Pendant des années, les équipes de sécurité ont dû choisir entre des opérations bon marché, cohérentes ou de haute qualité, mais l’IA nous permet enfin d’avoir les trois à la fois.
Un cadre simple a toujours régi les opérations de sécurité que j’appelle le Triangle SOC. C’est un équilibre entre qualité, cohérence et rentabilité.
Chaque SOC y opère. Faites pression pour des enquêtes de meilleure qualité, une analyse plus approfondie, un contexte plus riche, moins de signaux manqués et vous payez pour cela en temps et en expertise. Standardisez les flux de travail pour garantir la cohérence de chaque alerte, et vous perdez souvent la flexibilité nécessaire pour gérer la complexité et les nuances du monde réel. Optimisez pour la rentabilité, et la pression se manifeste rapidement en termes de qualité et de cohérence.
Pendant des années, le Triangle SOC a façonné la manière dont les équipes de sécurité sont constituées et dont elles fonctionnent. C’est pourquoi les organisations augmentent leurs effectifs pour améliorer les résultats, s’appuient sur des playbooks rigides pour réduire la variabilité et améliorer l’échelle, et ont toujours du mal à fonctionner au mieux de leur forme théorique et à optimiser les résultats en matière de sécurité et de qualité de service.
La contrainte n’est pas un échec de stratégie. C’est structurel. Et jusqu’à récemment, c’était largement inévitable.
Pourquoi le SOC a été construit de cette façon
La plupart des centres d’opérations de sécurité sont conçus comme des systèmes de routage humain. Les alertes sont ingérées, triées, remontées et résolues par des analystes à plusieurs niveaux. Chaque étape significative, y compris la collecte de preuves, la corrélation des signaux et la prise de décisions, dépend des capacités humaines.
Cette dépendance introduit de la variabilité. Deux analystes peuvent aborder la même alerte différemment, influencés par l’expérience, la fatigue et la pression du temps. Pour améliorer la cohérence, les organisations introduisent des playbooks et des flux de travail. Mais ces contrôles réduisent souvent la flexibilité, en particulier dans les cas complexes, et ne parviennent pas à couvrir les cas où la prise de décision repose en partie sur un contexte non structuré et où les flux de travail peuvent ne pas être entièrement déterministes et nécessiter un raisonnement en temps réel pour déterminer le meilleur plan d’action.
Dans le même temps, l’amélioration de la qualité ou de la cohérence nécessite généralement plus de personnel, ce qui réduit la rentabilité.
C’est le Triangle SOC en pratique : un système dans lequel l’amélioration d’une dimension crée des frictions dans une autre.
La même contrainte explique également l’existence du marché de la détection et de la réponse gérées. Lorsque les organisations ne parvenaient pas à résoudre le triangle en interne, elles l’externalisaient. Mais le modèle de service n’élimine pas les compromis. Il les reconstitue au niveau du fournisseur, où la même architecture de routage humain, les mêmes playbooks et les mêmes économies de personnel imposent les mêmes limites. Les clients paient pour la cohérence et la prévisibilité, et ils l’obtiennent. Ce qu’ils n’obtiennent souvent pas, c’est la profondeur d’investigation et la personnalisation de l’environnement adaptées à leur contexte commercial et à l’optimisation par rapport aux objectifs de maturité de leur programme de sécurité qu’ils souhaiteraient si les ressources n’étaient pas la contrainte contraignante.
Là où le modèle commence à se briser
Le défi ne réside pas seulement dans l’existence de compromis, mais dans leur intensité croissante.
Les SOC modernes doivent traiter des volumes plus élevés d’alertes sur davantage d’outils et d’environnements. Le travail lui-même, qui consiste à rassembler et à corréler les preuves sur les systèmes d’identité, les points finaux, les plateformes cloud et les renseignements sur les menaces, est à la fois répétitif et exigeant sur le plan cognitif.
Sous cette pression, le triangle se resserre.
La qualité se dégrade parce que les analystes n’ont pas le temps d’étudier pleinement chaque signal et que les manuels d’automatisation rigides ne parviennent souvent pas à capturer la profondeur et les nuances attendues par les responsables de la sécurité, ce qui entraîne des frictions accrues pour les utilisateurs finaux. La cohérence en souffre parce que les décisions sont prises dans des délais serrés. Les coûts augmentent parce que la seule façon de compenser est d’embaucher davantage de personnes ou d’accepter un risque accru.
Cela touche plus durement les organisations qui ont externalisé les opérations SOC. L’économie des services fixe les compromis. La tarification par alerte limite le degré d’investigation que chaque signal reçoit. Les playbooks standardisés limitent la mesure dans laquelle le service peut s’adapter à un environnement spécifique. Les structures à niveaux existent parce que les calculs des humains enquêtant sur les alertes l’exigent. Chacun de ces mécanismes est une réponse rationnelle au triangle. Aucun d’eux ne change sa forme et ses contraintes fondamentales.
