L’IA, moteur de transformation des SOC
En 2025, les cyberattaques s’appuyant sur l’utilisation de l’intelligence artificielle ont augmenté de 47 %. Avec l’évolution des écosystèmes cloud, la multiplication des applications SaaS et la généralisation du télétravail, la surface d’attaque s’est considérablement élargit. Dans ce contexte de cybermenaces en constante expansion, les centres d’opérations de sécurité (en anglais Security Operations Center ou SOC) font face à une pression sans précédent et doivent réinventer leur mode de fonctionnement.
Les solutions traditionnelles reposent sur des règles de détection statiques, des guides d’investigation et d’intervention, ainsi que des processus standardisés. Les plateformes plus avancées intègrent désormais des capacités d’IA. Atos a été pionnier dans cette transition en intégrant dès 2020 la détection et le triage basés sur l’IA à son service de détection et de réponse gérées (en anglais Managed Detection and Reponse ou MDR).
Nous sommes à présent dans une nouvelle étape de la transformation du SOC, l'intelligence artificielle devient essentielle à son fonctionnement.
Principaux défis
• Saturation des alertes
Les analystes SOC doivent examiner un volume important d’événements, ce qui peut entraîner une fatigue liée aux alertes. Les approches classiques du SOC consistent à ajuster les détections afin de réduire les volumes, ainsi qu’à mesurer et diminuer les faux positifs. Cependant, ces techniques doivent être appliquées avec prudence, car elles peuvent être contre-productives en matière de protection puisque certaines menaces peuvent ainsi passer inaperçues.
• Approches de détection statiques
Les méthodes fondées sur des règles ou des signatures peinent à s'adapter à l'évolution des menaces.
• Adaptabilité du triage et de l’investigation
Le triage et l’investigation peuvent nécessiter des procédures longues et comportant plusieurs étapes. Les solutions d’orchestration, d’automatisation et de réponse en matière de sécurité (en anglais Security Orchestration, Automation and Response ou SOAR) peuvent aider à automatiser certaines étapes, mais leur principal inconvénient est qu’elles reposent largement sur des processus prédéfinis. Cela entraîne un effort de maintenance important et un manque d’adaptabilité lorsqu’il existe un léger écart dans le comportement d’une menace ou lorsqu’une nouvelle menace apparaît.
• Pénurie de compétences
Les analystes SOC qualifiés sont en pénurie à l’échelle mondiale. L’utilisation de ces ressources doit donc être optimisée afin de leur permettre de se concentrer sur les risques des clients, la gestion proactive des menaces et la réponse efficace aux incidents.
Approches de détection et de réponse gérées et optimisées par l’IA
En 2020, Atos a intégré l’IA au cœur de sa stratégie SOC, renforçant ainsi chaque étape du cycle de vie de la détection et de la réponse. Mais, l’IA ne remplace pas les analystes : elle permet une détection, un triage et des investigations plus rapides, ainsi qu’une prise de décision plus fiable. Le SOC peut ainsi se concentrer sur les risques des clients, l’ajustement de la détection, la recherche proactive de menaces et la réponse aux incidents.
Voici quelques-unes des principales applications :
1. Des détections plus intelligentes et plus adaptatives
En exploitant la puissance de l’IA, il est possible d’identifier des anomalies, des écarts de comportement et des signaux malveillants faibles que les règles traditionnelles de corrélation des journaux pourraient manquer. L’expansion des outils de sécurité basés sur l’IA et le machine learning, tels que les solutions de détection et de réponse utilisées pour protéger les utilisateurs finaux, les terminaux et les actifs informatiques (en anglais Endpoint Detection and Response ou EDR), les solutions conçues pour offrir une visibilité accrue sur diverses sources de données (en anglais Extended Detection and Response ou XDR), le pare-feu d’applications web (en anglais Web Application Firewall ou WAF), la solution qui combine les capacités d’un réseau SD-WAN avancé et une sécurité complète fournie par le cloud (en anglais Secure Access Service Edge ou SASE) et les passerelles de messagerie, a entraîné une décentralisation croissante de la détection. Le SOC d’Atos agit comme une tour de contrôle, chargée d’analyser et de corréler non seulement de grands volumes de journaux, mais aussi les alertes intelligentes générées par une gamme d’outils de sécurité augmentés par l’IA.
