IA dans la cybersécurité : attention danger
L'intégration progressive de l'IA dans les centres des opérations de sécurité (SOC) permet de libérer les analystes des tâches répétitives comme la priorisation d'incidents, la collecte de renseignements ou la corrélation d'événements. L'intelligence artificielle est capable d'analyser d'énormes volumes de logs, d'événements et de signaux réseau à une vitesse et une profondeur "inatteignable humainement" selon Adrien Merveille, security engineer manager France chez CheckPoint. Résultat, selon une étude de KPMG publiée en 2024, 69% des professionnels interrogés pensent que l'automatisation basée sur l'IA dans le SOC restera importante au cours des deux prochaines années. Toutefois, cet enthousiasme a des limites. Selon une autre étude publiée en avril 2025 par Splunk, seuls 11% des professionnels interrogés se disent entièrement confiants envers l'IA dans le SOC. Et pour cause, elle provoque des risques altérant les missions des analystes. Parmi eux : le biais d'automatisation, le manque de transparence des algorithmes et les choix de modèles d'entraînement locaux ou génériques.
Faux positifs et négatifs : le risque du biais d'automatisation
Le risque du biais d'automatisation survient quand les analystes d'un SOC accordent une confiance excessive aux recommandations ou aux alertes générées par l'IA. Il s'agit d'un "danger à prendre en compte" selon Florence Mottay, responsable de la sécurité des systèmes d'information (RSSI) de Zalando. "Il faut conserver une supervision humaine rigoureuse de l'IA. C'est un outil d'appoint, pas un substitut", ajoute-t-elle. Et pour cause, elle peut produire des faux positifs qui détectent à tort des activités normales comme suspectes.
Par exemple, un salarié d'une entreprise uploade un fichier lourd pour une présentation mais l'IA y voit une exfiltration de données. Ceux-ci sont "fréquents car les algorithmes utilisés pour le machine learning du SOC ne sont pas supervisés. Donc c'est celui-ci qui décide ce qui est vrai ou faux", affirme Jad Tabet, directeur du SOC de Karman Cyber Defence. A l'inverse, l'IA peut aussi provoquer des faux négatifs qui ne signalent pas une menace réelle. C'est par exemple le cas quand un malware est dissimulé dans un fichier apparemment inoffensif que l'IA a appris à considérer comme fiable (ZIP, PDF, etc.).
Les faux positifs produits par l'IA "obligent les analystes à travailler plus que prévu", selon Jad Tabet car ils doivent vérifier manuellement la pertinence d'un nombre important d'alertes. Quant aux faux négatifs, ils démontrent la nécessité pour les analystes d'accompagner l'IA dans la collecte de renseignements. C'est pourquoi Mick Baccio, global security advisor de l'équipe Surge au sein de Splunk, invite les analystes à distinguer les tâches totalement remplaçables par l'IA des autres : "Il y a des tâches qui peuvent être assurées intégralement par l'IA. Je pense que lorsque vous exécutez des tâches de premier niveau comme la classification et l'organisation des données, l'IA peut le faire. Cependant, quand il s'agit de tâches devant mobiliser un processus de pensée critique comme celles relatives au renseignement, aux menaces et à leurs relations, l'IA n'est pas suffisante."
Ivan Fontarensky, directeur technique chez Thales, va plus loin : "l'analyste doit être vigilant, challenger l'IA et vérifier qu'elle fait bien ce qu'il attend d'elle. Il doit chercher à comprendre ce qu'elle génère même quand il s'agit d'un faux positif. C'est la raison pour laquelle, lors d'un brainstorming, nous avons eu l'idée avec mes équipes d'analystes d'instaurer une journée sans IA, afin que ceux-ci soient capables de faire leur travail même sans elle. Aussi, on demande parfois aux analystes d'utiliser l'IA seulement pour valider ou non leur choix dans le traitement d'un problème."
Boîte noire et conformité : le risque du manque de transparence
Il n'est pas toujours aisé pour un analyste de comprendre ce que génère une IA en raison de son "manque de transparence", observe Florence Mottay. Et pour cause, "la plupart des algorithmes sont des boîtes noires", affirme Jad Tabet. "Ils produisent des résultats sans expliquer la manière dont ils les ont obtenus. C'est donc à l'analyste de prendre du temps pour essayer de comprendre pourquoi l'algorithme en est arrivé à tel ou tel résultat", ajoute-t-il. Or la traçabilité du raisonnement de l'IA est "importante pour la conformité", affirme Philippe Bacha, directeur général de Karman Cyber Defence. Bien que le règlement Dora et la directive NIS 2 ne l'imposent pas, elle est en effet essentielle pour effectuer les suivis, notifications et comptes-rendus d'incidents qu'ils exigent.
Toutefois, "l'IA des SOC nouvelle génération délivre ses raisonnements avant même qu'elle ne s'exécute", assure Ivan Fontarensky. Il en va par exemple ainsi de la plateforme de gestion unifiée des terminaux de Tanium. Appelée Tanium XEM (Converged endpoint management), celle-ci permet aux organisations d'opérer leur propre SOC en bénéficiant d'une transparence de la part de son IA. "Nous ne souhaitions pas que notre solution soit une boîte noire", confirme Melissa Bischoping, directrice du département de recherche sur la sécurité et la conception des produits chez Tanium. "C'est pourquoi nous exposons le raisonnement de l'IA afin que l'utilisateur puisse prendre une décision en toute confiance. Celui-ci peut même modifier les playbooks proposés par la solution pour la remédiation et avant leur déploiement", ajoute-t-elle. Ce type d'IA transparente dans le SOC permet "à la règle qu'elle génère d'être exécutée étape par étape et à l'analyste de mieux comprendre son cheminement", selon Ivan Fontarensky.
Local ou générique : quel modèle est le moins risqué ?
Enfin, l'IA dans le SOC tend à s'entraîner de plus en plus sur des données locales propres à l'organisation dont elle doit garantir la cybersécurité. Cela lui permet de s'adapter aux spécificités de chaque entreprise ou secteur (flux réseau, comportement des utilisateurs, systèmes utilisés, etc.) pour affiner ses détections et produire moins de faux positifs. "La localisation de la cybersécurité est bénéfique car un incident dans le retail n'a pas la même nature que dans un autre secteur", précise Ivan Fontarensky.
Toutefois, Florence Mottay ne partage pas le même avis. Selon elle, il est au contraire important de ne pas entraîner l'IA sur les données de l'entreprise dans laquelle elle est déployée. En restant générique et pré-entraînée sur des données d'industries, elle bénéficie des "modèles les plus riches possibles. Je pense que c'est très important que l'IA soit entraînée sur le plus de données possibles, les plus vastes et variées. En effet, les attaques sont toutes les mêmes pour chaque entreprise. Il est donc très important de conserver toutes les facettes des menaces qui touchent toute l'industrie", ajoute-t-elle. "Il faut plutôt trouver une balance entre les deux modèles", estime pour sa part Jad Tabet : "un modèle de machine learning trop générique ne détectera plus rien et produira des faux positifs. Mais un modèle trop local va trop aller dans le détail et nécessitera beaucoup trop de travail."