Des analystes et des agents: l’IA dans la cyberdéfense 

La force de l’intelligence artificielle réside dans le traitement de grandes quantités de données, par exemple dans le domaine de la cyberdéfense. Mais quels sont les scénarios d’utilisation envisageables, que révèlent les tendances et comment les agents d’IA peuvent-ils venir en aide aux spécialistes? Coup d’œil sur un futur pas si lointain. 

Texte: Andreas Heer, Image: Swisscom, Date: September 2025        12 Min.

L’intelligence artificielle (IA) est prédestinée à être utilisée dans la cyberdéfense, notamment au sein Swisscom Security Operation Center (SOC). En effet, les analystes de la sécurité se noient souvent dans une mer de données d’alertes et de messages d’avertissement provenant de fichiers journaux. C’est donc le terrain idéal pour exploiter les atouts de l’IA en matière de traitement et d’analyse de grandes quantités de données. L’IA propose-t-elle donc un remède contre la «fatigue d’alerte», qui entraîne la négligence d’informations importantes en raison de leur quantité? Cet article traite de la manière dont l’intelligence artificielle (générative) peut être utilisée pour la cyberdéfense, ainsi que des évolutions et des tendances qui se dessinent. 

Quelle IA choisir? 

L’utilisation de l’IA n’a rien d’une nouveauté au SOC, mais cela dépend de ce que l’on entend par là. Les modèles d’apprentissage automatique (ML) ont depuis longtemps fait leurs preuves pour établir des pronostics compréhensibles à partir de grandes quantités de données, déterminer le niveau de risque ou détecter des anomalies. 

«La tendance est aux agents d’IA capables de traiter des incidents simples de manière autonome»

Dusan Vuksanovic, esponsable du Swisscom Outpost à Palo Alto 

La situation est différente avec les grands modèles de langage (LLM) de l’intelligence artificielle générative (GenAI). Cette technologie plutôt nouvelle, qui connaît d’ailleurs un développement fulgurant, vient tout juste de frapper à la porte (bien sécurisée) du SOC. Il ne s’agit pas tant des chatbots connus comme ChatGPT ou Copilot, mais plutôt d’assistants numériques qui prêtent main forte aux analystes. Dusan Vuksanovic, responsable du Swisscom Outpost à Palo Alto, fait état des évolutions actuelles: «La tendance est aux agents d’IA capables de traiter des incidents simples de manière autonome. 

Sécurité informatique: un Security Operation Center moderne en réponse aux menaces d’un nouveau genre.

Des agents d’IA au service des humains 

Un agent d’IA est un logiciel capable de collecter de manière autonome des informations à partir de différentes sources et de les évaluer à l’aide de l’apprentissage automatique ou d’un LLM. En fonction du résultat, l’assistant virtuel peut ensuite déclencher une action. Ainsi, un agent d’IA pourrait par exemple extraire des informations concernant un événement de sécurité de la SIEM via une API, les enrichir avec des informations de Threat Intelligence et déclencher lui-même le playbook SOAR correspondant en cas de confirmation de l’incident. Un ordinateur portable infecté pourrait ainsi être automatiquement déconnecté du réseau, et l’analyste SOC n’aurait plus qu’à confirmer l’opération. 

En effet, les agents d’IA ne remplacent pas les spécialistes, mais les déchargent des tâches de routine en réduisant le travail manuel. Dans ce scénario, les spécialistes gardent le contrôle. Les évolutions actuelles chez les fournisseurs de solutions de sécurité vont dans ce sens, comme l’explique M. Vuksanovic: «Depuis plusieurs mois, l’industrie mise sur l’IA pour les Security Operations. Les premiers projets sont déjà en cours, avec des résultats prometteurs.» Une évolution que partage Oliver Stampfli, Head of Cyberdefence B2B chez Swisscom: «Les agents d’IA peuvent aider les spécialistes à rassembler des informations permettant de prendre ou de proposer des décisions en réponse aux incidents.» 

Exemples d’utilisation de l’IA dans la cyberdéfense 

«Actuellement, les agents d’IA ont tendance à agir comme des analystes autonomes. Ils aident à automatiser les tâches de premier niveau au sein du SOC et assistent les spécialistes, par exemple dans la préparation et l’analyse des données», explique Beni Eugster, Cloud Operation and Security Officer chez Swisscom. Mais les assistants virtuels ont bien plus à offrir que l’exécution de tâches simples. Les spécialistes observent encore d’autres tendances: 

