Les dépenses en sécurité ont doublé en six ans, mais les délais pour enquêter et répondre stagnent. Les directions financières questionnent l’augmentation des effectifs en sécurité alors que les indicateurs clés pour l’entreprise ne progressent pas.
L’architecture des SOC explique cette situation. Les modèles opérationnels actuels reposent sur un triage manuel des alertes, conçu pour des volumes d’il y a cinq ans, alors que les attaques évoluent rapidement.
Les chiffres que l’industrie évite d’affronter
Le rapport M-Trends de Google Mandiant indique un dwell time médian mondial de 14 jours. En 2025, la fenêtre de transfert entre accès initial et passage à un groupe de menaces secondaire s’est réduite à 22 secondes, soit une baisse de 95 % par rapport aux 8 heures de 2022. Le Global Threat Report 2026 de Crowdstrike observe une tendance identique, avec un temps moyen de propagation de 29 minutes, de l’accès initial à l’exfiltration.
L’étude Cost of a Data Breach d’IBM pour 2025 chiffre le délai moyen d’identification et de confinement d’une brèche à 241 jours, pour un coût moyen de 4,88 millions de dollars. Ces chiffres marquent une amélioration de 16 % depuis 2020 (281 jours), mais sans rapport avec l’explosion des budgets sécurité, doublés en cinq ans. Les performances ne suivent pas la contraction des fenêtres d’attaque.
Les équipes SOC optimisent déjà les alertes en les classant par gravité, en fermant automatiquement les faux positifs connus et en ajustant les règles bruyantes. Pourtant, le volume restant dépasse les capacités humaines pour des enquêtes approfondies.
Après ces optimisations, 120 à 150 alertes par jour atterrissent pour triage humain. À 20 minutes par enquête, cela représente 40 à 50 heures-analystes quotidiennes. Des équipes de 5 à 10 personnes couvrent à peine les heures ouvrées, accumulant un backlog.
Augmenter les effectifs améliore la couverture marginale, mais ne résout pas le volume post-filtrage. La plupart des brèches passent par des alertes de faible gravité, noyées dans les files d’attente.
Un diagnostic en quatre questions pour votre SOC
1. Quel pourcentage d’alertes au-dessus du seuil d’enquête votre équipe a-t-il traité le trimestre dernier ? Moins de 90 % révèle un manque de couverture masquant des risques réels, lié au flux de travail.
2. Combien de règles de détection avez-vous désactivées en 12 mois sans ticket d’ingénierie pour compenser ? Chaque suppression sans remplacement crée une dette de sécurité.
3. Quel turnover chez les analystes seniors l’an dernier, et quel délai pour former les remplaçants ? Au-delà de 15 % ou 6 mois, la stabilité opérationnelle est fragile.
4. Si le volume d’alertes doublait demain, que stopperiez-vous en premier ? Cette réponse identifie les faiblesses actuelles.
Si trois réponses inquiètent, repensez l’architecture au-delà des recrutements.
Les transformations possibles avec un modèle adapté
Les progrès viennent de repenser les tâches humaines. Une entreprise de 8 500 salariés a traité 4 407 enquêtes en 60 jours avec un temps moyen sous 4 minutes, libérant 1 469 heures-analystes, soit 6,3 années-équivalent.
Autre cas : 3 200 alertes en 33 jours, dont six escaladées à un humain, avec 90 % d’économies sur SIEM grâce à moins d’ingestion de télémétrie brute. L’IA SOC gère les pivots directement sur les sources, rendant optionnels certains coûts.
Queues vidées, les alertes moyennes et basses reviennent dans le scope d’enquête, où se cachent souvent les attaques réelles. L’accord initial prend deux à quatre semaines.
Financement des évolutions
Voie 1 : Budget headcount non utilisé. Remplacer un analyste de niveau 2 (180 000 à 300 000 dollars annuels).
Voie 2 : Réduction SIEM. Économies de 30 à 60 % sur l’ingestion si pivots externalisés, couvrant souvent le nouveau outil.
Voie 3 : Déplacement d’outils. Remplacer SOAR ou gestion de cas, mais processus long avec oppositions internes.
Dominaines réservés aux humains
Menaces internes contextuelles. L’IA SOC excelle sur télémétrie (mouvements fichiers anormaux), mais rate le contexte humain (PIP, fins de contrat).
TTPs inédits. L’IA repose sur patterns historiques ; chasseurs de menaces pour nouveautés.
Environnements réglementés. Contraintes de résidence des données nécessitent adaptations architecturales.
Questions récurrentes des évaluateurs
Si l’IA se trompe ? Documentation complète des étapes permet corrections et audits réglementaires.
Impact sur ingénierie de détection ? Feedback loop massif via données d’enquête ; détection passe en activité dédiée.
Comité d’achat ? Implique IT, conformité, juridique, procurement dès le départ pour accélérer.
Risques fournisseurs à vérifier
Portabilité des données : Export d’historiques et configurations.
Indépendance des runbooks : Règles lisibles et réutilisables ailleurs.
Continuité contractuelle : Garanties en cas d’acquisition ou cessation.