L'importance du SOC à l'ère de l'IA

Un SOC (Security Operations Center, ou « centre des opérations de sécurité ») est l'équivalent, pour une organisation, d'une tour de contrôle aérien : une équipe d'analystes qui surveille en continu les systèmes informatiques, détecte les signaux anormaux et déclenche la réponse en cas d'attaque. Là où un service informatique classique fait fonctionner les outils, le SOC veille à ce que personne ne s'en serve contre vous : 24 heures sur 24, 7 jours sur 7.

Concrètement, le SOC fait trois choses :

• Il observe (collecte et corrèle des millions de journaux d'activité) ;
• Il décide (trie ce qui relève d'un vrai incident parmi le bruit) ;
• Il agit (isole une machine compromise, bloque un compte, coordonne la remédiation).

C'est ce triptyque, observer, décider, agir, que l'IA vient aujourd'hui bouleverser des deux côtés du front.

L'intelligence artificielle a profondément abaissé le coût et le niveau de compétence nécessaires pour mener une attaque sophistiquée. Trois évolutions illustrent ce glissement.

• Le phishing devient industriel… et crédible  L'humain n'intervenait plus qu'à quelques points de décision critiques : « oui, continue », « non, arrête », « tu es sûr de toi ? ».  - Responsable du renseignement sur les menaces, à propos de la campagne de septembre 2025.

Selon l'ENISA, l'agence européenne de cybersécurité, plus de 80 % des e-mails de phishing observés entre septembre 2024 et février 2025 recouraient d'une manière ou d'une autre à l'IA.³ Fini les courriels truffés de fautes : les modèles de langage produisent désormais des messages parfaitement rédigés, personnalisés à partir de données publiques puis envoyés à grande échelle.

• Le deepfake exploite la confiance, pas les failles

La grande nouveauté est que ces attaques ne ciblent plus les systèmes, mais le jugement humain. Le cas le plus emblématique reste celui de la société d'ingénierie Arup : un employé a transféré 25 millions de dollars après une visioconférence où l'ensemble des dirigeants présents à l'écran étaient des deepfakes générés par IA.⁴ Les pertes liées à la fraude par deepfake ont dépassé 200 millions de dollars sur le seul premier trimestre 2025⁵, et le cabinet Deloitte projette jusqu'à 40 milliards de dollars de pertes aux États-Unis d'ici 2027.⁶

• L'attaque autonome : un saut de nature

La campagne de septembre 2025 évoquée en ouverture marque une rupture : l'IA n'assiste plus l'attaquant, elle est l'attaquant. Les barrières à l'entrée s'effondrent : des groupes peu expérimentés peuvent désormais conduire des opérations d'une ampleur jusque-là réservée aux États. Comme le résume le rapport, un agent IA peut accomplir le travail d'équipes entières de pirates aguerris.⁷

Pendant que l'attaque s'accélère, la défense suffoque sous le volume. Une enquête menée en 2025 auprès de 282 responsables sécurité révèle qu'une organisation traite en moyenne 960 alertes par jour et plus de 3 000 par jour dans les grandes entreprises, en provenance d'une trentaine d'outils différents.⁸ Faute de temps, des alertes critiques restent tout simplement non investiguées.

Or le temps est précisément ce qui manque. CrowdStrike estime qu'il suffit en moyenne de 48 minutes pour qu'une menace de type compromission de messagerie professionnelle se transforme en incident.⁹ Dans 25 % des cas, les données sont exfiltrées en moins de cinq heures.¹⁰ Le coût moyen mondial d'une violation de données a, lui, atteint 4,44 millions de dollars en 2025.¹¹

« Les équipes de sécurité se noient sous les alertes, au point de devoir choisir lesquelles elles laissent de côté. »

Enquête « State of AI in the SOC 2025 »

Une intuition courante voudrait que, l'IA automatisant la détection, le SOC perde de son utilité. C'est l'inverse qui se produit. Plus la menace devient rapide, autonome et crédible, plus il faut un lieu capable d'orchestrer une défense à la même vitesse et de garder un humain responsable dans la boucle.

• L'IA défensive ne fonctionne que dans un SOC

• Le SOC se réinvente autour de l'IA agentique L'IA défensive ne fonctionne que dans un SOC

Le marché converge vers des plateformes unifiées (SIEM, EDR, NDR, SOAR) et vers une nouvelle catégorie, l'« IA agentique », désormais reconnue par Gartner.¹⁴ Le modèle qui s'impose n'est ni « tout humain » ni « tout machine », mais une collaboration : l'IA absorbe le tri à fort volume, et l'analyste se concentre sur l'enquête complexe, le contexte métier et la décision. L'enjeu, pour les responsables, devient la qualité du signal plutôt que le volume d'alertes, et la formation d'analystes capables de superviser ces flux automatisés.¹⁵

• L'humain reste le dernier point de décision

La campagne de septembre 2025 le montre en creux : même côté attaquant, l'humain conservait les décisions critiques. Côté défense, c'est la même logique. Lorsqu'une IA se trompe, et elle se trompe, c'est un analyste qui doit pouvoir dire « non, cette action est risquée », et un responsable qui doit rendre des comptes. Le SOC est l'endroit où s'exerce cette responsabilité, au croisement de la machine et du jugement humain.

