Se connecter
  1. 1 - Contexte et enjeux 
    1. 2 - IA & SOC : 5 cas d’usage concrets à retenir 
      1. 3 - PredAI vs GenAI : deux IA, deux rôles 
        1. 4 - Maîtrise des données et modes d’hébergement 
          1. 5 - Enjeux, risques et recommandations 
            1. 6 - Conclusion et perspectives 

              L’IA au service du SOC : décryptage de l’étude ANSSI 

              CybersécuritéJuly 18, 2025

              Les ransomwares deviennent plus vicieux, les attaques plus ciblées… et les équipes cybers croulent sous les alertes. Résultat : les SOC passent trop de temps à tout traiter, sans toujours pouvoir prioriser. 

              Et si l’IA pouvait changer la donne ? En aidant à trier, qualifier, voire automatiser certaines étapes clés de la détection et de la réponse. 

              C’est le pari exploré par l’ANSSI dans une étude inédite sur l’usage de l’IA dans les SOC. Objectif : cartographier l’écosystème français, identifier les cas d’usage les plus prometteurs — et proposer des recommandations concrètes, pour éviter les pièges et tirer le meilleur des PredAI et GenAI. 

              Dans cet article, on vous résume tout. Clair, net, actionnable. C'est parti !

              Contexte et enjeux 

              L’ANSSI, c’est un peu la tour de contrôle de la cybersécurité française. Sa mission : fixer le cap, poser la doctrine, et guider les acteurs publics et privés dans un contexte de menaces toujours plus furtives — attaques sans fichiers, polymorphes, ou qui se fondent dans l’environnement comme des utilisateurs légitimes. 

              Face à un volume de données réseau qui explose, les méthodes classiques montrent leurs limites. L’IA devient alors un levier à explorer sérieusement. 

              D’où cette étude, structurée en trois volets : 

              • Un benchmark de 18 solutions françaises pour cartographier le marché et évaluer la maturité des offres. 

              • Des retours terrain d’équipes SOC et d’experts pour confronter théorie et réalité. 

              • Une analyse doctrinale, pour nourrir les recommandations de demain (RGPD, NIS2, France 2030…). 

              L’objectif ? Poser un état des lieux clair, mais aussi tracer une feuille de route concrète pour l’intégration de l’IA dans les SOC. 

              IA & SOC : 5 cas d’usage concrets à retenir 

              L’un des apports clés de l’étude ? Un panorama clair des usages de l’IA au service des SOC, organisé en 5 grandes familles. Voici les plus parlants : 

              Détection d’anomalies réseau 

              L’IA scrute le trafic et repère tout ce qui sort de l’ordinaire : flux inhabituels, connexions vers des IP douteuses... 

              • Exemple : un matin, un poste marketing envoie 20 Go de données vers une adresse IP à l’autre bout du monde. Anormal. L’IA lève l’alerte, la connexion est coupée : tentative d’exfiltration déjouée. 

              Analyse statique et dynamique de fichiers suspects 

              L’IA ouvre et analyse les fichiers (PDF, Word, .exe...) pour vérifier s’ils sont malveillants — sans mettre en danger l’infrastructure. 

              • Exemple : Un faux devis en pièce jointe ? L’IA l’exécute dans un environnement isolé : elle repère un logiciel espion avant qu’il ne s’installe. Alerte transmise, menace stoppée. 

              Reconstruction de la kill chain 

              L’IA reconstitue le scénario complet d’une attaque, même les phases invisibles, pour comprendre le "film" après coup. 

              • Exemple : Une intrusion débute par un phishing, se poursuit par un mouvement latéral, puis un chiffrement de bases. L’IA relie les points, même flous, pour dresser le scénario complet. 

              UEBA (User & Entity Behavior Analytics) 

              En analysant les habitudes d’un utilisateur ou d’une machine, l’IA repère les comportements inhabituels… et les signale. 

              • Exemple : Paul, en finance, ne travaille jamais après 19h. Une connexion à 2h du matin pour copier des fichiers sensibles ? Ça ne colle pas. Alerte déclenchée. 

              Assistant SOC 

              Un copilote IA qui aide les analystes : il priorise les alertes, fournit du contexte (IP suspectes, IoC...) et suggère la suite. 

              • Ex. : L’analyste demande « Et maintenant ? » → L’IA propose un plan d’action clair : isoler la machine, bloquer une IP, lancer un scan. Rapide, efficace, contextualisé. 

              PredAI vs GenAI : deux IA, deux rôles 

              L’étude distingue deux grands types d’IA en cybersécurité, aux usages bien différents mais complémentaires : 

              PredAI (IA prédictive) 

              C’est l’IA "détective". Basée sur du machine learning (supervisé ou non), elle analyse vos logs historiques pour détecter et scorer les menaces. 
              Déjà bien implantée (EDR, NSM…), elle atteint un bon niveau de maturité et brille sur la détection. 

              GenAI (IA générative) 

              Ici, l’IA joue les assistants d’enquête. Elle aide les analystes à formuler des requêtes, résumer des incidents ou suggérer des remédiations. 
              C’est plus récent, ça demande de maîtriser les prompts et d’encadrer les hallucinations… mais les gains de productivité sont bien réels. 

