Bien que l’on parle beaucoup du rôle des analystes débutants, les RSSI devraient également se concentrer sur la gouvernance, les playbooks et bien plus encore pour garantir que le SOC et l’équipe sont prêts pour l’IA.
Selon IDC, l’IA agentique est en passe de devenir une infrastructure grand public. Le cabinet d’analyse s’attend à ce que 45 % des organisations disposent d’agents autonomes opérant à grande échelle dans les fonctions commerciales critiques d’ici 2030. Dans les SOC d’entreprise, l’IA remodèle déjà des fonctions telles que le tri des alertes, l’enrichissement, la corrélation des données, la validation IOC et le confinement initial. Il pourrait bientôt gravir les échelons pour assumer des tâches plus complexes telles que l’enquête sur les incidents, l’analyse des causes profondes et la réponse.
« L’IA agit comme un multiplicateur de force au sein du SOC », déclare Nicole Carignan, vice-présidente principale, sécurité et stratégie d’IA chez Darktrace. Mais pour exploiter cette promesse, les organisations devront investir dès maintenant dans la requalification des analystes, la refonte des processus, la création de nouveaux rôles techniques et l’établissement de garde-fous et de cadres de gouvernance pour garantir que les agents d’IA autonomes fonctionnent en toute sécurité. « Il ne suffit pas de simplement déployer une solution d’IA. Les praticiens de la sécurité doivent comprendre comment fonctionnent les techniques d’apprentissage automatique sous-jacentes, quelles sont leurs forces et leurs limites, et comment évaluer leurs résultats », explique Carignan. « Sans explicabilité et confiance, les risques liés à l’IA exacerbent la fatigue des alertes au lieu de la résoudre. »
Voici ce que les responsables de la sécurité doivent savoir – et faire – pour préparer leurs SOC à l’ère de l’IA agentique.
Requalifiez les analystes pour devenir des collaborateurs et des superviseurs de l’IA
De plus en plus, les rôles humains au sein du SOC passeront de l’exécution pratique à la supervision, à la gouvernance, à la conception et à la surveillance. À mesure que les agents d’IA assument davantage de tâches opérationnelles, les analystes devront se concentrer sur la gestion des systèmes d’IA, l’interprétation des résultats et la résolution des défis nuancés que les machines ne peuvent pas relever, explique Casey Ellis, fondateur de Bugcrowd. « Les emplois ne disparaîtront pas, ils s’adapteront. La clé est de s’assurer que les professionnels du SOC sont préparés à ce changement grâce à une éducation, une formation et des outils continus. »
Rares sont ceux qui s’attendent à ce que la transition se produise de manière organique ou sans friction. De nombreux dirigeants de SOC devront requalifier le personnel existant pour gérer efficacement l’IA ; interroger le raisonnement de l’IA ; enrichir les enquêtes avec un aperçu contextuel ; et appliquer une analyse humaine éclairée aux résultats basés sur l’IA.
Lorsqu’ils agissent sur la recommandation d’un outil d’IA, les analystes doivent comprendre quelles questions l’agent a posées, quelles sources de données il a interrogées et quelles preuves ont éclairé leur décision, selon Dov Yoran, co-fondateur et PDG de Command Zero. À partir de là, ils doivent pouvoir basculer vers des sources de données supplémentaires, rechercher de nouveaux artefacts et prolonger le calendrier de l’enquête si nécessaire. « Les analystes débutants qui ne savent peut-être pas comment démarrer une enquête à partir de zéro peuvent devenir efficaces en apprenant à étendre et à affiner ce que l’agent a produit », explique Yoran. « Il s’agit d’un ensemble de compétences différent du travail SOC traditionnel et, à bien des égards, plus accessible. »
Dans le SOC du futur, les analystes doivent également agir en tant qu’examinateurs contradictoires des conclusions tirées de l’IA. En effet, les systèmes d’IA peuvent introduire des hallucinations, des biais dans les données d’entraînement et d’autres vulnérabilités tout en étant vulnérables aux manipulations adverses. Les analystes doivent reconnaître ces risques pour garantir que les décisions restent fondées et défendables, déclare Ensar Seker, RSSI chez SOCRadar. « Les analystes doivent moins être formés à appuyer sur des boutons qu’à examiner de manière contradictoire les résultats de l’IA. Cela signifie comprendre comment les modèles raisonnent, où ils échouent, comment les biais et les lacunes des données apparaissent, et comment interroger les niveaux de confiance et les hypothèses. L’objectif n’est pas de « faire confiance plus rapidement à l’IA », mais de développer l’instinct de se demander : qu’est-ce qui rendrait cette conclusion fausse ? » dit Seker.
