Teknik - Mythos no hype
02 mai 2026
Parce que... c'est l'épisode 0x2F9!
Spécial - Naviguer à travers les sept îles (7 islands)
28 avril 2026
Parce que... c'est l'épisode 0x2F8!
Spécial - Rebondissement dans l'univers WordPress
05 mai 2026
Parce que... c'est l'épisode 0x2F7!
Actu - 10 mai 2026
10 mai 2026
Parce que... c'est l'épisode 0x2F6!
Spécial - RETEX conférence S3NS 2026 aka part 2
02 mai 2026
Parce que... c'est l'épisode 0x2F5!
Spécial - Vraust.ai ou comment protéger les personnes vulnérables de la fraude (Propolys)
28 avril 2026
Parce que... c'est l'épisode 0x2F4!
Teknik - La place du tooling dans le threat intelligence (CTI)
30 avril 2026
Parce que... c'est l'épisode 0x2F3!
Actu - 3 mai 2026 (edition home sweet home)
03 mai 2026
Parce que... c'est l'épisode 0x2F2!
PME - Retour d'expérience sur la première cohorte du programme UQTR FORCE
27 mars 2026
Parce que... c'est l'épisode 0x2F1!
Le gazon selon Cyber Citoyen et PolySécure
22 avril 2026
Parce que... c'est l'épisode 0x2F0!
Actu - 26 avril 2026
26 avril 2026
Parce que... c'est l'épisode 0x2EF!
Teknik - IA SOC
04 mars 2026
Parce que... c'est l'épisode 0x2EE!
Parce que… c’est l’épisode 0x2EE!
Shameless plug
- 28 et 29 avril 2026 - Cybereco Cyberconférence 2026
- 9 au 17 mai 2026 - NorthSec 2026
- 3 au 5 juin 2026 - SSTIC 2026
- 19 septembre 2026 - Bsides Montréal
- 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
- 24 et 25 février 2027 - SéQCure 2027
Description
Un historique souvent oublié
David Bizeul rappelle d’emblée que l’intelligence artificielle en cybersécurité n’est pas un phénomène récent. Ses racines remontent aux années 1950 avec les travaux d’Alan Turing, mais c’est surtout à partir des années 1990 que le machine learning commence à s’intégrer concrètement dans les produits de sécurité. Les systèmes experts et les algorithmes de classification — supervisés ou non supervisés — permettent alors de traiter de grands volumes de données : filtres bayésiens pour les e-mails, détection d’anomalies réseau via les outils NDR, etc.
Cette évolution se fait progressivement et sans grand bruit jusqu’en 2023, où l’architecture Transformer de Google — à l’origine de ChatGPT et d’OpenAI — change radicalement la donne. Les LLM (grands modèles de langage) ouvrent de nouvelles possibilités dès lors qu’on leur fournit un corpus textuel structuré. Les produits de sécurité intègrent d’abord des assistants conversationnels, capables de répondre à des questions sur des groupes d’attaquants ou des menaces connues, en s’appuyant simplement sur ce que le modèle a appris.
Vient ensuite le RAG (Retrieval-Augmented Generation), qui permet de combiner la connaissance générale du LLM avec des données internes propres à chaque client : analyses de risques, politiques de sécurité, rapports de tests d’intrusion. Le contexte devient ainsi beaucoup plus pertinent et personnalisé.
L’ère agentique : plusieurs agents qui collaborent
La véritable rupture arrive avec l’approche agentique, qui s’impose véritablement à partir de fin 2025 et début 2026. Plutôt qu’un modèle unique qui répond à des requêtes, on dispose désormais d’un framework composé de plusieurs agents spécialisés qui travaillent ensemble de façon orchestrée.
David illustre cela avec un cas d’usage concret dans un SOC :
- Un agent d’investigation analyse les alertes en profondeur : il examine les événements associés, identifie les actifs concernés, recoupe les informations pour confirmer si une attaque a réellement progressé ou a été bloquée.