              PredAI excelle sur la détection brute, GenAI accélère l’analyse et la réponse. Deux briques clés, pour deux moments du cycle SOC. 

              Maîtrise des données et modes d’hébergement 

              Pour tirer parti de l’IA tout en protégeant vos informations sensibles, l’étude distingue quatre manières d’héberger vos modèles, chacune ayant ses avantages et ses inconvénients : 

              Cloud public (AWS, Azure, GCP…) 

              Pourquoi ? 

              • Mises en place en quelques heures : vous profitez immédiatement des services managés. 

              • Évolutivité : la plateforme monte en charge automatiquement selon vos besoins. 

              Attention ! 

              • Vos logs et prompts transitent hors de votre infrastructure : risque de fuite de données sensibles. 

              • Difficulté à tracer précisément qui a accédé à quoi (journalisation partielle). 

              💡 Notre conseil : Ne jamais envoyer de données brutes sensibles. Pré-filtrez, anonymisez, limitez au strict minimum. 

              Fournisseur de modèle (SaaS spécialisé) 

              Pourquoi ? 

              • Solution « tout-en-un » conçue pour la cybersécurité, avec connecteurs préconfigurés (EDR, SIEM…). 

              • Support et mises à jour assurés par l’éditeur. 

              Attention ! 

              • Vous dépendez de l’éditeur pour la confidentialité et la conformité RGPD. 

              • Le coût peut grimper si votre volume d’appels (tokens) augmente. 

              💡 À faire : négociez dans le contrat un Data Processing Addendum clair et exigez la certification ISO 27001 ou équivalent. 

              Solution éditeur (infrastructure dédiée chez vous ou chez un tiers) 

              Pourquoi ? 

              • Bon compromis : l’éditeur déploie et gère la plateforme, mais les données restent dans un périmètre contrôlé. 

              • Moins d’efforts techniques qu’un déploiement interne 100 % DIY. 

              Attention ! 

              • Budget de licences et frais de configuration souvent plus élevés que pour un SaaS basique. 

              • Vous dépendez toujours partiellement de l’éditeur pour les évolutions fonctionnelles. 

              💡 Bon réflexe : pensez à prévoir dans le contrat un SLA sur la disponibilité et la réversibilité des données (export complet en cas de sortie). 

              BYOM (Bring Your Own Model – déploiement de vos propres modèles) 

              Pourquoi ? 

              • Souveraineté totale : vos données et vos modèles restent exclusivement sous votre contrôle. 

              • Liberté de choisir n’importe quel LLM open-source ou interne. 

              Attention ! 

              • Nécessite une équipe de Data Scientists et DevOps solide pour entraîner, héberger et maintenir. 

              • Investissement initial élevé (infrastructure GPU, stockage, sécurité). 

              💡 Astuce : commencez par un PoC avec un modèle léger (Llama, Bloom) avant de passer à des architectures plus lourdes. 

              Votre questionnaire de sécurité clé en main. 

              Déterminez le niveau de sécurité technique et organisationnelle de vos sous-traitants grâce à un questionnaire prêt à l'emploi.

              Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

              Enjeux, risques et recommandations 

              Mettre de l’IA dans un SOC, ça fait rêver — mais ça ne s’improvise pas. Voici les écueils à connaître (et éviter) : 

              • Des données pas top = des résultats pas fiables 
                 Si les logs sont obsolètes ou mal tagués, le modèle risque d’alerter dans le vide… ou de rater des signaux faibles. Garbage in, garbage out. 

              • Des LLM qui hallucinent 
                 Même les meilleurs modèles peuvent inventer des réponses. Il faut monitorer leurs performances en continu, croiser avec l’humain et rester critique. 

              • Respect du RGPD : à ne pas oublier 
                 Les flux envoyés aux modèles externes doivent être encadrés. Précisez qui a accès à quoi, où sont stockées les données, et pendant combien de temps. 

              • Une gouvernance IA, sinon rien 
                 Mettez en place des règles claires : prompt engineering, indicateurs de performance (précision, recall…), formations pour les analystes. 

              L’ANSSI recommande aussi d’explorer les aides à l’innovation comme France 2030 ou le programme NCC-FR pour financer vos premiers pas (PoC, pilotes…). 

              Conclusion et perspectives 

              L’ANSSI le confirme : l’IA va métamorphoser les SOC. D’un côté, la PredAI booste déjà nos capacités de détection ; de l’autre, la GenAI s’annonce comme le super-assistant pour accélérer et enrichir chaque enquête. Pour en tirer tout le potentiel, les organisations doivent installer une gouvernance robuste, gage de confiance et de maîtrise de leurs données.  

              Et, derrière cette révolution, un véritable écosystème d’éditeurs français et d’initiatives publiques s’active pour propulser la France au rang de référence en IA-cybersécurité. 

              Consultez l’intégralité de l’étude sur le site de l’ANSSI.  

              Benjamin BarattaWitik - Expert RGPD & CSM
              Inscrivez-vous à notre newsletter pour ne rien louper de l'actualité.

              Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

              • All rights reserved ©Witik 2025