L’IA ne prend pas le contrôle du SOC ; cela transforme les analystes en « gestionnaires d’agents » qui supervisent les enquêtes automatisées au lieu de se laisser entraîner dans un tri d’alertes répétitif.
Tous les analystes SOC l’ont déjà entendu : « L’IA arrive pour votre travail ».
Je l’entends dans les conversations avec les équipes SOC. Je le vois dans les hésitations lors des évaluations. Et de plus en plus, je le ressens comme une source de résistance – en particulier de la part de ceux-là mêmes que l’IA est censée aider.
Mais la réalité est tout le contraire.
Au lieu d’éliminer le rôle d’analyste de niveau 1, l’IA l’élève – d’un travail défini par des tâches répétitives à un travail défini par le jugement, la surveillance et la prise de décision. En bref, cela les rend plus puissants en tant que commandants du SOC.
Le travail n’a jamais été le but
Pour comprendre ce qui change, nous devons être honnêtes sur le rôle historique des analystes de niveau 1.
Dans un SOC typique, un analyste de niveau 1 peut consacrer 20 à 30 minutes à enquêter sur une seule alerte de phishing, en passant en revue les journaux de courrier électronique, les données des points finaux et les outils de veille sur les menaces, en validant les signaux et en documentant les résultats. C’est un travail nécessaire, mais aussi très répétitif et chronophage.
Les opérations de sécurité modernes génèrent plus de données que ce que les humains peuvent raisonnablement traiter. L’enquête sur une seule alerte nécessite souvent de passer d’un système d’identité à l’autre, à la télémétrie des points finaux, aux journaux cloud et aux sources de renseignements sur les menaces. Multipliez cela par des centaines ou des milliers d’alertes par jour, et vous obtenez une charge de travail fondamentalement mal adaptée aux capacités humaines.
Plus important encore, les analystes SOC sont trop talentueux pour ce type de travail non humain. Pendant des années, nous avons accepté cela comme le prix à payer pour faire des affaires. L’IA change cette équation.
De la réalisation du travail à sa direction
Ce que l’IA agentique introduit dans le SOC, c’est la possibilité de déléguer.
Au lieu que les analystes collectent manuellement des preuves et assemblent le contexte, les agents d’IA peuvent désormais exécuter de manière autonome des étapes d’enquête : interroger les systèmes, corréler les signaux et créer des chaînes de preuves en temps réel. Cela ne supprime pas l’humain du processus. Cela les élève en son sein.
Le modèle émergent est celui dans lequel les analystes gèrent un système d’agents – chacun étant responsable d’une partie de l’enquête – plutôt que d’effectuer eux-mêmes chaque étape. Le rôle humain passe d’opérateur à orchestrateur.
Ce que j’entends constamment de la part des responsables de la sécurité n’est pas : « J’ai besoin que mes analystes agissent plus rapidement ». C’est : « J’ai besoin que mes analystes arrêtent de collecter des données et commencent à prendre des décisions en fonction de celles-ci. » Ce sont des problèmes fondamentalement différents. Et l’écart entre eux est celui où l’IA crée le plus de valeur.
L’essor du « manager d’agents »
C’est là que le rôle de niveau 1 évolue – et non disparaît.
Dans ce nouveau modèle, les analystes débutants gèrent efficacement un essaim d’agents IA. Ils sont chargés d’examiner les enquêtes, de valider les conclusions et de garantir que les actions correspondent au contexte commercial et à la tolérance au risque.
Ils ne sont pas « au courant » de chaque étape. Ils sont « au courant » : ils supervisent les résultats plutôt que d’exécuter les tâches.
Lorsque les analystes sont obligés de rester au courant – en vérifiant chaque enrichissement, chaque requête, chaque étape intermédiaire – ils deviennent un goulot d’étranglement. Lorsqu’ils évoluent dans la boucle, ils peuvent opérer à grande échelle, examinant des dizaines ou des centaines d’enquêtes avec le niveau de surveillance approprié.
C’est ainsi que se construit la confiance dans l’IA : non pas en demandant aux humains de tout vérifier, mais en leur donnant la visibilité nécessaire pour tout vérifier.
La transparence devient le plan de contrôle. Les analystes peuvent voir exactement ce que l’IA a fait, comment elle est parvenue à une conclusion et où existe l’incertitude. Au fil du temps, comme le prouve l’exactitude, ils augmentent naturellement leur niveau de confiance, tout comme ils le feraient avec un nouveau collègue rejoignant l’équipe.
Pourquoi la cybersécurité est différente
La crainte d’une suppression d’emploi est compréhensible. Dans de nombreux secteurs, l’IA réduit le besoin de postes de débutant. La cybersécurité est l’un des rares domaines dans lesquels l’IA ne réduira pas le travail. Cela montrera combien de travail nous avons été incapables de faire.
