La multiplication des incidents, l’évolution rapide des TTPs (techniques, tactiques, procédures) des attaquants, et la complexité croissante des systèmes d’information posent un défi majeur pour les SOC.
Comment maintenir un haut niveau de réactivité tout en assurant investigations exhaustives et précises ?
Mais aussi, comment permettre à toutes les parties prenantes habilitées, côté client, d’accéder simplement à l’information pertinente recherchée : obtenir une explication claire sur une menace en cours, consulter une vision synthétique des incidents des 45 derniers jours, identifier les utilisateurs, équipements ou menaces les plus récurrents… et ainsi engager rapidement des actions concrètes, efficaces, sans attendre un comité de pilotage.
Nous explorons une nouvelle approche : l’IA agentique orchestrée, capable d’automatiser certaines étapes critiques du traitement d’incident, sans compromettre le contrôle humain.
1. Le SOC face à ses limites
Les outils classiques de ticketing et de supervision (SIEM, EDR, XDR, SOAR) offrent puissance et visibilité, mais reposent encore largement sur des règles fixes et des chaînes de traitement séquentielles.
Résultats :
- Les analystes sont submergés de tickets et de demandes.
- Les corrélations croisées entre sources sont rares ou manuelles.
- Le temps moyen de réponse s’allonge.
Et par ailleurs, intégrer des modules d’IA “clé en main” impliquant l’envoi de données personnelles vers des LLM hébergés par des tiers – souvent américains – représente, à ce jour, un risque inacceptable, d’autant que la traçabilité et la gestion de ces données restent largement opaques.
Pour répondre à ces limites et à ces risques, nous concevons un agent d’investigation automatisé, fondé sur une IA agentique orchestrée intégrant LLM, LangGraph et des mécanismes de RAG. Totalement souverain !
2. Une architecture hybride : agents LLM + APIs cyber
Notre agent d’investigation autonome, fondé sur une architecture multi-agent orchestrée par LangGraph, combine logique de workflow, gestion de contexte, et récupération de connaissances.
Chaque agent LLM joue un rôle cognitif spécialisé (analyse de logs, contextualisation CTI, corrélation avec les données client détenue dans notre wiki interne, synthèse). Il disposera :
- d’un accès à une mémoire persistante vectorielle (FAISS/Chroma),
- de règles métiers injectées par prompting ou encodées dans les transitions du graphe,
Notre système agentique repose sur Qwen 2.5 – 32B, un LLM open-weight multilingue hautement performant, qui alimente les agents cognitifs via :
- Un alignement sur les standards open-source (vLLM, HuggingFace) pour une intégration transparente avec LangGraph,
- Et une exécution en local compatible avec les exigences SSI.
Intégration directe avec l’écosystème SOC :
Ces agents peuvent ainsi interroger dynamiquement des bases de connaissances (tickets historiques, documentations internes, observables MITRE, OpenCTI…), ainsi que les solutions de détection (Splunk via API REST sur les logs, MS Sentinel, etc…) puis formuler des hypothèses ou extraire des indicateurs utiles à l’investigation.
3. De la théorie à la pratique : L’agent d’investigation autonome
Déployé initialement avec 100 % Human-in-the-Loop, l’agent fonctionne selon le principe suivant :
- Un incident arrive (phishing, exfiltration, comportement suspect…).
- L’agent intelligent récupère le ticket, requête les logs associés, identifie les événements critiques, croise avec des sources MITRE et les données CTI, puis formule un résumé opérationnel exhaustif avec le niveau de criticité correspondant.
- L’analyste valide ou corrige avant l’envoi de l’investigation au client.
Cette phase initiale vise à entraîner l’IA pour qu’elle gagne en pertinence sur l’ensemble des scénarios d’investigation.
Les principaux résultats attendus sont bien évidemment :
- Accélérer l’analyse des incidents
- Élever la qualité des investigations
- Déléguer automatiquement les tâches à faible valeur ajoutée, en toute sécurité
4. Chatbot sécurisé : IA embarquée côté client
En parallèle, un chatbot LLM powered by Qwen 2.5 – 32B serait lié à notre outil de ticketing d’incident permettant aux clients :
- D’interroger automatiquement chaque ticket.
- D’y ajouter du contexte.
- De recevoir des réponses contextualisées, guidées par RAG.
Le tout avec authentification, gestion du contexte multi-turn et respect des droits d’accès.
Vers un SOC intelligent et collaboratif
L’intelligence artificielle ne remplace pas l’expertise humaine, elle l’amplifie. En structurant l’IA autour d’agents spécialisés, interconnectés avec les outils du SOC, nous construisons un environnement hybride, capable d’apprendre, de s’adapter et de répondre plus vite sans jamais perdre la rigueur exigée par les métiers de la cybersécurité.
Chez SERMA, nous poursuivons ces travaux pour bâtir un SOC augmenté par l’IA, capable de libérer durablement nos analystes des tâches répétitives et de se concentrer sur des activités à très haute valeur ajoutée. Car une IA n’est réellement utile que si elle est alignée sur les enjeux opérationnels réels, compréhensible par ses utilisateurs, et parfaitement contrôlable…
