Les tâches de triage des alertes et d’enquête de base des analystes de niveau 1 disparaissent, mais d’autres rôles vont exploser. Voici les meilleurs candidats, que vous souhaitiez remodeler votre carrière ou perfectionner votre SOC.
Depuis des années, nous entendons la prédiction effrayante selon laquelle l’IA va supprimer des emplois. Ce sera le cas, et c’est déjà le cas, mais cela ne signifie pas que cela ne créera pas également de nouveaux emplois et de nouvelles demandes de compétences – comme toute autre tendance du travail entraînée par les progrès technologiques.
Prenons par exemple les opérations de sécurité. Historiquement, les centres d’opérations de sécurité (SOC) étaient construits sur un modèle d’analyste à trois niveaux. Les analystes de niveau 1 étaient du personnel junior, payé pour surveiller l’activité et trier les alertes. Leur travail était souvent décrit comme « les yeux dans le verre » alors qu’ils essayaient de découvrir des signaux parmi le bruit. Des analystes de niveau 2 se sont spécialisés dans l’enquête sur les alertes (beaucoup d’entre elles) qui semblaient louches à l’équipage de niveau 1. Lorsque quelque chose était vraiment suspect ou malveillant, ils prenaient des mesures correctives ou travaillaient avec les équipes informatiques et autres pour répondre aux incidents. Enfin, les analystes de niveau 3 étaient les plus expérimentés et se concentraient généralement sur la recherche et l’ingénierie des menaces. Au-delà de la chasse, ces gourous ont mené des enquêtes médico-légales approfondies, des réglages de contrôle et des techniques de détection.
Avance rapide jusqu’en 2026 et l’AI-SOC (ou le SOC agentique, le SOC autonome, l’AI-SOC augmenté par l’homme, etc.) est non seulement là mais mûrit également rapidement. Au dernier décompte, plus de 120 fournisseurs prétendent participer à ce marché.
À l’heure actuelle, les capacités AI-SOC se concentrent sur le triage autonome des alertes et les enquêtes de base. Lorsque quelque chose ne va pas (une connexion suspecte, une alerte EDR, etc.), les agents appellent des outils disparates pour enrichir l’alerte, créer une chronologie des activités, produire un score de confiance et même suggérer des mesures correctives. Cela me semble être un analyste de niveau 1 efficace.
Dans un avenir proche, les AI-SOC se plongeront dans les tâches d’analyste de niveau 2 avec une remédiation automatisée. De plus, les essaims d’agents auront des rôles spécialisés en matière de détection, d’enquête, de correction et même de réglage du système. Certains fournisseurs proposent également des agents pour la chasse aux menaces et la gestion continue de la posture.
Il reste encore beaucoup à faire en matière d’innovation, de développement et de tests en conditions réelles, mais il est clair que les agents effectueront de plus en plus le gros du travail. Alors, où cela laisse-t-il les humains ? Voici quelques postes pour lesquels des compétences professionnelles en cybersécurité seront nécessaires et très demandées.
Ingénieur de données de sécurité
Les agents d’IA ne peuvent apporter de la valeur que s’ils ont un accès continu aux bonnes données. Cela nécessite d’aller au-delà des analyseurs SIEM de base et des connecteurs API. Les ingénieurs de données de sécurité doivent connaître les tenants et les aboutissants de toutes les données : renseignements sur les menaces, gestion des identités et des accès (IAM), journaux cloud, télémétrie des points finaux/réseaux/applications, contexte commercial, modèles d’accès tiers, etc.
Toutes ces données doivent s’intégrer dans des couches de données unifiées prenant en charge l’ingestion multimodale. Cela nécessite de gérer des pipelines de données massifs pour garantir une journalisation riche en contexte, normalisée et haute fidélité à partir d’un pot-pourri d’actifs, d’infrastructures cloud, d’applications SaaS et de fournisseurs d’identité.
