Je suis tombé cette semaine sur un article du Hacker News qui référence le SOC-CMM 2026 Maturity Report, une étude annuelle menée auprès d’environ 200 SOC à travers le monde. Le chiffre qui m’a arrêté : seulement 10 % des SOC déclarent obtenir une valeur excellente de leurs déploiements IA. 71 % rapportent une valeur partielle ou nulle. Dix-huit mois après le début des déploiements à grande échelle.

Ça ne m’a pas surpris. Mais ça méritait qu’on en parle sérieusement.

Ce que le rapport dit vraiment

Le rapport ne dit pas que l’IA ne fonctionne pas. Il dit que la majorité des SOC l’ont adoptée sans stratégie. Concrètement : 57 % des SOC n’ont pas de stratégie d’adoption de l’IA en place. 65 % utilisent des LLM sans modification, directement sortis de la boîte. 40 % n’ont aucune personnalisation de leurs outils IA. 42 % les utilisent sans les intégrer formellement à leurs opérations.

C’est l’image d’un secteur qui a adopté l’IA par réflexe, pas par design.

Les types d’IA utilisés sont variés : LLM génériques, copilotes intégrés aux outils existants (Microsoft Sentinel, CrowdStrike, Splunk), agents IA pour le triage et l’enrichissement et une montée en puissance de l’IA agentique. L’automatisation a progressé fortement dans l’enrichissement (+56 %), la réponse automatisée (+117 %) et la déduplication (+81 %). Ce qui fonctionne, c’est l’automatisation bien délimitée. Ce qui déçoit, c’est l’IA générative utilisée sans cadre.

Le vrai problème : le contexte

J’ai monté et restructuré plusieurs SOC au fil des années. Quand je regarde pourquoi l’IA ne livre pas de valeur, la réponse est presque toujours la même : l’agent n’a pas le bon contexte.

Un agent IA sans contexte produit des généralités. Il rate les signaux faibles. Il reste coincé dans son silo (SIEM, EDR ou système de tickets). Il ne sait pas que l’alerte sur ce poste de travail appartient à un compte à privilèges, que cet utilisateur a déjà déclenché un faux positif similaire trois fois ce mois-ci, ou que cet actif est critique pour la production.

Sans ce contexte, l’agent triage mal. Et un mauvais triage avec de la vitesse, c’est pire qu’un bon triage lent.

À l’opposé, si on donne à l’agent un accès non gouverné à tout l’environnement pour régler ce problème, on crée un autre risque : trop de permissions, trop de surfaces d’erreur et aucune traçabilité des décisions automatisées.

Ce qui manque entre les deux, c’est une architecture de contexte et de gouvernance.

Ce que ça veut dire en pratique

Sur le contexte à fournir :

Pour qu’un agent IA soit utile dans un SOC, il doit avoir accès, de façon structurée et délimitée, à l’identité de l’utilisateur et son profil de risque, la criticité de l’actif concerné, l’historique des incidents et des décisions prises par les analystes, les exceptions et faux positifs documentés et les règles de détection actives avec leur logique.

Des plateformes comme Recorded Future, ThreatConnect ou MISP peuvent alimenter la couche de renseignement. Des outils comme ServiceNow Security Operations ou Jira Service Management conservent l’historique décisionnel. Le CMDB reste la source de vérité sur les actifs. Si ces sources ne sont pas connectées à l’agent, il opère dans le vide.

Sur la gouvernance à mettre en place :

Le rapport identifie la gouvernance comme le défi numéro un pour les SOC, cité par 39 % des répondants. Ce n’est pas un hasard. Déployer de l’IA sans gouvernance, c’est déplacer le problème.

Concrètement, ça signifie définir par écrit ce que l’agent peut faire seul (enrichissement, déduplication, scoring de priorité), ce qui nécessite une validation humaine (isolation d’un poste, escalade, fermeture d’un incident), comment les décisions de l’agent sont auditées et révisées, et qui est responsable quand l’agent se trompe.

Des outils comme Microsoft Sentinel avec ses Playbooks Logic Apps, Palo Alto XSOAR ou Splunk SOAR permettent de définir ces garde-fous de façon opérationnelle. L’IA agentique, disponible dans des plateformes telles que Cortex XSIAM ou Elastic Security, doit être soumise aux mêmes contraintes.

Ce que le rapport recommande pour progresser

Le rapport SOC-CMM est clair sur les domaines où les SOC doivent investir pour sortir des 90 %.

Automatisation avant IA générative. Les gains les plus mesurables viennent de l’automatisation bien délimitée : enrichissement automatique des alertes, déduplication, génération de tickets. Ces cas d’usage sont matures, traçables et réversibles. C’est la fondation avant de passer à l’IA générative ou agentique.

Documenter les faux positifs connus. C’est l’une des sources de contexte les plus sous-exploitées. Un agent IA qui ne sait pas qu’une règle génère 95 % de bruit sur un environnement spécifique va répéter les mêmes erreurs que l’analyste fatigué qu’on cherchait à soulager.

Formaliser la detection engineering avant d’automatiser. Les SOC qui obtiennent de la valeur de l’IA ont d’abord structuré leur backlog de détection, idéalement aligné sur MITRE ATT&CK. Un agent qui travaille sur des règles mal définies va mal prioriser. Garbage in, garbage out.

Mesurer la valeur réelle, pas l’adoption. Beaucoup de SOC mesurent s’ils utilisent l’IA, pas ce qu’elle leur apporte. Les métriques à suivre sont le temps d’enrichissement par alerte avant/après, le taux de faux positifs traités automatiquement et le temps libéré pour les analystes de niveau 2 et 3. Sans ces métriques, impossible de savoir si on est dans les 10 % ou les 90 %.

Ce que j’en retiens

L’IA dans le SOC n’est pas un problème technologique. Les outils existent. Les plateformes s’améliorent vite. Le problème est opérationnel et de gouvernance.

Les années passées à faire tourner des SOC à l’ancienne donnent ici un avantage que les équipes plus récentes n’ont pas encore : on sait exactement où l’information se perd, où les transferts de responsabilité brisent la chaîne et où un accès mal défini devient un problème de sécurité.

L’IA ne va pas réparer un SOC mal structuré. Mais un SOC bien structuré peut utiliser l’IA pour faire en 2 minutes ce qui prenait 20 minutes à un analyste débordé.

La vraie question pour les équipes qui gèrent un SOC en ce moment : est-ce que vous avez défini ce que votre agent IA a le droit de faire, et comment vous allez auditer ses décisions ? Si la réponse est non, vous êtes dans les 90 %.

👉 Et vous, votre SOC est dans quel camp?