Il y a dix-huit mois, le concept d'un Centre d'Opérations de Sécurité (SOC) alimenté par l'IA était largement un argument marketing. Aujourd'hui, c'est un poste budgétaire essentiel, avec des milliards investis dans des plateformes de sécurité pilotées par l'IA, des outils SOC agentiques et des copilotes IA intégrés dans toute la pile de sécurité. Les données indiquent que les SOC adoptent et déploient des capacités d'IA à un rythme sans précédent. Cependant, malgré cette adoption rapide, de nombreux SOC signalent des résultats décevants. La première évaluation objective de la valeur de l'IA dans le SOC, publiée dans le **SOC-CMM 2026 Maturity Report** en mai dernier, a interrogé environ 200 SOC. Seulement 10 % des répondants ont déclaré une valeur « excellente » de l'IA, tandis que 19 % ont cité une valeur « bonne ». Un nombre significatif de 71 % ont déclaré une valeur « faible » ou « nulle ». Cette tendance, dix-huit mois après le déploiement généralisé de l'IA, signale un problème structurel. Cet article examine ce que révèlent les données et ce que la prochaine évolution de l'IA dans les opérations de sécurité doit apporter pour combler cet écart de performance. ## Ce que montrent les données du SOC-CMM 2026 Trois conclusions clés de la section IA du **SOC-CMM 2026 Maturity Report** se démarquent et sont clairement corrélées. Premièrement, l'adoption de l'IA est en hausse dans toutes les catégories du SOC. Les modèles de langage larges prêts à l'emploi ont connu une augmentation de 55 % d'une année sur l'autre, les copilotes IA ont grimpé de 145 %, les agents IA de 118 %, l'apprentissage automatique supervisé de 96 % et les LLM personnalisés de 64 %. Cela suggère que les équipes SOC sur-investissent dans l'IA sans posséder la maturité opérationnelle nécessaire pour extraire une valeur significative de leurs achats. Deuxièmement, le modèle d'adoption prédominant est ce que le rapport appelle le « modèle du preneur » : déploiement d'IA prête à l'emploi au sein d'une pile de sécurité existante sans personnalisation. Environ 65 % des SOC interrogés s'identifient comme des preneurs, tandis que 20 % sont des « façonneurs » (personnalisant ce qu'ils achètent) et seulement 15 % sont des « constructeurs » (entraînant des modèles sur leurs propres données). Les preneurs représentent la plus grande cohorte et déclarent le moins de valeur. Ce modèle est valable pour les SOC hybrides, internes et les MSSP, indiquant une cause structurelle plutôt que circonstancielle. Troisièmement, le rapport souligne que les deux défis d'amélioration du SOC qui ont augmenté d'une année sur l'autre sont un manque de meilleures pratiques (+17 %) et la complexité d'une maturité croissante (+11 %). Inversement, des défis tels que les contraintes budgétaires et le manque de soutien de la direction ont diminué. Cela suggère que les SOC ne manquent pas de ressources ou d'adhésion de la part de la direction ; au contraire, ils ne savent pas comment exploiter efficacement l'IA qu'ils ont acquise. Cela résume l'écart de maturité de l'IA en un seul point de données. ## Pourquoi la première vague d'IA dans le SOC a sous-performé La première vague d'outils IA pour SOC était souvent livrée sous forme de fonctionnalités ajoutées à des produits de sécurité existants. Les **SIEM** ont gagné le triage par IA, les **EDR** ont reçu des capacités d'investigation par IA, les plateformes **SOAR** ont intégré la génération de playbooks par IA, et les outils de ticketing ont ajouté la synthèse par IA. Bien que chaque fonctionnalité soit fonctionnelle isolément, elles manquaient de contexte partagé. En pratique, cela signifie que les analystes SOC sont désormais confrontés à plusieurs assistants IA au lieu d'un système cohérent. L'agent de triage du SIEM n'a pas connaissance de ce que l'ingénieur de détection a mis en silence la semaine dernière. L'agent de chasse aux menaces de l'EDR ignore les renseignements sur les menaces récents. L'agent de synthèse de l'outil de ticketing ne connaît pas le contexte complet d'une investigation. Chaque agent accélère sa partie spécifique du flux de travail, mais aucun ne traite les transferts critiques entre ces parties – là où résident la plupart du temps et de la valeur du SOC. Les opérateurs SOC rapportent largement ce phénomène : les tâches individuelles sont plus rapides, mais le flux de travail global reste fragmenté. Ils décrivent qu'on leur demande d'apprendre plusieurs nouvelles interfaces d'agents alors que le problème principal – que le SOC fonctionne comme une chaîne d'étapes déconnectées – persiste. L'IA a accéléré les silos sans réellement les connecter. Le **SOC-CMM 2026 Maturity Report** quantifie cette dynamique. Le domaine technologique obtient systématiquement le score le plus élevé en matière de maturité (moyenne de 2,7 sur 5), tandis que le domaine des processus (gérant les transferts entre les étapes du SOC) et le domaine des personnes (connaissances institutionnelles et prise de décision) obtiennent tous deux des scores plus bas, à 2,3. L'acquisition de plus d'outils, y compris des outils d'IA, n'améliore pas ces chiffres ; dans certains cas, chaque nouvel outil exacerbe le problème en ajoutant un autre point de transfert. ## Ce qui est différent pour les SOC signalant une excellente valeur Les 10 % de SOC signalant une excellente valeur de l'IA n'utilisent pas nécessairement des outils