Pendant des années, cela a été accepté comme le coût de l’activité commerciale, que cette activité soit gérée en interne ou sous-traitée.
Comment l’IA change la contrainte
L’IA est souvent présentée comme un outil d’efficacité. Le changement le plus significatif est qu’il modifie la façon dont certains flux de travail SOC sont exécutés.
Une grande partie du travail SOC suit un modèle : collecter des données, corréler les signaux, poser des questions de suivi et tirer une conclusion. Ces flux de travail sont complexes mais reproductibles. Ils nécessitent autant de cohérence et d’évolutivité que d’expertise.
Lorsque ces flux de travail ne sont plus limités par la bande passante humaine, le triangle SOC commence à changer de forme.
La qualité s’améliore car les enquêtes peuvent intégrer des données plus significatives, appliquer le raisonnement d’enquête en temps réel et prendre en compte les informations non structurées et le contexte spécifique à l’entreprise sans raccourcis. La cohérence s’améliore car la même logique est appliquée à chaque alerte. La rentabilité s’améliore car la mise à l’échelle ne dépend plus d’une augmentation linéaire des effectifs.
Je regarde cela se dérouler dans les environnements de production aujourd’hui. Les enquêtes qui consommaient auparavant la majorité des équipes d’analystes de niveaux 1 et 2 se résolvent désormais en quelques minutes, avec un contexte plus profond que celui que le cheminement humain pourrait produire dans ces délais. La même rigueur est appliquée à chaque alerte, pas seulement à celles anecdotiques qui retiennent l’attention. Ce qui était autrefois un choix entre approfondir quelques cas ou s’en occuper superficiellement n’est plus un compromis que les responsables de la sécurité doivent faire.
Pour la première fois, ces dimensions ne sont pas strictement opposées.
Des compromis à l’expansion
Cela n’élimine pas le triangle SOC. Cela l’agrandit.
Tous les flux de travail ne peuvent pas être automatisés et toutes les décisions ne peuvent pas être réduites à un processus reproductible. Le jugement stratégique, la gestion des incidents et l’appétit pour le risque restent des responsabilités humaines et des décisions commerciales.
Mais les limites dans lesquelles les équipes SOC opèrent ne sont plus liées aux contraintes héritées.
Au lieu de choisir entre qualité, cohérence et coût, les organisations peuvent commencer à améliorer les trois pour les types de travail les mieux adaptés à l’exécution machine. Il s’agit d’un changement significatif, qu’il se produise au sein du SOC d’une entreprise ou dans la relation de service avec un partenaire qui l’exploite.
Là où ça compte le plus
L’impact est plus visible dans les flux de travail à volume élevé, où les écarts de performances sont les plus importants : tri et enrichissement des alertes, enquête initiale et collecte de preuves, corrélation entre les systèmes et recommandations de réponse de routine. Ce sont les domaines dans lesquels les processus humains introduisent le plus de variabilité, où la pression du temps dégrade la qualité et où l’augmentation des coûts est la plus visible. Ce sont également des domaines dans lesquels les compromis ont toujours été inévitables.
Le rôle humain évolue
L’IA ne supprime pas le besoin d’expertise humaine. Cela change là où cette expertise est appliquée.
À mesure que les machines effectuent un travail reproductible, les efforts humains se déplacent vers des activités à plus forte valeur ajoutée : interpréter des signaux ambigus, gérer des incidents complexes, définir des politiques et prendre des décisions basées sur les risques. Le modèle opérationnel passe des flux de travail exécutés par l’homme aux systèmes gouvernés par l’homme.
Cela change ce que les organisations doivent attendre des opérations de sécurité, qu’elles soient internes ou externalisées. La conversation passe de « combien d’alertes avez-vous fermées la semaine dernière » à « quels modèles voyez-vous dans mon environnement et que dois-je faire à leur sujet ». Le résultat est un jugement, pas un débit. Il s’agit d’un produit différent de celui que la plupart des équipes de sécurité achètent, et d’un service différent de celui vendu par la plupart des fournisseurs de services de détection et de réponse gérés.
Le changement qui compte
Depuis des années, les dirigeants du SOC acceptent le triangle comme une contrainte fixe. Ce qui change désormais, ce n’est pas seulement l’outillage. Il s’agit de l’aspect économique de la manière dont le travail de sécurité est effectué.
Le triangle existe toujours. Mais il ne définit plus un ensemble rigide de compromis. Dans certaines parties du SOC et des services qui le soutiennent, ces compromis commencent à se relâcher.
Dans un domaine où les contraintes ont longtemps dicté les résultats, ce changement est important.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
