Quand les hackers s’appuient sur l’IA pour frapper plus vite, la cybersécurité réplique avec l’IA agentique. Autonome, explicable et pilotée par des règles, elle transforme le chaos des alertes en actions ciblées. Le SOC entre dans l’ère de la défense augmentée.
L’intelligence artificielle (IA) transforme en profondeur le paysage des cybermenaces. Si elle permet aux équipes de sécurité de détecter et de répondre aux attaques avec plus de rapidité et de précision, elle abaisse aussi la barrière d’entrée pour les cybercriminels, qui peuvent désormais lancer et industrialiser leurs offensives à une vitesse sans précédent. Résultat : une course technologique s’intensifie, où seule une défense plus intelligente, plus rapide et plus proactive peut permettre de garder une longueur d’avance.
Selon une récente étude, les attaquants exploitent déjà l’IA pour affiner leurs campagnes d’ingénierie sociale. Parallèlement, les attaques visant les environnements cloud se multiplient — comme le LLMjacking, où des acteurs malveillants détournent des modèles d’IA ou de machine learning via des identifiants compromis ou des failles d’API. Face à cette généralisation de l’IA offensive, les équipes de sécurité doivent impérativement reprendre l’avantage en tirant parti des capacités offertes par l’IA défensive.
Alors que l’IA générative (GenAI) est aujourd’hui largement utilisée pour produire du contenu ou assister les tâches quotidiennes, l’IA agentique représente une avancée majeure. Elle prend en charge, de manière autonome, des missions complexes et en plusieurs étapes, là où la GenAI classique reste tributaire d’instructions humaines ponctuelles. À la différence des systèmes d’automatisation traditionnels, fondés sur des workflows rigides, l’IA agentique comprend le contexte, prend des décisions et agit de façon continue, sans intervention manuelle.
Appliquée à la cybersécurité, elle peut mener de bout en bout des processus d’investigation et de réponse en temps réel, que ce soit sur les endpoints, les identités ou les environnements cloud — tout en s’ajustant aux retours des analystes et aux résultats observés sur les menaces. En opérant aux côtés des équipes de sécurité, cette forme d’IA apporte une vitesse, une régularité et une profondeur d’analyse indispensables pour contrer des adversaires de plus en plus sophistiqués.
Réduire le délai entre détection et action
Pour les centres opérationnels de sécurité (SOC), l’IA agentique constitue une avancée majeure. Ces équipes font face à une explosion du volume d’alertes, à des temps d’attaque de plus en plus courts, et à une pénurie persistante de talents. Les méthodes classiques de tri manuel ne sont plus tenables : les analystes perdent un temps considérable à filtrer des faux positifs et à traiter des alertes à faible priorité, ce qui nuit à leur capacité à réagir aux véritables menaces.
L’IA agentique permet de reproduire des raisonnements experts à la vitesse machine. Elle peut analyser les alertes entrantes, filtrer le bruit, évaluer la gravité d’une situation et recommander des actions concrètes — tout cela de manière autonome. Ce fonctionnement accélère considérablement le triage et allège la charge des analystes.
Dans les déploiements réels, ce modèle a déjà démontré son efficacité : il permettrait de libérer jusqu’à 40 heures par semaine en automatisant les tâches répétitives de triage[1], tout en atteignant plus de 98 % de précision[2] dans la reproduction des décisions humaines. Lorsqu’elle est encadrée par un modèle d’autonomie délimitée, cette IA peut fonctionner selon des règles strictes définies par l’organisation : seuils d’alerte, moments où l’intervention humaine est requise, types d’actions autorisées, etc. Cela garantit un équilibre maîtrisé entre automatisation et supervision humaine, indispensable pour assurer la fiabilité et la montée en charge des opérations de sécurité.
Encadrer l’autonomie : un impératif pour l’IA de confiance
L’autonomie délimitée signifie que l’IA opère dans un périmètre défini : accès restreint aux données, actions limitées, escalade obligatoire dans certains cas. L’explicabilité est un autre garde-fou essentiel : les décisions prises par l’IA doivent pouvoir être justifiées, tant pour les analystes que pour les auditeurs. Cette transparence est cruciale pour maintenir la confiance, garantir la conformité réglementaire et sécuriser le recours à l’IA dans les SOC.
Passer d’une cybersécurité réactive à une défense proactive
L’IA agentique agit comme un multiplicateur d’efficacité pour les analystes. En prenant en charge les tâches les plus chronophages, elle libère les experts pour se concentrer sur les menaces complexes, la validation des détections et la compréhension contextuelle des attaques avancées. Le SOC devient ainsi plus agile, plus résilient et plus stratégique.
Au-delà d’une simple couche d’automatisation, l’IA agentique permet une rupture de modèle : passer d’une posture défensive réactive à une posture proactive, orientée disruption. Les défenseurs peuvent alors concentrer leurs efforts sur l’analyse du comportement des attaquants, la chasse proactive aux menaces et la prévention des brèches avant qu’elles ne surviennent.
Dans un contexte où les attaques s’intensifient et où les cybercriminels exploitent eux aussi l’IA à grande échelle, les organisations ont besoin de plus qu’un simple gain incrémental. Elles doivent pouvoir s’appuyer sur des systèmes intelligents, alliant la précision de la machine à l’intuition humaine, capables d’opérer au rythme des attaques. L’IA agentique n’est ainsi pas une simple automatisation de plus : c’est un levier stratégique, qui transforme l’organisation des SOC, réduit la fatigue des analystes, et permet aux équipes de sécurité de reprendre l’avantage avec l’IA.
____________________________
Par Fabio Fratucello, Field CTO World Wide, CrowdStrike
[1]Calcul basé sur le nombre moyen d’alertes traitées par Charlotte AI, multiplié par un temps de triage estimé à 5 minutes par alerte, selon l’équipe Falcon Complete. Les résultats peuvent varier en fonction de plusieurs facteurs, notamment le volume total d’alertes.
[2]Le taux de précision mesure le pourcentage de décisions de triage prises par Charlotte AI qui correspondent aux décisions des experts de l’équipe CrowdStrike Falcon Complete Next-Gen MDR.
puis