2. Triage intelligent
L’une des contributions les plus importantes de l’IA au SOC est sa capacité à distinguer le bruit des priorités, ce qui permet aux analystes SOC de se concentrer sur les quelques alertes révélant un comportement potentiellement malveillant.
Atos utilise les modèles de notation suivants pour trier les alertes :
• Indicateurs de gravité et techniques
• Exposition des actifs critiques de l’entreprise
• Modèles connus issus de l’activité historique du SOC
Cette hiérarchisation accélère les temps de réponse en plaçant quelques alertes dans le panier prioritaire du SOC pour une attention immédiate.
3. Assistant IA en langage naturel
Les capacités de recherche en langage naturel aident les analystes à naviguer facilement dans de vastes ensembles de données de sécurité et d’informations contextuelles.
Voici quelques exemples d’utilisation :
• Les analystes peuvent effectuer des recherches rapides dans les journaux et les alertes :
Y a-t-il eu des alertes liées à cette adresse IP au cours des 20 derniers jours ?
• Les analystes peuvent effectuer des recherches dans la documentation, les bases de connaissances ou les données de renseignements sur les menaces :
Cet utilisateur est-il un VIP connu ?
S’agit-il d’une URL malveillante connue ?
Des recherches plus rapides et un accès plus facile aux connaissances permettent des enquêtes plus rapides et plus cohérentes.
4. La prochaine évolution : l’analyste SOC virtuel d’Atos
L’utilisation de l’IA pour les SOC atteint aujourd’hui un tournant avec le développement de l’IA agentique. Atos a lancé son analyste SOC virtuelle, qui s’appuie sur Qevlar AI. Cette solution innovante est conçue pour trier et examiner les alertes courantes et de complexité moyenne.
Voici quelques-uns des avantages de l’analyste SOC virtuel d’Atos:
• Efficacité accrue du triage, permettant d’identifier rapidement les faux positifs ou les alertes bénignes.
• Actions d’investigation des alertes telles que l’enrichissement des alertes, la recherche dans les journaux, l’interrogation des outils de sécurité et la vérification par rapport aux informations détenues sur les menaces.
• Rapport d’investigation complet sur les alertes, avec une transparence totale et un audit complet sur les différentes étapes du processus.
• Ajustement des risques et prise en compte du contexte du client grâce aux informations recueillies et fournies par les analystes SOC d’Atos lors de l’intégration, des revues régulières avec le client et de l’analyse des vrais et faux positifs passés.
• Recommandations des étapes de réponse aux incidents à revoir et à prendre en charge par l’analyste SOC humain. Cela peut notamment inclure la mise en évidence des actions que l’agent IA n’a pas pu exécuter en raison d’un accès manquant.
Ces avantages soulèvent alors la question suivante : pourquoi Atos a-t-il introduit l’analyste SOC virtuel ?
L’objectif était avant tout de permettre aux équipes SOC de s’adapter efficacement à l’augmentation du volume des menaces et des alertes associées. Il s’agit également de recentrer la charge de travail des analystes sur la recherche proactive des menaces, les réponses avancées aux incidents et l’ajustement continu de la détection, c’est-à-dire les actions à forte valeur ajoutée et à fort impact.
Démystifier le mythe : idées reçues et risques liés à l’IA
Atos est conscient que l’IA suscite de nombreuses idées reçues et comporte certains risques. Avec l’engouement actuel pour l’IA, ceux-ci ont tendance à être minimisés, mais certains aspects doivent être pris en compte.
Le mythe d’un analyste SOC virtuel entièrement autonome
La supervision humaine et le maintien d’une expertise technique et sécuritaire solide au niveau du SOC restent essentiels pour protéger efficacement les organisations.
