Selon CEUR Workshop Proceedings (STPIS25), une étude de l’Université de Portsmouth analyse l’intégration de l’IA (machine learning appliqué) dans les Security Operations Centres (SOC) via une enquête mixte auprès de 58 professionnels de la cybersécurité. Le travail se concentre sur l’IA pour la détection d’anomalies et le tri des alertes, en excluant les modèles génératifs (LLM).
Principaux constats quantitatifs: 68% déclarent utiliser au moins une technologie d’IA en opérations SOC. Les cas d’usage dominants sont le tri/détection des menaces, l’analyse de trafic réseau, l’identification de comportements, la détection de phishing et l’automatisation de tickets/réponse. 84% jugent l’IA efficace pour réduire les alertes non pertinentes et l’alert fatigue. La confiance reste conditionnelle: 19% déclarent une forte confiance, 34% une confiance partielle, avec une préférence pour l’IA en corrélation/enrichissement plutôt qu’en scorage de sévérité.
Impact sur les rôles: l’IA est perçue comme un copilote déchargeant le tri initial au profit d’analyses et de threat hunting; 62% signalent un changement notable de routine. Les grandes organisations montrent une intégration plus avancée; les petites citent des freins budgétaires/compétences. Environ 29% limitent les actions autonomes de l’IA à des cas à faible impact, privilégiant des modèles human-in-the-loop.
Enjeux et limites: 57% n’ont reçu aucune formation formelle malgré l’usage des outils, créant un décalage compétences/déploiement. Des préoccupations éthiques sont relevées (sources de données, biais, redevabilité, vie privée). Le contexte réglementaire (p. ex. AI Act de l’UE, NIST AI RMF) et les approches de collaboration (équipes transverses, boucles de retours type DevSecOps) sont mis en avant. Sur le plan technique, l’étude rappelle des limites telles que la dérive des données et l’exposition aux attaques adversariales.
Variations sectorielles et gouvernance: le secteur public/infra critiques signale des processus d’approbation plus stricts impliquant juridique/conformité, tandis que le privé insiste sur productivité et coût. Globalement, l’efficacité de l’IA dépend d’une gouvernance transparente, d’une supervision humaine continue et du développement professionnel. Il s’agit d’une publication de recherche visant à éclairer les considérations socio-techniques de l’adoption du machine learning en SOC.
🔗 Source originale : https://ceur-ws.org/Vol-4134/paper28.pdf