Leaders d’opinion
Réponse autonome aux incidents : où l’IA peut agir seule et où les humains sont toujours nécessaires

Les SOC modernes disposent d’une grande quantité de données de sécurité. Le problème est de transformer ces données en actions.
Une connexion suspecte peut être un compte compromis ou un employé légitime se connectant depuis un nouvel emplacement. L’activité malveillante peut être un faux positif. Une alerte cloud peut être une mauvaise configuration.
Dans tous les cas, les analystes doivent savoir ce qui s’est passé, quel actif a été affecté, à quel point ce risque est grave et si agir pourrait casser quelque chose d’important. Cela signifie souvent sauter d’un outil à l’autre, vérifier les journaux, enrichir les indicateurs, construire des chronologies et attendre l’approbation.
L’IA peut compresser ce processus. Elle peut collecter des preuves, corréler des événements liés, comparer le comportement à des modèles connus, enrichir les alertes avec des renseignements sur les menaces et produire une conclusion en quelques minutes ou même secondes. Dans certains scénarios définis, elle peut déclencher une containment.
Ce que signifie vraiment la réponse autonome
La réponse autonome doit avoir des limites claires et être spécifique à un scénario.
Un système de sécurité autonome ou agentic peut évaluer une alerte, enquêter sur le contexte environnant, décider si elle correspond à un modèle de réponse connu et prendre une action sans attendre un analyste humain. Mais cette action ne devrait se produire qu’à l’intérieur de limites approuvées.
Des exemples incluent la désactivation d’un compte compromis, l’isolement d’un point de terminaison infecté, le blocage d’infrastructures malveillantes connues, la révocation de sessions à risque et la mise en quarantaine de logiciels malveillants. La clé est que l’IA n’exécute que des actions approuvées contre des conditions définies.
Où l’autonomie fonctionne le mieux
L’autonomie fonctionne le mieux lorsque quatre conditions sont remplies :
- Le signal est de haute confiance : l’alerte est étayée par des preuves solides, telles que des infrastructures malveillantes connues, un comportement de logiciel malveillant confirmé, un voyage impossible ou plusieurs indicateurs corrélés.
- Le comportement est bien compris : l’organisation a vu le modèle auparavant et sait ce qu’il signifie généralement.
- L’action est limitée : la réponse affecte un compte, un point de terminaison, une session, un domaine ou un indicateur spécifique, et non un processus commercial entier.
- L’action est réversible : si le système se trompe, l’organisation peut restaurer l’accès, reconnecter le point de terminaison ou supprimer le bloc rapidement.
Un compte d’utilisateur compromis est un bon exemple.
Si un système d’identité détecte un voyage impossible, des règles de boîte de réception suspectes, une activité OAuth à risque et une connexion à partir d’infrastructures malveillantes connues, les attaquants peuvent avoir déjà causé des dégâts avant qu’un analyste humain n’approuve la première étape de containment. Un système d’IA, cependant, peut révoquer les sessions, forcer une réinitialisation du mot de passe, désactiver temporairement le compte et créer un cas pour examen par un analyste.
Un point de terminaison infecté est un autre bon exemple. Si les outils de point de terminaison confirment un comportement de logiciel malveillant connu sur un appareil non critique, l’isolement peut arrêter le mouvement latéral tout en préservant les preuves.
Où les humains sont toujours nécessaires
Cependant, la surveillance humaine reste essentielle – en particulier pour les incidents ambigus, les décisions à impact élevé et les cas où l’impact commercial n’est pas clair.
L’isolement d’un ordinateur portable d’employé peut être à faible risque. L’isolement d’un serveur de paiement, d’un système de fabrication, d’un appareil de soins de santé ou d’une application orientée client n’est pas. La désactivation d’un compte de contractant peut être simple. La désactivation d’un compte de service privilégié lié à des systèmes de production peut créer une perturbation grave.
En d’autres termes, plus l’impact potentiel est élevé, plus la surveillance humaine est importante.
