L'IA de cybersécurité face aux attaques pilotées par l'IA

Les cyberattaques s'arment d'IA

Le nombre de cyberattaques augmente régulièrement depuis des années. Les équipes de sécurité doivent protéger les systèmes contre des menaces toujours nouvelles, alors que les attaquants recourent désormais à l'intelligence artificielle. Pour prendre l'avantage dans cette confrontation, les spécialistes en cybersécurité doivent pouvoir s'appuyer sur des outils d'IA à la fois puissants et fiables.

Lors d'un webinaire organisé fin mai 2026, Netzmedien et Anomali ont exploré ces enjeux. Mark Hassoun, Senior Sales Engineer chez Anomali, a expliqué comment équiper un centre moderne de cybersécurité — ou Security Operations Center (SOC) — et le rôle que peut y jouer l'IA.

Les limites des systèmes SIEM traditionnels

Mark Hassoun a d'abord retracé l'évolution de la cyberdéfense au cours des dix dernières années. Les systèmes SIEM (Security Information and Event Management) fonctionnent encore aujourd'hui, mais ils peinent à évoluer. La raison principale : l'augmentation exponentielle des volumes de données, qui pousse ces anciennes architectures à leurs limites.

Les coûts aggravent le problème. Les plateformes SIEM traditionnelles facturent chaque gigaoctet collecté, ce qui peut faire exploser les dépenses bien plus vite que le volume de données lui-même. Les équipes se retrouvent face à un dilemme : visibilité complète ou respect du budget.

Les analystes chargés de surveiller les menaces en continu sont rapidement submergés. Selon les études sectorielles citées par Mark Hassoun, les analystes font face à plus de 170 alertes par jour, dont seulement 19 % environ nécessitent un examen approfondi. Ils consacrent plus de la moitié de leur temps à traiter des faux positifs sans pertinence pour la sécurité.

L'IA comme réponse structurée

La solution proposée repose sur un data lake réunissant l'ensemble des données de l'entreprise. Des agents IA spécialisés analysent ces données en continu à la recherche de menaces. Ces agents sont alimentés par un contexte de menace clair, afin d'éviter les hallucinations de l'IA.

Le traitement des données en amont est crucial. Chaque outil de sécurité parlant son propre langage, les données sont d'abord traduites dans un schéma uniforme. Les événements imprécis ou doublonnés sont supprimés et le contexte de menace pertinent est ajouté. Les agents IA et les analystes humains travaillent ainsi sur des données propres et de qualité, plutôt que sur du bruit brut.

Les analystes reçoivent des rapports détaillés sur les vulnérabilités potentielles et peuvent consacrer leur temps à la lutte effective contre les attaques, plutôt qu'au tri d'alertes.

La collaboration entre agents IA

Mark Hassoun a souligné l'importance de la communication entre différents agents IA, y compris entre entreprises. Lorsqu'une banque subit un incident de sécurité, les attaquants ciblent souvent une autre banque peu après. Si les agents IA des deux établissements collaborent, ils peuvent tirer ensemble les enseignements du premier incident et empêcher la seconde attaque.

C'est précisément là que réside la force de la plateforme SOC agentique d'Anomali. Les agents IA se tiennent constamment informés des cybermenaces actuelles via Internet et préparent des informations sur le tableau de bord. Ils peuvent ainsi mieux déterminer si une menace potentielle est un faux positif ou présente réellement un danger.

Indicateurs de menace partagés et blocages en temps réel

La collaboration entre agents repose sur des renseignements partagés sur les menaces. Anomali aurait accès à l'une des plus grandes sources d'indicateurs de menace du secteur, regroupant des signalements issus de flux gouvernementaux, commerciaux et open source.

Cette approche permet de reconnaître les schémas d'attaque déjà observés partout. Le système peut identifier des correspondances avec une grande précision et déclencher des blocages automatiques en temps réel.