOC n'a pas besoin de plus de « magie ». Il a besoin d'une IA utile, adaptée à la manière dont les défenseurs travaillent réellement.

L'IA au sein du SOC commence par la pile

C'est précisément cette courbe de maturité qui nous a amenés à évoquer l'IA dans la pile technique lors de la présentation.

Car l'emplacement de l'IA a son importance.

Si l'IA se limite à la détection, sans tenir compte du contexte ni du flux de travail, elle se transforme en un simple chatbot traitant des données bruyantes. Parfois utile, souvent impressionnante, mais pas fiable !  

Si l'IA est davantage intégrée au flux de travail, en lien avec un signal de haute fidélité, le contexte de l'enquête, le comportement des entités, les mesures de réponse et les retours des analystes, elle gagne considérablement en efficacité. Elle peut alors faciliter le tri, la corrélation, la hiérarchisation, l'enquête, la synthèse, la recherche active et l'orientation de la réponse.

Cette distinction est essentielle pour réussir à instaurer la confiance dans votre système.

Deux voies, un seul objectif

Chez Hunt Club, nous tenions à être très clairs sur un point : il n'y a pas qu'une seule et unique bonne façon de mettre en œuvre l'IA dans votre SOC.  

Il existe au moins deux façons concrètes de se lancer ! Chez Vectra AI, nous tenons à vous garantir la meilleure expérience possible, quelle que soit la voie que vous choisissez !

La première solution est la plus rapide et la plus simple pour de nombreux clients : utiliser les fonctionnalités d'IA déjà intégrées à la Vectra AI .  

Cette solution s'adresse aux équipes qui souhaitent bénéficier des avantages de l'IA sans avoir à mettre en place leur propre infrastructure d'agents, à connecter des outils, à gérer des configurations locales ou à maintenir des flux de travail personnalisés. L'IA est déjà intégrée là où le travail s'effectue. Les analystes peuvent utiliser le langage naturel pour mener des enquêtes, poser des questions, changer d'orientation, synthétiser et passer plus rapidement d'une détection à l'autre et d'une entité à l'autre.

Ils en tirent immédiatement profit ! Dès la sortie de l'emballage !

Pour de nombreuses équipes, c'est le bon point de départ. Non pas parce qu'elles manquent d'ambition, mais parce qu'elles privilégient la simplicité opérationnelle. Elles souhaitent disposer d'une IA qui s'intègre directement au produit, avec les données, les autorisations et le flux de travail adaptés.

La deuxième option s'adresse aux équipes qui ont déjà bien avancé dans leur parcours vers l'IA, ou qui souhaitent simplement disposer d'un plus grand contrôle : créer des agents locaux capables d'interagir avec les workflows de votre SOC et vos données, y compris celles issues de la Vectra AI .

Il s'agit d'un cadre d'agents modulable capable de s'intégrer aux outils, au contexte et aux processus déjà en place dans votre environnement. Il offre aux équipes davantage de flexibilité pour personnaliser l'expérience, définir leurs propres scénarios d'intervention et déterminer précisément comment les agents doivent interagir avec les opérations de leur centre d'opérations de sécurité (SOC).

Et bien sûr, ces deux voies ne s'excluent pas mutuellement.

Vous pouvez utiliser les deux en parallèle. En effet, de nombreuses équipes commenceront probablement par exploiter les fonctionnalités d’IA intégrées à la Vectra AI , puis s’essaieront progressivement aux agents locaux à mesure que leur maturité, leurs besoins et leur confiance s’accroîtront. L’important n’est pas de choisir une voie pour toujours, mais de choisir celle qui apporte de la valeur à votre équipe aujourd’hui, tout en laissant la porte ouverte à vos futures orientations.

Pour ces équipes, nous voulions leur proposer plus que de simples diapositives. Nous avons donc lancé un outil pratique !! Une solution clé en main que vous pouvez utiliser DÈS AUJOURD’HUI !

Présentation du kit de démarrage Vectra AI Agent

Dans le cadre de cette présentation, nous avons lancé le Vectra AI Agent Starter, un kit de démarrage open source permettant de créer un agent ou un assistant IA sur la Vectra AI .

Ce dépôt est volontairement succinct : lisez-le, exécutez-le, puis développez-le.

L'objectif est simple : offrir aux équipes de sécurité un point de départ concret pour développer leur propre assistant SOC basé sur l'IA.  

Ce dépôt fournit les éléments essentiels dont un agent a besoin pour fonctionner avec Vectra AI:

  • Un LLM de votre choix, tel que Claude, GPT, Gemini ou un autre modèle via votre hébergeur d'agents préféré.
  • Un serveur MCP qui permet à l’agent d’interagir avec les données de la plateforme Vectra (détection, notation, PCAP, métadonnées, journaux, etc.)
  • Compétences des agents pour les workflows SOC, les recettes SQL, le reporting, la recherche de menaces et le triage des fichiers PCAP. Ces compétences visent tout particulièrement à fournir une expertise dans l'utilisation de la plateforme Vectra !
  • Un fichier AGENTS.md qui explique à l'agent ce qu'il est, quelles sont ses compétences et quand les utiliser. Considérez ce document comme un guide d'intégration destiné à l'agent  

Ce produit n'est pas présenté comme un produit fini. Il s'agit d'un kit de démarrage, conçu pour vous aider à vous lancer !