Ce principe empêche deux résultats défavorables. Le premier : l’automatisation insuffisante, où les équipes gaspillent du temps à approuver des actions de confinement évidentes. Le deuxième : l’automatisation excessive, où les systèmes sont autorisés à apporter des changements importants sans suffisamment de contexte ou de contrôle.
L’IA peut automatiser plus que le triage
La plupart des gens sont familiers avec le triage d’alertes assisté par l’IA, mais croient que l’enquête est toujours une tâche exclusivement humaine. Mais cela commence à changer.
De nombreuses enquêtes suivent des étapes répétitives. Les analystes collectent des journaux, examinent le comportement des points de terminaison, vérifient l’activité des utilisateurs, enrichissent les indicateurs, comparent les événements avec des renseignements sur les menaces et écrivent une conclusion. Un analyste de la SOC d’IA peut maintenant effectuer une grande partie de ce travail rapidement et de manière cohérente.
Cela change le rôle de l’analyste, mais ne le supprime pas entièrement. Au lieu de collecter manuellement des preuves pour chaque alerte, les analystes examinent les résultats générés par l’IA, enquêtent sur les exceptions, affinent les detections, chassent les menaces et prennent des décisions sur des cas complexes ou à impact élevé.
Cela compte car la plupart des SOC ne peuvent pas enquêter en profondeur sur chaque alerte. Les recherches sur les violations de données d’IBM en 2025 ont constaté que l’utilisation intensive de l’IA et de l’automatisation a réduit les coûts de violation de 1,9 million de dollars et a raccourci les cycles de violation de environ 80 jours. L’IA permet aux équipes d’augmenter la qualité de base de l’enquête sans ajouter de personnel ou compter sur de grandes équipes de contractants pour des travaux répétitifs.
L’adoption est à la fois une préoccupation technique et de confiance
Les dirigeants de la sécurité ont raison d’être prudents quant à l’IA dans la SOC. L’action automatisée incorrecte peut verrouiller les utilisateurs, perturber les systèmes ou éroder la confiance dans la SOC. Même lorsque l’IA est précise, les équipes peuvent hésiter si elles ne peuvent pas voir pourquoi une décision a été prise.
C’est pourquoi l’autonomie efficace nécessite des garanties :
- Des limites d’action claires
- L’approbation humaine pour les systèmes sensibles
- Des journaux d’audit pour chaque décision
- Des actions de confinement réversibles
- Des seuils de confiance
- Des procédures de restauration
La plupart des équipes devraient commencer en mode observation. Laissez l’IA enquêter, recommander et documenter les actions tandis que les humains les approuvent. Une fois que le système s’est avéré fiable dans des scénarios spécifiques, ces scénarios peuvent passer à l’automatisation basée sur l’approbation, puis à l’autonomie totale lorsque cela est approprié. La confiance est gagnée par des succès contrôlés et répétés.
Ce que les dirigeants de la sécurité devraient réexaminer
L’IA appartient à la réponse aux incidents. La question est de savoir où elle devrait être autorisée à agir.
Commencez par les scénarios de réponse qui sont fréquents, sensibles au temps, bien compris, étayés par des signaux solides et réversibles. L’enquête sur le phishing, la containment d’un compte suspect, l’isolement de logiciels malveillants et le blocage de domaines malveillants sont des candidats logiques.
L’objectif est d’éliminer le décalage de décision répétitif de la SOC, et non d’éliminer les humains entièrement. L’IA peut valider, décider et agir dans des scénarios définis. Les humains devraient gouverner les limites, gérer l’ambiguïté et rester responsables du résultat.
t, l’isolement de logiciels malveillants, et le blocage de domaines malveillants sont des candidats logiques. L’objectif est d’éliminer le décalage de décision répétitif de la SOC, et non d’éliminer les humains entièrement. L’IA peut valider, décider et agir dans des scénarios définis. Les humains devraient gouverner les limites, gérer l’ambiguïté et rester responsables du résultat.