Idéalement, les ingénieurs en données de sécurité transformeront le format de données et le désordre des API actuels en couches de données cohérentes en utilisant des normes telles que l’Open Cybersecurity Schema Framework (OCSF).
Orchestrateurs d’agents de sécurité IA
Alors que les solutions basées sur les agents prolifèrent en essaims, quelqu’un doit jouer le rôle de chef d’orchestre. Cela implique de comprendre comment reconstituer des systèmes multi-agents tout en définissant des limites et des garde-fous, en établissant la persistance de la mémoire et en déterminant quels agents peuvent entreprendre des actions autonomes et quelles activités nécessitent toujours un humain dans la boucle.
Outre les compétences techniques des agents, les orchestrateurs d’agents de sécurité IA auront besoin d’une compréhension approfondie des applications et des flux de travail d’IA centrés sur l’entreprise, ainsi que de la manière dont tout cela est lié aux dernières informations sur les menaces.
Entraîneurs de modèles d’IA
Plutôt que de « le définir et de l’oublier », les modèles d’IA pour les opérations de sécurité exigent une mise à jour continue et un contexte spécifique pour chaque organisation en fonction des menaces, du secteur et des processus métier.
Les formateurs de modèles d’IA doivent maîtriser la génération augmentée par récupération (RAG) pour mettre à jour les modèles avec des renseignements sur les menaces locales, des cartes de criticité des actifs, de nouvelles identités et des changements d’architecture de réseau interne. Les formateurs doivent également être des experts dans l’optimisation des ensembles de données pour garantir des résultats précis et optimisés.
Chasseurs de menaces augmentés par l’IA
Avec les agents d’IA à la remorque, la chasse aux menaces évolue d’une activité sporadique à une activité continue. Cela signifie aller au-delà des déclencheurs de mise à jour des renseignements sur les cybermenaces (CTI), tels que les nouveaux indicateurs de compromission (IoC), pour se concentrer sur les connaissances comportementales de l’adversaire sur l’ensemble des campagnes et des TTP (dans l’ensemble du cadre MITRE ATT&CK).
Dans un avenir proche, les agents effectueront le travail de base tandis que les chasseurs de menaces assistés par l’IA utiliseront leur expérience pour proposer des scénarios d’attaque très sophistiqués, créatifs et complexes qui manqueront probablement à la logique de détection standard. Les chasseurs utilisent ensuite l’IA pour écrire instantanément des requêtes complexes sur des ensembles de données volumineux. Le but ? Recherchez les intentions de l’adversaire (exfiltration de données sensibles, chiffrement de données, etc.) plutôt que les opérations commerciales faciles de l’adversaire telles que les hachages de fichiers ou les IoC.
Testeur de red teaming/pénétration expert en IA
À mesure que l’IA se propage à travers l’entreprise, les applications SaaS et les tiers, les organisations auront besoin d’une nouvelle génération d’équipes rouges pour découvrir les faiblesses et les lacunes de l’infrastructure et des applications d’IA d’entreprise tout au long de la chaîne d’approvisionnement logicielle.
Pour y parvenir, les équipes rouges et les testeurs d’intrusion experts en IA doivent posséder les compétences et les connaissances nécessaires pour contourner les nouveaux types de défenses de sécurité basées sur l’IA. Une fois les contrôles de sécurité dépassés, les équipes rouges et les tests d’intrusion attaquent les déploiements d’IA internes d’une entreprise, en testant des éléments tels que l’empoisonnement des données, les vulnérabilités d’injection rapide et l’accès non autorisé aux magasins de données sous-jacents utilisés pour créer et affiner divers modèles d’IA.
Comme le dit le proverbe : « L’IA ne prendra pas votre travail, mais quelqu’un qui sait comment l’utiliser à son avantage le fera. » Les professionnels de la cybersécurité qui suivent cette logique, investissent dans leurs compétences et occupent des emplois comme ceux décrits ci-dessus s’épanouiront professionnellement, prospéreront économiquement et seront extrêmement précieux pour leur organisation.
