Les équipes SOC restent confrontées à un problème structurel : une part importante de leur temps est absorbée par la qualification des alertes, au détriment de l’analyse et de la réponse aux incidents. Sur ce point, l’évolution des approches, notamment autour de l’IA, ouvre des perspectives concrètes mais pose aussi des questions d’organisation.
David Bizeul, cofondateur et en charge de la direction scientifique chez Sekoia.io, revient sur la manière dont ces transformations impactent le fonctionnement des SOC.
Comment les équipes SOC gèrent-elles aujourd’hui le volume d’alertes à analyser au quotidien ?
David Bizeul : Aujourd’hui, nous constatons que le volume d’alertes reste un sujet central pour les équipes SOC. Leur rôle consiste à détecter, puis qualifier les menaces remontées par les outils de sécurité. Concrètement, cela signifie analyser chaque alerte pour déterminer si elle correspond à une activité malveillante réelle ou à un faux positif.
“Chaque alerte nécessite une reconstruction complète du contexte.”
Dans la pratique, une grande partie du travail repose sur cette phase de préqualification. Les analystes doivent collecter des informations, croiser différentes sources, et reconstituer le contexte de l’alerte. Par exemple, lorsqu’un événement est détecté sur un firewall, il faut vérifier si ce comportement existe ailleurs dans le système d’information, ou s’il est isolé. De la même manière, si une passerelle email indique qu’une communication a été tentée, il est nécessaire de vérifier si elle a réellement abouti en s’appuyant sur d’autres équipements.
Ce travail d’analyse repose sur des enchaînements de vérifications successives. Les analystes interrogent différents systèmes, lancent des requêtes, consolident les données. C’est une activité indispensable, mais très consommatrice de temps, car elle doit être réalisée pour chaque alerte, avec un niveau d’exigence élevé.
Quelles sont les tâches les plus chronophages dans cette phase de triage ?
La phase de triage concentre à elle seule une part très importante de la charge de travail. Nous estimons qu’elle peut représenter jusqu’à 50 % du temps des équipes SOC. Cela signifie que, dans une équipe de six personnes, trois peuvent être mobilisées en permanence sur cette seule activité.
Ce qui prend du temps, ce n’est pas une action isolée, mais l’accumulation de micro-tâches. Chaque alerte déclenche une série de vérifications : rechercher des machines similaires sur le réseau qui auraient généré le même comportement, analyser un processus détecté, vérifier son existence et sa légitimité, ou encore corréler des informations issues de plusieurs sources.
Prenons un cas concret. Une alerte peut indiquer qu’une communication suspecte a été bloquée. L’analyste doit alors vérifier si cette communication a été tentée ailleurs, si elle a réussi via un autre canal, et si elle s’inscrit dans un schéma plus large. Cela implique d’interroger plusieurs briques du système d’information et d’agréger les résultats.
Ce travail est répétitif, mais il nécessite un raisonnement structuré, proche de celui d’un analyste expérimenté. C’est précisément cette combinaison entre répétition et complexité qui en fait une activité particulièrement chronophage.
Quelles approches sont mises en place pour améliorer l’efficacité de cette première analyse ?
Nous avons travaillé sur l’intégration de mécanismes capables de reproduire ce raisonnement de manière automatisée au sein de la plateforme Sekoia.io. L’idée n’est pas seulement d’accélérer une tâche, mais de structurer un enchaînement logique d’analyses, similaire à celui qu’un analyste senior appliquerait.
“Nous reproduisons le raisonnement d’un analyste senior.”
Concrètement, nous développons des agents capables de prendre en charge la phase de préinvestigation. Lorsqu’une alerte est déclenchée, ces agents vont enchaîner les vérifications nécessaires : lancer des requêtes pour identifier des comportements similaires, interroger différentes sources de données, consolider les informations et construire une première qualification.
L’agent ne se contente pas d’exécuter une tâche unique. Il s’appuie sur le contexte du client, sur les données disponibles dans son système d’information, et sur des outils qui lui permettent d’agir directement sur les différentes briques techniques. Il va, par exemple, vérifier l’existence d’un processus, comparer des événements sur plusieurs machines, ou encore croiser des informations issues d’un firewall et d’une passerelle email.
À la fin de ce processus, l’agent est capable de produire une qualification de l’alerte, avec un niveau de confiance, en indiquant s’il s’agit d’un vrai positif ou d’un faux positif. L’objectif est de réduire significativement le volume d’alertes nécessitant une intervention humaine dès les premières étapes.
En quoi ces évolutions changent-elles le rôle des analystes au sein du SOC ?
L’impact principal est une redistribution du travail. En automatisant la phase de triage, nous réduisons le temps consacré aux tâches répétitives, ce qui permet aux analystes de se concentrer sur des activités à plus forte valeur.
Dans le modèle que nous mettons en place, l’analyste reste dans la boucle, mais à un niveau différent. Il intervient après la phase de préqualification réalisée par l’agent. Son rôle consiste alors à valider l’analyse, à affiner la qualification si nécessaire, et à décider des actions à mener.
Cela signifie que nous passons d’un modèle où les analystes sont mobilisés en permanence sur des tâches de vérification, à un modèle où ils interviennent sur des cas déjà contextualisés. Ils disposent d’une vision plus claire, avec des éléments consolidés, ce qui leur permet d’aller plus vite et de se concentrer sur les décisions.
Dans l’exemple que nous évoquions, si une équipe de six personnes consacre aujourd’hui trois équivalents temps plein au triage, l’automatisation permet de récupérer cette capacité. Ces ressources peuvent alors être réaffectées à l’investigation approfondie ou à la réponse aux incidents.
Comment anticipez-vous l’évolution du traitement des alertes à moyen terme ?
Nous considérons que la logique actuelle va se prolonger vers des capacités d’automatisation plus avancées. Aujourd’hui, dans Sekoia.io, nous sommes déjà capables d’automatiser certaines actions de manière ciblée. Par exemple, déclencher une remédiation sur un équipement spécifique.
La prochaine étape consiste à aller vers des systèmes capables de décider eux-mêmes des actions à mener, en s’appuyant sur le même type de raisonnement que celui utilisé pour le triage. L’objectif est de passer d’une automatisation ponctuelle à une chaîne de traitement plus complète, allant de la détection à l’action.
Cela implique de s’appuyer sur des données de qualité. Pour que ces systèmes soient pertinents, ils doivent disposer d’une bonne connaissance de la menace, d’une visibilité sur l’activité du système d’information, et d’une compréhension fine des assets. Si l’un de ces éléments manque, le raisonnement sera biaisé et les décisions moins fiables.
Nous restons néanmoins dans une logique progressive. L’humain conserve un rôle central, notamment pour valider les décisions et gérer les cas complexes. L’enjeu n’est pas de supprimer l’intervention humaine, mais de la repositionner là où elle apporte le plus de valeur.
À lire également : « Poison, antidote et bouc émissaire » : quel rôle pour le RSSI en collectivité ?
