L'IA n'est plus une option pour votre SOC

July 16, 2026
7/16/2026
Gearóid Ó Fearghaíl
Chef de produit principal du groupe
L'IA n'est plus une option pour votre SOC

Vous pouvez me traiter de vieux, mais je me souviens du bon vieux temps du SOC. Tout le monde venait au bureau, les applications tournaient dans le centre de données, et si quelque chose tournait mal, je pouvais toujours me rendre au centre de données et débrancher un appareil. L'organisation courait des risques, mais il existait aussi des contrôles, et on savait que si quelqu'un parvenait à s'introduire, on avait le temps et les moyens de le détecter avant que la compromission ne se transforme en violation. Le bon vieux temps. Mais aujourd'hui, tout est en SaaS ou Cloud, les utilisateurs travaillent à distance, et essayer de bloquer l'accès à quelque chose est bien plus complexe.  

Voici à quoi ressemble l'entreprise moderne. Elle est complexe, couvre de multiples domaines et génère une surface d'attaque hybride plus étendue, qui englobe cloud, le SaaS, les identités, le SASE et l'accès à distance. Les utilisateurs à distance accèdent aux applications cloud SaaS via le SASE, ou se connectent simplement via Entra ID. Quelles en sont les implications pour le SOC ? Une surface d'attaque plus étendue entraîne une augmentation du nombre d'alertes.

Et même si c'est récent, cela me fait me sentir très vieux de penser que l'IA générative n'a que deux ans environ. Les pirates utilisent l'IA pour multiplier leurs actions et attaquer plus rapidement. Ils exploitent des workflows d'IA agentique pour gérer jusqu'à 600 attaques simultanées sur des systèmes compromis et accélérer l'exploitation des CVE. Le délai d’exploitation des CVE rendues publiques est désormais de 8 heures, contre 21 jours en 2025. Une fois infiltrés, les attaquants se déplacent également à la vitesse de l’IA, effectuant des mouvements latéraux à partir des appareils compromis en moins de 29 minutes. À titre de test, des chercheurs en cybersécurité ont simulé la rapidité avec laquelle un attaquant pourrait passer d’une clé AWS divulguée à l’exfiltration cloud à l’aide de Claude Code ; le résultat a été de 60 secondes.  

Cela a modifié la nature du problème auquel est confronté le SOC. Il ne s'agit pas seulement d'un nombre accru d'alertes, ni simplement d'une multiplication des attaques, ni même d'un délai de réaction plus court : ce sont ces trois problèmes combinés ! Les entreprises doivent s'adapter, sous peine de voir leur risque de violation augmenter inexorablement à mesure que les attaquants innovent grâce à l'IA.  

Ce qui doit changer

Les trois axes prioritaires pour les entreprises doivent être les suivants :

  • Réduire le rayon d'action de l'explosion
  • Détection des menaces après une intrusion
  • Réduire le temps moyen de réponse (MTTR)

Rien de tout cela n'est surprenant ni nouveau. Ces éléments prennent simplement davantage d'importance dans le cadre d'attaques basées sur l'IA.  

Réduisez le rayon d'action de votre explosion

Vous devez vous employer activement à réduire la superficie totale susceptible d'être affectée en cas de compromission. Segmentez vos réseaux et mettez en place Zero Trust ». Veillez à ce que les utilisateurs ne disposent que des autorisations dont ils ont besoin, afin que, si un attaquant parvient à s'introduire dans le système, il ne puisse pas aller trop loin.  

Découvrez sur notre blog comment Vectra AI vous offrir une visibilité sur les privilèges observés et les activités transfrontalières.

Détecter les menaces après une intrusion

Vous ne parviendrez jamais à tout corriger. Même les équipes les plus expérimentées ont des appareils non gérés, des systèmes obsolètes, des erreurs de configuration, des comptes dotés de privilèges excessifs et de nouvelles vulnérabilités (CVE) que les attaquants peuvent exploiter plus rapidement que les équipes de sécurité ne peuvent y remédier. La prévention reste importante, mais elle ne peut pas constituer la seule ligne de défense.