  • Assistance dans les cas complexes: Si, en cas d’incident de sécurité, d’importants volumes de données provenant de différentes sources doivent être corrélés, l’agent d’IA peut s’en charger. Les spécialistes, qui n’ont plus à s’occuper de ces tâches de routine, peuvent mettre leur expertise au service de projets spécifiques. . 
  • Managed Detection and Response (MDR): Les agents d’IA prennent en charge les étapes de la détection des menaces jusqu’à la réaction à ces dernières de manière autonome, sous le contrôle d’un humain. «Nous pensons que cela permettra de résoudre automatiquement jusqu’à 80% des incidents, estime M. Vuksanovic. Les coûts liés au MDR s’en trouveront également réduits, ce qui pourrait intéresser les PME.» 
  • Reporting automatisé: L’établissement de rapports relatifs à l’Incident Response se distingue par deux caractéristiques: il s’agit d’un processus relativement standardisé qui fait partie des tâches les moins appréciées des spécialistes en cybersécurité. Dans ce domaine, l’IA peut apporter son aide de différentes manières: un chatbot GenAI peut aider à formuler, à résumer ou à traduire dans d’autres langues lesdits rapports. À un niveau plus avancé, un agent d’IA peut collecter de manière autonome les informations nécessaires et établir le rapport sur cette base. 
  • Vulnerability Management: Un agent d’IA peut collecter des informations à partir de sources telles que les flux de Threat Intelligence, les avis de sécurité ou les banques de données d’exploits et ainsi évaluer les risques. Cette approche proactive peut aider à détecter les nouvelles menaces à un stade précoce. 

L’évolution du travail en matière de cyberdéfense 

L’intelligence artificielle ne remplacera pas les analystes de la sécurité humains, mais elle les assistera. Grâce à une analyse automatisée, ces derniers pourront, sur la base de leurs connaissances techniques et de leur expérience, procéder plus rapidement à une évaluation et prendre les mesures appropriées. Avec GenAI, les analystes juniors bénéficient en outre d’un coach virtuel disponible à tout moment et qui les aide dans leur travail quotidien. En prenant en charge certaines tâches de routine, l’IA libère du temps aux analystes de la sécurité, qui peuvent en profiter pour mettre leur expertise au profit de la résolution de cas complexes. M. Vuksanovic y voit un net avantage: «Les spécialistes peuvent se concentrer sur l’analyse et les recommandations d’action. Cela leur permet de prendre de meilleures décisions.»  

Cette façon de travailler avec des assistants virtuels modifie non seulement le type de travail, mais aussi les exigences envers les spécialistes. La communication, en particulier, gagne en importance. Cela vaut aussi bien pour la validation des propositions de l’IA que pour leur interprétation et l’échange des résultats avec d’autres membres de l’équipe. À cela s’ajoute une compréhension de base du fonctionnement des modèles et des agents d’IA afin de pouvoir évaluer la qualité des résultats.  

Aborder la transformation de l’IA dans la cyberdéfense 

Les agents d’IA sont le fruit d’un développement technologique récent qui n’en est qu’à ses débuts. «Nous observons que ce développement est essentiel pour l’industrie de la sécurité, les start-ups, les fournisseurs établis et aussi les investisseurs», explique M. Vuksanovic. Du côté des clients, dans les entreprises, de premiers projets et Proof of Concepts sont mis en œuvre afin d’explorer les possibilités – «avec des résultats prometteurs», ajoute M. Vuksanovic. Actuellement, deux approches se dessinent pour intégrer les agents d’IA dans les Security Operations: 

  • Nouvelles solutions SIEM et SOAR basées sur des agents: Cette approche offre une large intégration des agents d’IA, mais nécessite le remplacement des systèmes existants. De tels projets sont donc d’une ampleur considérable. 
  • Extension des solutions existantes: Il peut s’agir d’améliorations qui soutiennent les agents d’IA dans certaines étapes de travail, ou encore de solutions d’intelligence artificielle séparées, qui sont implémentées par la suite et qui accèdent aux systèmes existants via des API.  

La cyberdéfense se développe 

GenAI et les agents d’IA vont modifier les processus et les tâches dans le domaine de la cyberdéfense. «L’utilisation d’IA agentique dans un SOC offre le potentiel d’une plus grande efficacité, de temps de réaction plus courts et d’une analyse complète des menaces, souligne Oliver Stampfli. Dans l’ensemble, cela peut conduire à une amélioration significative de la situation en matière de sécurité.» Les avantages escomptés sont indéniables, mais il faut rester conscient des potentiels risques. Outre l’aspect de la sécurité des données, tout repose sur les réponses et les décisions des agents d’IA, comme l’explique M. Stampfli. «Il est important de tenir compte des implications éthiques et de sécurité afin de minimiser les risques tels que les mauvaises décisions et les conséquences néfastes que celles-ci pourraient entraîner.» 

Autres articles