Le vrai problème n'est pas que Mythos existe. Des capacités équivalentes sont déjà reproductibles avec des modèles publics et des acteurs étatiques développent les leurs.¹⁸ Le problème, c'est l'asymétrie qu'il révèle : trouver une vulnérabilité et la corriger sont deux chantiers radicalement différents. Or la correction, elle, reste à vitesse humaine. Une entreprise met en moyenne plus de 60 jours à corriger une vulnérabilité critique et près de la moitié des failles identifiées dans les grandes structures restent non corrigées au bout d'un an. À ce jour, environ 99 % des découvertes de Mythos demeurent non corrigées.¹⁹

Le délai entre la découverte d'une faille et son exploitation est ainsi passé de plus de deux ans en 2018 à moins de vingt-quatre heures en 2026.²⁰ Concrètement, les entreprises font face à un canal de découverte qui tourne désormais à l'échelle de la machine, alors que leur capacité de remédiation reste finie. Pour un hôpital, chaque correctif doit être mis en balance avec la sécurité des patients ; pour une banque, avec la continuité de service. Et les structures les plus exposées sont les PME, qui n'ont ni les ressources ni les outils d'IA défensive des grands groupes du consortium.²¹

Jusqu'ici, nous avons parlé d'attaquants. Mais une part considérable des fuites de données ne résulte d'aucune attaque : elle vient de l'intérieur, sans la moindre malveillance. Un collaborateur pressé colle un fichier Excel client dans une IA grand public pour gagner du temps, ou installe un assistant IA non validé par l'entreprise. En quelques secondes, des données sensibles franchissent le périmètre de sécurité et échappent à tout contrôle, parfois pour aller alimenter l'entraînement d'un modèle tiers. C'est le phénomène du « Shadow AI » : l'usage d'outils d'intelligence artificielle hors du cadre autorisé par l'organisation.

Le phénomène est massif et largement sous-estimé. Selon Gartner, 69 % des organisations soupçonnent leurs collaborateurs d'utiliser des outils d'IA générative interdits²² et près de quatre employés sur dix admettent avoir partagé des informations professionnelles sensibles avec une IA sans autorisation.²³ Le coût est tangible : d'après IBM, les violations impliquant du Shadow AI représentent désormais une violation sur cinq et coûtent en moyenne quelque 650 000 dollars de plus que les autres alors qu'à peine plus d'un tiers des organisations disposent d'une politique pour encadrer ou même détecter ces usages.

C'est exactement là qu'un SOC qui surveille les terminaux fait la différence. Chez l'un de nos clients, notre supervision a remonté l'installation, sur un poste de travail, d'un client d'IA qui n'était pas autorisé par l'entreprise. Rien de malveillant : un collaborateur cherchant simplement à être plus efficace. Mais cet outil, aussi légitime soit-il par ailleurs, ouvrait un canal potentiel d'exfiltration de données sensibles totalement hors du cadre de l'entreprise. Détecté à temps, l'usage a pu être traité avant qu'aucune donnée ne fuite, une catastrophe potentielle désamorcée non pas en bloquant l'IA, mais en la rendant visible. La leçon est simple : même le meilleur des outils, installé hors politique, devient une brèche.

Toutes les organisations n'ont ni les moyens ni l'intérêt de bâtir un SOC interne fonctionnant 24 heures sur 24. C'est précisément la raison d'être du Micro-SOC : un centre des opérations de sécurité mutualisé et managé, qui apporte à une PME, une collectivité ou une filiale le même niveau de surveillance et de réponse qu'un grand groupe, mais sous forme de service, sans avoir à recruter et maintenir une équipe entière. Pour les structures les plus exposées évoquées plus haut, c'est souvent la différence entre subir et tenir.

Reste une question légitime : est-ce que le MicroSOC est armé pour la vitesse à l'ère de l'IA ? La réponse passe par l'adaptation, et c'est un terrain sur lequel nous avançons sans attendre.

Chez Orange Cyberdéfense, nous ne considérons pas l'IA comme une menace pour le métier d'analyste, mais comme un levier pour le concentrer là où il crée le plus de valeur. Nous avons par exemple mis en service des dispositifs d'IA qui interviennent à deux moments clés de la chaîne :

• En amont, côté analyse : des modèles réalisent une première qualification des signaux avant même qu'ils n'arrivent sur le bureau de l'analyste, de sorte que ce dernier reçoit un dossier déjà trié et contextualisé plutôt qu'une alerte brute parmi des centaines.
• Côté client, sur la réponse : une IA nourrie de l'historique des tickets et des alertes déjà traités formule une première réponse rapide au client, pendant que l'analyste humain se consacre à l'investigation de fond. Le client n'attend pas, et l'expert dirige son énergie vers le concret.

L'effet recherché n'est pas de remplacer l'humain, mais de le décharger du bruit pour qu'il arbitre, enquête et décide, exactement la logique défendue tout au long de cet article. Et, point essentiel pour qui confie sa sécurité à un tiers : l'humain garde toujours le dernier mot. L'IA propose, qualifie, accélère. L'analyste valide, corrige et engage la décision.

Notre conviction : Face à une menace qui s'automatise, on ne gagne pas en reculant, mais en s'adaptant plus vite qu'elle. L'IA fait partie de notre arsenal défensif ; l'expertise humaine en reste le pilote.