Rapport Splunk : l'IA suscite encore la méfiance des équipes SOC
Le rapport "Etat de la cybersécurité en 2025" publié par Splunk ce 20 mai 2025 s'appuie sur une enquête menée en 2024 auprès de 2 058 professionnels de la cybersécurité dans neuf pays, dont la France. Il dresse un constat préoccupant : les centres opérationnels de sécurité (SOC) peinent toujours à fonctionner efficacement. Près de la moitié des professionnels interrogés (46%) déclarent passer plus de temps à maintenir leurs outils qu'à traquer les menaces. 59% d'entre eux considèrent ce déséquilibre comme le premier frein à l'efficacité de leur équipe. "La maintenance est plus compliquée qu'avant. Les outils possèdent davantage de fonctionnalités et les mises à jour sont plus fréquentes. Et même si les fournisseurs ont pris des mesures pour réduire la part d'incertitude, le réseau est bien plus complexe qu'avant et le travail, bien plus difficile" précise Marcus LaFerrera, directeur de Surge chez Splunk.
Une des principales sources de ce manque de performance du SOC réside dans le flux trop important d'alertes reçues selon 59% des personnes interrogées. En outre, 57% estiment avoir perdu du temps pendant des investigations à cause de lacunes dans la gestion des données. 39% attribuent à ces lacunes des problèmes d'accessibilité et 35% à des silos : "l'impossibilité d'accéder aux bonnes données au bon endroit représente un véritable obstacle pour les équipes SOC qui doivent prendre des mesures rapides et décisives face aux menaces" précise le rapport. Enfin, l'inefficacité du SOC résiderait aussi dans un manque d'intégration entre les outils selon 51% des personnes interrogées.
L'IA générative spécialisée, levier d'un SOC plus performant
L'intelligence artificielle (IA) apparaît comme une solution prometteuse, mais encore accueillie avec prudence. 11% seulement des répondants ont entièrement confiance en l'IA dans les SOC. Et 61% s'estiment relativement confiants envers cet outil. Cela démontre que l'IA est perçue comme un moyen garantissant au SOC plus de performance plutôt qu'une solution à tous ses problèmes : "Il faut des vérifications d'experts et des tests appropriés pour garantir des résultats satisfaisants", affirme Kirsty Paine, directrice technique de terrain et conseillère stratégique de Splunk dans la région EMEA. Par ailleurs, 59% des personnes interrogées affirment avoir modérément ou significativement gagné en efficacité grâce à l'IA. Et pour cause, celle-ci "peut créer des requêtes de recherche et suggérer des étapes d'investigation" précise le rapport.
Toutefois, Splunk recommande d'éviter l'usage de l'IA prête à l'emploi au profit de l'IA générative spécialisée. Contrairement aux outils généralistes comme ChatGPT, l'IA spécialisée fournit des recommandations plus précises tout en réduisant le risque de fuite de données grâce au maintien des workflows en interne. Selon Hao Yang, vice-président de l'IA chez Splunk, "l'IA spécialisée produit de meilleurs résultats car elle est adaptée à une fonction spécifique, tout simplement. C'est le prochain chapitre de l'histoire de l'IA".
Détection en tant que code : vers un changement de paradigme ?
Actuellement, beaucoup d'équipes SOC détectent les menaces grâce aux solutions de leurs fournisseurs qui sont affinées en interne. D'ailleurs, 46% des experts interrogés disent privilégier cette approche fréquemment ou systématiquement. Cependant, "les détections prêtes à l'emploi ne vous mèneront pas bien loin. Chaque environnement est unique. Quoi que vous fassiez, vous verrez toujours apparaître une menace inconnue de votre fournisseur" affirme Jose Hernandez, directeur de la Splunk threat research team. C'est pourquoi de plus en plus d'équipes SOC adoptent la solution émergente de détection en tant que code (DaC).
Celle-ci permet aux équipes SOC de développer, gérer et déployer elles-mêmes les règles de détection des menaces comme du code informatique. Par conséquent, ces règles sont adaptées à l'environnement propre à l'entreprise. De plus, la DaC permet de gagner en réactivité, en déployant rapidement des détections face à de nouvelles menaces. Agile, dynamique et automatisable, elle "occupera le devant de la scène dans le SOC du futur", selon le rapport. Seulement 35% des personnes interrogées l'utilisent fréquemment ou systématiquement. Toutefois, 63% ont l'intention de l'utiliser fréquemment ou systématiquement.