Le volume et la complexité des menaces augmentent plus rapidement que les équipes ne peuvent évoluer. Les attaquants utilisent déjà l’IA pour automatiser la reconnaissance, générer du code et accélérer l’exploitation. Les défenseurs n’ont pas la possibilité de rester à l’écart.
La chasse aux menaces, l’ingénierie de détection et l’optimisation des contrôles ont toujours manqué de ressources, car les équipes étaient occupées par le tri des alertes. Lorsque l’IA supprime ce fardeau, elle crée la capacité indispensable pour que les analystes puissent faire ce pour quoi ils ont été formés. Le travail ne diminue pas. Le bon travail est enfin fait.
Une nouvelle base de référence pour les talents débutants
Ce changement change également ce que nous attendons des analystes débutants.
Historiquement, les rôles de niveau 1 étaient conçus comme des lieux où les analystes apprenaient en effectuant des tâches répétitives. Ce modèle n’a plus de sens lorsque ces tâches peuvent être automatisées.
L’objectif principal est de comprendre le fonctionnement des systèmes d’IA : interpréter leurs résultats, remettre en question leur raisonnement et guider leur comportement. Les compétences centrées sur l’humain deviennent plus importantes, et non moins. Curiosité, pensée critique et capacité à relier des signaux disparates en un récit cohérent : tels sont les différenciateurs d’un SOC piloté par l’IA.
Nous voyons déjà des organisations repenser la façon dont elles recrutent pour ces postes. L’accent est moins mis sur les diplômes et davantage sur la façon dont quelqu’un réfléchit et résout les problèmes. Lorsque l’IA gère la mécanique, le jugement est la clé.
Bâtir une confiance qui tient
Si l’avenir est si clair, pourquoi y a-t-il de la résistance ? Dans la plupart des cas, il s’agit de confiance – et la confiance doit être gagnée et non assumée.
Les déploiements que j’ai vu échouer partagent un modèle commun : les organisations traitent l’IA comme un passage binaire de l’absence d’automatisation à une autonomie totale. Ce n’est pas ainsi que fonctionnent les équipes de sécurité, et ce n’est pas ainsi qu’on devrait leur demander de travailler.
Ce qui fonctionne, c’est une progression. Commencez par des cas d’utilisation limités et fiables. Assurer une transparence totale sur la manière dont le système parvient à ses conclusions. Laissez les analystes valider les résultats avant d’élargir la portée. Et surtout, mettez les pratiquants dans la pièce. Il ne s’agit pas de consultants en implémentation ou de chefs de projet, mais de personnes qui ont dirigé des changements SOC, trié des milliers d’alertes et gagné en crédibilité à leurs dépens.
C’est pourquoi, lors de notre déploiement, nous faisons travailler d’anciens responsables SOC, des chasseurs de menaces et des ingénieurs en détection directement aux côtés des équipes d’analystes. Ils ne sont pas là pour configurer le logiciel. Ils sont là pour renforcer la confiance dans le système, car ils ont déjà gagné la confiance des personnes qui l’utilisent. Lorsque les analystes constatent que les personnes qui les aident à déployer cette technologie ont vécu la même situation, la conversation change. Cela cesse d’être « est-ce que cela me remplacera » et commence à être « comment puis-je bien utiliser cela ».
Ce changement d’orientation – de la menace à l’outil – est ce qui différencie un déploiement réussi d’un déploiement qui stagne.
Le manque de confiance n’est pas un problème technologique. C’est un humain. Et cela se ferme de la même manière que la confiance se ferme toujours : grâce à une compétence démontrée, un contexte et du temps partagés.
Le futur SOC est dirigé par l’humain
L’état final ici n’est pas un SOC autonome sans implication humaine. Il s’agit d’un SOC dirigé par l’humain, alimenté par l’IA.
Les agents d’IA gèrent les aspects exigeants en main-d’œuvre de collecte de preuves des opérations de sécurité. Les humains assurent la direction, la surveillance et la responsabilité. Ensemble, ils opèrent à une vitesse et à une échelle qu’ils ne pourraient atteindre seuls. Ce n’est pas une théorie : c’est ce qui se passe aujourd’hui dans les environnements de production.
Élévation, pas élimination
L’idée selon laquelle l’IA éliminerait les analystes de niveau 1 passe à côté de l’essentiel. Le rôle ne disparaît pas. C’est en train d’être redéfini.
Les analystes qui réussiront dans ce nouvel environnement seront ceux qui seront capables de gérer des systèmes de renseignement, d’interpréter des résultats complexes et de prendre des décisions de haute qualité dans un contexte d’incertitude.
Ils ne seront pas remplacés. Ils seront promus.
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