Les analystes joueront également un rôle essentiel en intégrant le contexte spécifique à l’organisation dans les flux de travail basés sur l’IA. Sans ce contexte, les agents risquent de rater des menaces, d’amplifier le bruit ou de déclencher des actions risquées sur la base d’informations incomplètes. Les dirigeants des SOC doivent se rappeler que « les agents IA ne sont aussi intelligents que le contexte auquel ils ont accès », explique Yoran. Les analystes doivent apprendre à annoter les identités, à maintenir des listes de surveillance, à documenter les modèles récurrents de faux positifs et à créer des couches d’enrichissement qui renforcent les enquêtes futures, a-t-il déclaré : « Il s’agit d’un travail de connaissances, pas de données. »
En fin de compte, l’objectif n’est pas de surpasser l’IA, mais de faire mieux là où l’IA échoue. Par exemple, « acceptez que le tri autonome des alertes devienne un enjeu de table », déclare Yoran. « Vos processus doivent passer de « comment trier chaque alerte » à « comment gérer les escalades issues d’enquêtes autonomes ».
Développer des capacités pour la gouvernance, le contenu et la qualité de l’IA
Améliorer les compétences des analystes existants ne suffit pas. À mesure que les agents d’IA commencent à opérer sur plusieurs outils, à prendre des décisions et à déclencher des actions avec une implication humaine minimale, les exigences imposées au SOC s’étendront bien au-delà des capacités traditionnelles des analystes, affirment les experts.
L’ingénierie de contenu, par exemple, est une exigence émergente. Dans un SOC compatible avec l’IA, les ingénieurs de détection n’écriront plus uniquement des règles statiques. Ils doivent concevoir du contenu dynamique tel que des questions, des invites et des modèles d’enquête que les agents peuvent utiliser pour raisonner, enrichir les données, corréler les signaux et agir de manière autonome. Ces ingénieurs de contenu organisent les entrées structurées qui alimentent les agents, notamment la télémétrie, les modèles de menaces et les playbooks.
« Il s’agit du rôle le plus sous-estimé dans les opérations de sécurité basées sur l’IA », note Yoran. « Ce sont des personnes qui construisent et entretiennent les questions que les agents peuvent poser, les plans d’enquête qui guident le travail autonome et les bases de connaissances qui fournissent le contexte ». Les organisations ont besoin de quelqu’un capable de traduire la logique de détection de leur SIEM, d’importer les meilleures pratiques de frameworks tels que MITRE ATT&CK et d’encoder les connaissances institutionnelles dans la plateforme. « Il ne s’agit pas d’une ingénierie de sécurité traditionnelle, mais plutôt d’une gestion des connaissances combinée à des renseignements sur les menaces », dit-il.
Les SOC matures nécessiteront également une appropriation claire de la gouvernance de l’IA et de la surveillance des agents. Cela inclut des rôles qui supervisent l’évaluation des risques du modèle, la gestion des invites et des politiques, la validation continue des performances et même l’équipe rouge des agents eux-mêmes, explique Seker. « Vous n’avez pas besoin d’une nouvelle équipe massive, mais vous avez besoin d’une responsabilité claire sur la manière dont les décisions autonomes sont prises, testées et contraintes. »
Un autre besoin émergent concerne les analystes possédant une grande maîtrise de la gestion des données. Un SOC basé sur l’IA nécessitera des professionnels qui comprennent comment les informations doivent être classées, protégées, normalisées et surveillées pour garantir des conclusions fiables. « Alors que 64 % des organisations prévoient d’ajouter des solutions basées sur l’IA à leur pile de sécurité au cours de la prochaine année, il est essentiel que les professionnels acquièrent des compétences transversales en matière d’IA », déclare Carignan. « Les professionnels de la cybersécurité doivent maîtriser l’IA et les données, développant une compréhension plus approfondie de la classification des données, de la gouvernance et du comportement des modèles. » Les compétences croisées en science des données, en apprentissage automatique et en cybersécurité permettent aux analystes d’évaluer de manière critique les résultats de l’IA, d’ajuster les modèles pour les cas d’utilisation de sécurité et d’adapter les défenses à mesure que les menaces évoluent, ce qui les rend indispensables dans un SOC augmenté par l’IA.
Frank Dickson, analyste chez IDC, a exhorté les organisations à considérer cette capacité comme similaire au rôle d’un architecte de données. « La clé pour tirer parti de l’IA est de placer les données dans un endroit où vous pouvez y accéder, de les formater de manière homogène afin que vous puissiez les analyser, puis gérer les données », explique-t-il. « Le succès de votre initiative d’IA sera lié à l’efficacité de votre capacité à obtenir des données. Un architecte de données gère cela. »
Dickson a également souligné la nécessité d’un rôle d’« ingénieur de plate-forme d’orchestration » chargé d’assurer une communication efficace et une intégration des flux de travail entre les outils de sécurité. Le SOC du futur ne reposera pas sur une plate-forme unique mais sur un écosystème interconnecté de SIEM, EDR, SOAR, identité, cloud et autres systèmes qui doivent fonctionner de concert pour prendre en charge les enquêtes et l’automatisation agents basées sur l’IA, explique Dickson. Une expertise dédiée en orchestration deviendra essentielle pour maintenir des flux de données fiables et une logique d’automatisation dans un tel environnement, a-t-il noté.
