L'intelligence artificielle est partout, et notamment dans la sécurité informatique. Pour comprendre ses impacts dans le domaine de la détection et la réponse à incidents, l'Agence nationale de la sécurité des systèmes d'information (Anssi) vient de dévoiler une étude, commandée au cabinet Wavestone.
Dans le cadre de ces travaux, 18 éditeurs de solutions cyber ont été interrogés, des acteurs français comme Sekoia, HarfangLab et Tehtris, ainsi que des étrangers avec Microsoft, Trellix et Exabeam.
Les SOC déploient des outils d'IA
Rappelons que la détection et la réponse à incidents désigne un ensemble de processus et d'outils utilisés pour repérer, analyser et réagir face aux cyberattaques au sein d'un système d'information. Ces fonctionnalités sont souvent prises en charge dans des environnements spécialisés : les centres opérationnels de sécurité (SOC).
Face à la complexité des menaces, les SOC déploient de plus en plus d'outils alimentés par des systèmes d'IA. L'étude distingue deux grandes familles d'usage : l'IA prédictive qui est principalement utilisée pour détecter les anomalies, identifier les malwares, analyser les comportements suspects ou encore prioriser les alertes ; l'IA générative qui intervient dans des tâches plus complexes comme l'assistance à l'investigation, la génération de rapports ainsi que l'orchestration autonome de réponses.
La tendance actuelle montre, sans grande surprise, un basculement progressif vers les usages de l'IA générative, en particulier pour la qualification des incidents, note l'étude.
Modèles prédictifs internes, modèles génératifs externalisés
Par ailleurs, l'étude révèle que la quasi-totalité des éditeurs interrogés développent leurs propres modèles d'IA prédictive en s'appuyant sur des librairies open source. En revanche, les modèles d'IA générative reposent en grande partie sur les grands modèles de fondation fournis par des acteurs comme OpenAI à l'origine de ChatGPT, Google avec Gemini et Microsoft avec Copilot.
L'hébergement de ces modèles soulève des enjeux en matière de maîtrise des données. Trois grandes options coexistent, précise l'étude : un hébergement chez l'éditeur de la solution, offrant une maîtrise moyenne ; un hébergement interne chez le client, avec une maîtrise forte ; un accès via API à des modèles externes, avec une maîtrise faible des données.
En conclusion de cette étude, l'Anssi liste plusieurs pistes de réflexion : le besoin de financer des projets innovants en la matière, l'anticipation de l'apport de l'IA sur d'autres segments de la cybersécurité ainsi que l'identification des bons leviers d'action pour accompagner l'offre.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