ponctuels différents ; ils ont mis en œuvre l'IA au sein d'une structure architecturale fondamentalement différente. Trois distinctions clés les différencient des 71 % signalant une valeur minimale : 1. **L'IA opérant sur l'ensemble du cycle de vie du SOC** : Ces SOC mettent en œuvre une IA qui couvre l'ensemble du cycle de vie – renseignements sur les menaces, chasse aux menaces, détection, investigation et remédiation – les traitant comme des étapes interconnectées d'un seul flux de travail. Lorsque les agents partagent le contexte sur les cinq étapes, l'efficacité du SOC se multiplie. Chaque investigation clôturée affine la détection suivante, chaque résultat de chasse aux menaces met à jour le cycle de renseignements, et chaque remédiation informe les playbooks futurs. Ce tissu connecté est crucial pour une valeur durable, contrastant avec les organisations qui empilent simplement des fonctionnalités d'IA isolées. 2. **L'IA ancrée dans l'environnement dynamique** : Une IA générique produit des investigations génériques. La « normalité » varie considérablement entre un environnement de soins de santé et un environnement fintech. Une règle de détection efficace dans un contexte peut déclencher des faux positifs dans un autre, et un chemin d'investigation peut manquer des nuances critiques sans connaissance environnementale spécifique. Les SOC à haute valeur utilisent des systèmes d'IA qui capturent et conservent les connaissances institutionnelles : actifs critiques, jugement des analystes lors d'incidents passés, actions autorisées, critères d'escalade et résultats des tickets précédents. Sans cet ancrage, l'IA dans le SOC se rabat sur les moyennes d'Internet, qui sont souvent sans pertinence pour des environnements spécifiques. 3. **IA gouvernable** : Le **SOC-CMM 2026 Maturity Report** identifie la gouvernance efficace du SOC comme le domaine le plus difficile à améliorer (39 % des répondants). La gouvernance de l'IA et la gouvernance du SOC sont intrinsèquement liées. Les SOC agentiques les plus performants opèrent dans des garde-fous définis par le client, fournissent des traces de raisonnement défendables pour chaque action, et gagnent l'autonomie progressivement plutôt que de l'exiger d'emblée. L'IA dans le SOC ne peut pas être une boîte noire. Les SOC qui maîtrisent cela favorisent la confiance des analystes, ce qui est essentiel pour accorder une autorité permanente au système d'IA et obtenir des gains de productivité significatifs. ## Le problème d'architecture, en termes simples La plupart des entreprises qui luttent pour extraire de la valeur de l'IA dans le SOC exécutent des solutions d'IA ponctuelles au sein d'une architecture fragmentée. Le problème fondamental est que même l'IA ponctuelle la plus avancée ne peut pas résoudre une architecture fondamentalement défaillante. Si l'équipe d'ingénierie de détection d'un SOC opère dans un outil différent de celui de son équipe d'investigation, l'IA dans l'un ou l'autre outil n'accélérera que la partie du flux de travail de cette équipe spécifique, sans rien faire pour améliorer le transfert critique entre elles. Si les chasseurs de menaces ne peuvent pas tester facilement des hypothèses en utilisant la même télémétrie que les investigateurs, l'IA dans l'un ou l'autre flux de travail ne fera progresser ce flux de travail qu'isolément. Si les playbooks de remédiation résident dans un outil **SOAR** déconnecté des conclusions de l'agent d'investigation, la remédiation par IA s'exécutera sur la base d'un contexte obsolète. La solution consiste à connecter ces étapes. La mise en œuvre de plus d'IA au sein de la même architecture fragmentée ne fait qu'aggraver le problème d'origine. Ce tissu connectif est l'essence de la « deuxième vague » d'IA dans le SOC. La première vague a livré l'IA *par étape* ; la deuxième vague doit livrer l'IA *entre les étapes*. ## À quoi doit ressembler la deuxième vague Les cinq étapes du SOC doivent fonctionner comme un tissu agentique unique et cohérent, profondément ancré dans l'environnement unique du client. Chaque investigation clôturée doit calibrer la détection suivante, chaque résultat de chasse aux menaces doit mettre à jour le cycle de renseignements suivant, et chaque action de remédiation doit alimenter le playbook pour les agents ultérieurs. Cette interconnexion permet aux capacités du SOC de se multiplier. Concrètement, une plateforme construite de cette manière se situerait au-dessus et s'intégrerait à la pile existante de **SIEM**, **EDR**, d'identité, de cloud, de ticketing et de renseignements sur les menaces d'une organisation, plutôt que de les remplacer. Cette couche de connexion permet à chaque étape d'informer la suivante, en démantelant les silos opérationnels. Là où une telle architecture est en place, les SOC signalent des investigations plus précises et plus rapides ; des détections qui sont efficacement mises en évidence et ajustées (au lieu d'être silencieuses ou bruyantes) ; une chasse aux menaces continue ; et une remédiation qui opère dans des garde-fous définis, avec des traces de raisonnement complètes et des enregistrements de décision de qualité d'audit. La deuxième vague d'IA dans le SOC doit être architecturale, pas simplement une agrégation de fonctionnalités. Les fournisseurs et les plateformes qui comprennent et livrent ce changement fondamental mèneront l'industrie vers l'avant.