- Un agent de triage joue le rôle d’orchestrateur : il mobilise l’agent d’investigation sur l’ensemble des alertes en attente, puis produit un verdict ou un score de pertinence pour chacune d’elles.
- Un agent de contre-mesures prend le relais une fois la situation clarifiée : il propose des actions correctives en tenant compte des outils disponibles (présence ou non d’API, de protocoles MCP) et de leur accessibilité réelle dans l’environnement du client.
Chaque agent dispose d’un périmètre d’action délimité, d’une capacité de raisonnement (un LLM interne ou externe) et d’une batterie d’actions possibles. C’est exactement la trajectoire suivie par l’entreprise de David, qui déploie ces modules agentiques cette année.
Maîtriser les hallucinations et personnaliser les agents
Pour s’assurer qu’un agent reste dans les rails, plusieurs mécanismes sont mis en place. Le premier est le system prompt : une instruction détaillée — parfois l’équivalent de cinq pages — qui définit les objectifs, les étapes à suivre et les comportements à éviter. Les clients peuvent ensuite surcharger ces instructions avec leurs propres règles métier. Par exemple, une entreprise qui préfère parler d’un « score de 0 à 100 » plutôt que de « faux positifs » peut reconfigurer l’agent en conséquence.
Pour réduire les hallucinations, il est également possible de faire itérer un agent sur plusieurs passes de vérification, voire de solliciter plusieurs LLM différents afin de confronter leurs points de vue. David donne l’exemple d’un agent de renseignement sur les menaces étatiques : interroger successivement un modèle américain, européen et chinois permet de mettre en évidence des biais géographiques, puis de synthétiser une vue équilibrée. Cette approche multi-modèles n’est cependant pas systématiquement recommandée : elle multiplie les coûts et la latence, et n’apporte une valeur réelle que pour des questions à fort enjeu stratégique.
Choisir son modèle : externe, interne ou spécialisé
Trois grandes options s’offrent aux organisations :
- L’API externe (OpenAI, Anthropic, etc.) : simple à mettre en œuvre, mais nécessite un encadrement contractuel rigoureux pour la protection des données.
- Le modèle open source hébergé en interne : instancié sur les propres GPU de l’entreprise, il garantit confidentialité et maîtrise de la latence, au prix d’une infrastructure plus lourde.
- Le DSLM (Domain-Specific Language Model) : un modèle entraîné spécifiquement pour la cybersécurité, plus léger et plus rapide qu’un LLM généraliste, à l’image de ce qu’avait réalisé Cisco. Cette approche marque en quelque sorte un retour aux origines du machine learning spécialisé, mais enrichi des apports de l’architecture Transformer.
Impact sur les équipes : augmentation, pas remplacement
L’IA ne remplacera pas les analystes SOC, mais elle transformera profondément leurs rôles. Le triage — tâche répétitive et chronophage — sera bientôt entièrement automatisé. Les analystes seront alors libérés pour se concentrer sur des missions à plus forte valeur ajoutée : detection engineering, gestion de crise, définition des règles d’automatisation.
Le paradigme évolue du « human in the loop » — l’humain intégré dans la boucle, qui la ralentit — vers le « human on the loop » : l’humain en posture de pilotage, qui supervise et ajuste sans intervenir à chaque étape. Face à des attaques de plus en plus automatisées et rapides (des outils comme Shannon permettent déjà de séquencer des opérations de pentest de façon autonome), la défense n’a pas d’autre choix que de s’automatiser à son tour.
Une question sans réponse : la formation des futurs experts
La discussion se conclut sur une interrogation ouverte et préoccupante : si les postes de niveau junior — qui constituaient historiquement le terrain d’apprentissage des futurs seniors — disparaissent au profit de l’automatisation, comment formera-t-on les experts de demain ? Une piste serait d’utiliser l’IA elle-même pour accélérer la montée en compétences via des simulations réalistes. Mais la question reste entière, et David l’admet sans détour : il n’a pas la réponse.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux virtuels par Riverside.fm
Tags: ai, ia, soc
Tweet