Cela signifie que les équipes de sécurité doivent partir du principe que le système a été compromis et améliorer leur capacité à analyser ce qui se passe une fois qu’un attaquant a réussi à s’introduire. C’est là que la détection comportementale des menaces prend toute son importance. Utilisent-ils des identifiants valides ? Se déplacent-ils latéralement ? Franchissent-ils les frontières cloud, des identités, des services SaaS et du réseau ? Accèdent-ils à des systèmes auxquels ils ne devraient pas avoir accès ? Ce sont ces comportements qui comptent lorsqu’un attaquant a déjà contourné les contrôles préventifs.

La détection post-compromission permet d'intercepter les attaquants avant que la compromission ne se transforme en violation de données. Elle offre au SOC un moyen de détecter l'activité réelle des attaquants en cours, d'évaluer l'étendue de la propagation et d'agir avant que la zone d'impact ne s'étende. C'est là tout l'intérêt de Vectra ; je n'entrerai pas dans les détails ici, mais nous proposons de nombreux contenus à ce sujet ailleurs.

Délai de réponse plus court

Il est essentiel de réduire la portée d'une menace et de détecter les menaces après une intrusion, mais aujourd'hui, je vais me concentrer sur la réduction du délai de réaction. Pour que votre réaction face à une activité malveillante soit efficace, elle doit intervenir le plus rapidement possible.

Une grande partie des discussions sur l'efficacité des SOC porte encore sur la détection, mais pour de nombreuses équipes expérimentées, la détection n'est plus l'étape la plus lente de la chaîne d'intervention.  

Prenons l’exemple de Attack Signal Intelligence TDIR et Attack Signal Intelligence Vectra AI. Les détections Vectra AIse déclenchent en quelques minutes à compter du début de l’activité d’un attaquant en temps réel. La hiérarchisation ne pose pas non plus de problème ; nous avons trouvé le juste équilibre entre la prévention des faux positifs et la détection des activités réelles grâce à notre moteur de hiérarchisation basé sur l’IA. Nous nous sommes également spécifiquement concentrés sur la rapidité d’action des attaquants afin de nous assurer de garder une longueur d’avance sur eux. Enfin, les mesures de réponse doivent être intrinsèquement rapides une fois la décision prise. Si vous savez qu’un hôte est malveillant, le fait de cliquer sur quelques boutons pour le contenir ne devrait pas faire partie d’un processus qui prend des heures. Si vous avez besoin de trois validations de la part de la direction avant de prendre une mesure de réponse, vous avez des problèmes bien plus graves.

Non, c'est l'enquête qui constitue le goulot d'étranglement.

C'est à ce stade que l'analyste doit examiner les détections, comprendre la séquence des événements, établir la chronologie de l'attaque, recouper les informations avec le contexte externe, vérifier le contexte interne, évaluer l'ampleur de l'incident, déterminer si le comportement est malveillant ou inoffensif, identifier ce qui doit être isolé, puis générer un rapport ou un résumé de l'escalade compréhensible par d'autres. Ce travail est précieux, mais une part importante consiste également en des tâches répétitives de collecte et de synthèse.

Cette distinction est importante. Il ne s'agit pas de dire que l'enquête est facile, ni que les analystes consacrent du temps à des tâches sans importance. Le problème, c’est que les analystes sont souvent contraints de passer trop de temps à reconstituer le tableau avant de pouvoir exercer leur jugement. Ils copient des informations d’un système à l’autre, vérifient si une adresse IP est connue, recherchent les activités habituelles d’un compte, tentent de comprendre si un privilège observé est significatif, et reconstituent le déroulement d’un incident à partir de fragments dispersés dans plusieurs outils.

La synthèse des données est l'un des atouts majeurs des modèles de langage à grande échelle (LLM), ce qui fait de l'automatisation des enquêtes l'une des opportunités les plus évidentes pour l'IA au sein du SOC.

Mais avant de nous précipiter pour intégrer l'IA à nos processus de travail, prenons le temps de réfléchir à notre situation actuelle et à la direction que nous souhaitons prendre.

Utilisons l'IA

Le cadre présenté ci-dessous correspond à une vision courante de nombreux systèmes d'IA, notamment les voitures autonomes.