Faites un fork. Adaptez-le. Ajoutez vos propres guides d'intervention SOC. Apprenez-lui votre politique d'escalade, vos incidents passés, votre vocabulaire, votre architecture, votre format de rapport, votre processus de transfert. Personnalisez-le, et votre agent ne cessera de s'améliorer!

Pourquoi l'avons-nous publié ?

Dans le domaine de la cybersécurité, on est toujours tenté de tout garder secret !! Pas chez nous !

Face à l'essor fulgurant de l'IA, à l'introduction du MCP et à l'émergence de nouvelles normes en matière de flux de travail « agentic », nous avons souhaité adopter une approche différente. Dès le départ, notre objectif a été de veiller à ce que la Vectra AI ne soit pas seulement compatible avec l'IA, mais aussi exploitable par l'IA! Cela signifie qu'elle peut être utilisée de manière sûre et efficace dans le cadre d'un flux de travail piloté par un modèle de langage (LLM).

C'est pourquoi nous avons investi très tôt dans la plateforme MCP. Nous avons été les premiers fournisseurs de solutions NDR à commercialiser des serveurs MCP, et nous avons continué à les développer en tenant compte des retours de nos clients. Cela inclut notamment la prise en charge de fonctionnalités telles que la multi-location et la possibilité d'interroger directement les métadonnées du réseau.

Mais le MCP n'est qu'une partie de l'histoire.

Nous avons également investi dans nos API afin de nous assurer qu’elles prennent en charge les types de questions que les analystes posent réellement au cours d’une enquête. En effet, lorsqu’un analyste cherche à comprendre ce qui s’est passé, quelle entité est concernée, ce qui a changé, quels sont les risques ou quelle devrait être la prochaine étape, la plateforme doit fournir le contexte approprié d’une manière que les agents d’IA puissent exploiter efficacement.

Nous avons donné plus de détails sur certaines de ces recherches dans un précédent article de blog ; nous vous invitons à le consulter pour mieux comprendre notre approche des plateformes de sécurité basées sur l'IA.

C'est aussi pour cette raison qu'avec le « Vectra AI Agent Starter », nous avons souhaité aller encore plus loin.

  • Ne vous contentez pas d'expliquer le concept.
  • Ne vous contentez pas de montrer un schéma d'architecture.
  • Ne vous contentez pas de dire : « Les agents IA arrivent. »

Nous souhaitions proposer aux équipes une méthode pratique, étape par étape, leur permettant de se lancer (en quelques minutes !) avec un agent SOC local — développé, optimisé et testé par nos soins.

Le principe est simple : offrir aux clients et aux professionnels un point de départ sûr. Un outil qu’ils peuvent consulter, exécuter, tester, adapter et développer en fonction de leurs propres processus opérationnels de sécurité (SOC).

Cet article n'avait pas pour but d'être une énième histoire du genre « L'IA sauvera un jour le SOC ». Il était bien plus concret que cela : voici comment vous pouvez commencer à faire des essais en toute sécurité, dès aujourd'hui.

Essayez des suggestions telles que : « priorités Vectra »

L'utilisation des alias inclus dans les Vectra AI permet d'analyser automatiquement la dernière entité priorisée issue de la Vectra AI .

« Voici un avis de la CISA. Recherchez tous les éléments qui y sont mentionnés au sein de notre environnement. »

Ces exemples illustrent parfaitement le type de workflows que nous souhaitions rendre accessibles. En effet, la meilleure façon de comprendre les agents IA n’est pas d’admirer le schéma d’architecture, mais d’exécuter le workflow pour voir où il apporte une aide, où il nécessite des garde-fous et où votre équipe souhaite le personnaliser.

Appel à l'action

L'adoption de l'IA au sein du SOC ne doit pas nécessairement être un choix décisif. Considérez-la plutôt comme un parcours vers la maturité.

Commencez par exploiter les fonctionnalités d'IA déjà intégrées à la Vectra AI . C'est le moyen le plus rapide d'en tirer parti : recherche assistée par l'IA, enquêtes basées sur l'IA, contexte enrichi, hiérarchisation des priorités et conseils directement au sein des flux de travail que les analystes utilisent déjà.

Ensuite, lorsque votre équipe sera prête à aller plus loin dans la personnalisation, étendez les fonctionnalités grâce à des agents locaux en utilisant le Vectra AI Agent Starter. Connectez vos propres outils, programmez vos scénarios d'intervention, ajoutez le contexte spécifique à votre SOC et adaptez l'agent au mode de fonctionnement réel de votre équipe.

Ces étapes ne s'excluent pas mutuellement. De nombreuses équipes ont recours aux deux : l'IA intégrée pour obtenir une valeur ajoutée immédiate, et des agents locaux pour une personnalisation plus poussée au fil du temps.

L'objectif est simple : commencer par des applications concrètes, instaurer la confiance, laisser l'humain aux commandes et accroître l'autonomie à mesure que votre SOC gagne en maturité. Découvrez le kit de démarrage, testez les fonctionnalités d'IA intégrées, envoyez-nous vos commentaires, contribuez au projet open source ou contactez-nous pour une démonstration en direct. Nous sommes là pour vous aider à tirer parti de l'IA dans les opérations de votre SOC dès aujourd'hui.

L'avenir du SOC ne dépendra pas de l'engouement pour l'IA. Il dépendra des défenseurs qui savent comment mettre l'IA à profit.

Foire aux questions