L’expérience d’Atos montre que l’IA s’avère très efficace pour enquêter sur des alertes telles que des échecs de connexion ou le signalement de tentatives de phishing. Dans le cas du phishing, l’analyste SOC virtuel étudie de manière itérative l’expéditeur, les URLs et les pièces jointes, compare les informations avec celles du service de renseignement sur les menaces, ou peut même exécuter un fichier dans un environnement contrôlé afin de vérifier s’il est malveillant. Grâce à l’automatisation de cette opération, l’analyste SOC économise entre 80 et 90 % du temps habituellement consacré à ce type de tâche.
L’expérience d’Atos montre toutefois que ces résultats ne sont pas généralisables à tous les types d’alertes ni à tous les environnements clients. L’efficacité peut varier considérablement selon les cas d’utilisation des menaces, mais aussi selon l’accès aux systèmes informatiques qui a été accordé à la solution d’IA.
Atténuer les risques liés à l’IA grâce à une IA responsable
L’un des principaux risques liés à l’IA est celui des hallucinations et des enquêtes d’alerte invalides, notamment les faux négatifs qui peuvent conduire à passer à côté d’activités malveillantes. Pour atténuer ces risques, Atos intègre les principes de l’IA responsable dans tous ses déploiements afin de garantir la transparence, l’équité et la supervision. Cette approche permet à l’IA de renforcer, plutôt que de compromettre, la confiance dans les opérations SOC.
Une IA responsable pour l’analyste SOC virtuel intègre plusieurs aspects :
• Une présence humaine : ils approuvent ou examinent les actions ayant un impact et supervisent les réponses.
• L’audit et la traçabilité des modèles : chaque enquête menée par l’IA s’accompagne d’un audit complet et de données associées telles que le hachage de données, l’adresse IP suspecte et les éléments de justification.
• L’ajustement et la validation continus : les analystes affinent les modèles et renforcent les meilleures pratiques. Ils apportent également des informations contextuelles spécifiques au client, ainsi, l’IA ne fournit pas de résultats uniformes, mais s’adapte aux environnements clients.
• L’utilisation des graphes de Qevlar AI afin de limiter les hallucinations
En complément, Atos gère activement les risques liés à la protection et à la sécurité des données. Cela inclut notamment une forte harmonisation réglementaire, comme avec la loi européenne sur l’IA (EU AI Act), afin de garantir la conformité et l’utilisation éthique de l’automatisation.
Le SOC augmenté par l’IA de demain
L’IA est un facteur clé pour améliorer les capacités de détection et de réponse aux menaces, permettant aux SOCs de suivre le rythme des menaces dont le volume et la sophistication ne cessent d’augmenter. Mais il s’agit d’une véritable course. Entre les mains d’acteurs malveillants, l’IA peut également alimenter les cyberattaques.
Le modèle optimal repose sur un équilibre intelligent entre la détection, le triage, l’investigation des alertes et la réponse assistée par l’IA, combinés à la supervision d’analystes qualifiés. Les analystes SOC virtuels assisteront de plus en plus les analystes SOC humains, améliorant ainsi la réactivité, la cohérence des équipes travaillant 24/7, ainsi que leur capacité d’adaptation.
Cette course implique également de développer et de maintenir une expertise solide afin de comprendre les risques, définir les détections, rechercher les menaces et répondre aux incidents complexes. En tant que fournisseur de services de sécurité gérés (en anglais Managed Security Service Provider ou MSSP), Atos aide ses clients à évoluer vers une défense plus proactive, en tenant compte du fait que les services SOC évolueront pour intégrer la gestion continue de l’exposition aux menaces (en anglais Continuous Threat Exposure Management ou CTEM). Cela signifie que le SOC passera d’une logique de détection et de réponse à une logique de surveillance et de réduction de l’exposition aux risques.
Ce processus est déjà en cours, et l’IA ne fait qu’accélérer cette convergence.