Chaque étape implique une intégration croissante de l'IA et une réduction du travail manuel.

Selon Vectra AI menée par Vectra AI , 80 % de nos clients s'efforcent de mettre en place un système au moins partiellement autonome. Cela va de soi, car cela permettra de dynamiser leur centre d'opérations de sécurité (SOC) et de renforcer la sécurité de leur organisation.

Mais à peine 10 % d’entre eux en sont là aujourd’hui, et aucun n’a atteint le niveau 4, c’est-à-dire l’autonomie totale. Cela n’a rien de surprenant : l’IA manque de prudence, et la question de la responsabilité en cas d’erreur reste floue. De plus, les coûts de ces systèmes sont inconnus, et ils reposent sur des données de référence que de nombreuses organisations ont du mal à établir. Les entreprises doivent s’assurer de disposer de contrôles adéquats, tout en anticipant les coûts pour le moment où les entreprises d’IA, comme OpenAI, ne seront plus dans un paradis subventionné par le capital-risque et commenceront à réaliser des bénéfices. Il faut également tenir compte du fait que les données alimentant tout système d’IA doivent être précises et exhaustives. Par exemple, l’absence de signal ne signifie pas nécessairement qu’il ne s’est rien passé (pour en savoir plus sur la manière dont les attaquants peuvent contourner endpoint ), et la plupart du temps, il faut un analyste très expérimenté pour s’en rendre compte.  

Mais personne n’est satisfait de la situation actuelle. L’épuisement professionnel des analystes est avéré. L’IA qu’ils tentent d’utiliser ne fonctionne pas : à l’instar des simples chatbots Copilot, elle tente de répondre sans contexte ni compréhension de l’environnement du client. Souvent, les analystes finissent de toute façon par copier-coller des informations dans une fenêtre distincte. Les réponses générées par l’IA semblent intelligentes, mais cela ne signifie pas pour autant qu’elles soient exactes.  

Comment se rendre à AI

Alors, comment mettre en place un SOC proactif, piloté par l'IA? Nous avons constaté que nos clients envisagent quatre voies principales pour y parvenir.

Choisir cette voie, c'est opter pour un compromis entre simplicité et contrôle. La solution la plus simple consiste à utiliser les outils prêts à l'emploi proposés par les fournisseurs, mais vous vous heurterez à certaines limites. À l'autre extrême, vous pouvez mettre en place un écosystème d'IA entièrement personnalisé.  

Quelle que soit la solution que vous choisissiez, la Vectra AI vous accompagne, que vous accédiez à nos analyses via l'API ou le MCP, que vous utilisiez les agents depuis notre interface utilisateur ou que vous donniez accès à nos agents via l'API ou le MCP. Notre objectif est de vous permettre de devenir facilement un expert dans votre environnement, car Vectra AI l'expert en matière de sécurité native à l'IA.

L'utopie est à portée de main

Si les attaquants peuvent passer de l'accès initial à un impact significatif en quelques minutes, un processus d'investigation s'étalant sur plusieurs heures n'est pas suffisant. Il est impératif de réduire les délais d'intervention et de détecter les compromissions avant qu'elles ne se transforment en violations de données. De meilleurs délais d'intervention ne se traduisent pas seulement par une réduction du risque de violation ; ils permettent également aux analystes d'être plus productifs, de traiter davantage d'alertes en moins de temps et, surtout, d'améliorer le bien-être du centre d'opérations de sécurité (SOC), qui peut ainsi se concentrer sur les éléments les plus pertinents et les plus intéressants, ainsi que sur la prise de décision proprement dite.

L'IA n'est plus une option au sein du SOC, car l'ancien modèle n'est pas adapté à la nouvelle donne. La surface d'attaque est plus vaste, les attaquants agissent plus rapidement, et le travail manuel nécessaire à la compréhension des incidents est devenu un goulot d'étranglement. Les organisations qui réussiront ne seront pas celles qui se contenteront d'ajouter un chatbot à côté de la console. Ce seront celles qui utiliseront l'IA pour repenser le processus d'investigation lui-même, avec rigueur, transparence et un contrôle suffisant pour que les analystes puissent avoir confiance dans les actions du système.

Foire aux questions