Repenser les processus et les playbooks SOC si nécessaire
Les organisations devront revoir et retravailler les processus et les playbooks SOC pour garantir que leur SOC augmenté par l’IA est cohérent, efficace et en apprentissage continu. Yoran recommande aux dirigeants du SOC de se concentrer sur la codification des connaissances institutionnelles en questions et plans accessibles aux agents d’IA. Traduisez les playbooks en plans d’enquête que les agents d’IA peuvent suivre de manière reproductible. Dans les situations où un agent pourrait se heurter à un mur, mettez en place des processus pour un transfert en douceur vers un analyste humain et créez des boucles de rétroaction pour une amélioration continue, ajoute Yoran.
« Les playbooks doivent passer de procédures humaines étape par étape à des garde-fous basés sur l’intention », souligne Seker. « Au lieu de dire aux analystes comment enquêter, définissez quels résultats sont autorisés, quelles actions sont interdites et quand l’approbation humaine est obligatoire. ». L’objectif n’est pas de microgérer chaque alerte, mais de supposer que les agents d’IA opèrent en continu sur tous les outils, les humains supervisant uniquement les exceptions, les cas extrêmes et les décisions stratégiques.
Les SOC doivent également repenser les mesures, la responsabilité et la documentation au sein du SOC. Les indicateurs de performance traditionnels, tels que les taux de clôture des tickets ou le délai moyen de résolution, devront peut-être être élargis pour inclure la précision du modèle, la qualité des escalades et l’efficacité des actions de confinement automatisées. « La plus grosse erreur est d’optimiser les mesures de vitesse plutôt que la qualité de l’enquête », explique Yoran. « Je constate cela constamment : les fournisseurs promettent un délai de résolution 90 % plus rapide ou réduisent la charge de travail de niveau un de 80 % ou ferment les alertes en quelques secondes au lieu de plusieurs heures. Ces mesures, bien que séduisantes, sont dangereuses », prévient-il. « Commettre la même erreur plus rapidement ne profite à personne. Une enquête incomplète qui se termine en deux minutes ne vaut pas mieux qu’une enquête approfondie qui prend 30 minutes. «
L’auditabilité devient également critique. Toutes les décisions basées sur l’IA doivent être traçables, explicables et révisables à la fois du point de vue de la gouvernance interne et du point de vue des exigences de conformité externes. « Si vous ne pouvez pas expliquer pourquoi une IA a pris une mesure à un auditeur, un régulateur ou un dirigeant, elle ne devrait pas être autorisée à prendre cette mesure. L’explicabilité n’est pas une chose agréable ; c’est une condition préalable à l’autonomie », déclare Seker.
Mettre en œuvre les garde-fous et les principes de l’IA
Les garde-fous formels et les principes de fonctionnement vont être essentiels dans les SOC où les agents d’IA influencent les décisions, lancent des réponses et aident à prioriser les menaces. Cela signifie fixer des limites définies autour de l’accès aux données et du comportement des modèles, disposer de processus pour valider les réponses et s’assurer que les humains restent au courant de toutes les décisions à fort impact.
Les domaines d’intervention doivent inclure les seuils d’approbation pour les actions autonomes, la détermination des actions autorisées et non autorisées pour un agent, la protection contre les attaques par injection rapide, les tests et la coordination des flux de travail agents et la garantie que les politiques IR sont mises à jour pour les actions basées sur l’IA. « Exigez des pistes de décision transparentes, une limitation du débit, le moindre privilège et une dérogation instantanée », conseille Seker. « Les limites strictes en matière de portée d’action, de rayon d’explosion et de privilèges ne sont pas négociables. Les agents doivent opérer sous des identités de moindre privilège, avec des coupe-circuit explicites, des limites de contrôle des changements et une conscience de l’environnement. La clé est de garantir que l’IA ne soit jamais autorisée à élever silencieusement sa propre autorité ou à modifier les garde-fous sans l’approbation humaine. «
L’analyste d’IDC, Dickson, a souligné l’identité et l’accès comme deux autres domaines sur lesquels se concentrer au moyen de garde-fous et de politiques. « Dans le passé, lorsque nous accordions l’accès aux humains, nous surapprovisionnions souvent par défaut. Cette approche ne fonctionne pas avec les agents. Avec l’IA agentique, les autorisations doivent démarrer au moins avec les privilèges, définis précisément dès le premier jour. »
L’accent devrait être mis sur l’absence de privilèges permanents, la mise en œuvre d’une autorisation dynamique et l’établissement de définitions claires des rôles, explique Dickson. « L’IA agentique est extrêmement puissante. Limiter correctement l’accès n’est pas négociable. »
