Prévisions de sécurité pour 2026 : l’impact de l’IA agentique sur la gestion du SOC

« Cette vue est extraordinaire. »

Au moment où John Glenn s’émerveille de voir la Terre depuis son orbite en 1962, seuls deux autres êtres humains ont déjà contemplé un tel paysage. Dans les décennies qui ont suivi, le miracle qu’était le voyage spatial est progressivement devenu un jalon, puis une routine. Le point de vue qui avait été l’apanage de trois personnes est aujourd’hui partagé par des millions de gens. Des myriades de documentaires, de publications sur les réseaux sociaux et de vidéos en direct d’astronautes nous montrent à quel point une percée peut, à elle seule, transformer notre perception du possible.

Un SOC plus résilient avec l’IA agentique

Les SOC d’aujourd’hui découvrent de nouvelles façons de voir et d’administrer les opérations de sécurité. Les analystes utilisent une intuition profonde, la reconnaissance des modèles et beaucoup de courage pour résoudre chaque incident. Pourtant, même ces spécialistes hors du commun touchent les limites d’un modèle opérationnel dont les processus reposent sur des outils fragmentés et le tri manuel. Le prochain bond en avant exige une véritable nouveauté, un changement de paradigme dans les pratiques, la prise de décision et la collaboration humains-machine sous pression.

Et cette pression augmente sans cesse. Les volumes de données augmentent de façon exponentielle, tout comme la complexité des workflows, et les attaques pilotées par l’IA se démultiplient plus vite que les analystes ne parviennent à les gérer. Il ne suffit pas d’ajouter des outils, des tableaux de bord et des alertes ; au contraire, ils ne font que submerger les équipes. Ce problème a atteint une telle ampleur que 50 % des responsables et des professionnels de la sécurité disent envisager de quitter leur emploi dans les 12 prochains mois.¹

L’IA agentique propose un nouveau modèle d’exploitation, dans lequel le problème de l’échelle est résolu par le recours à des agents autonomes qui inspectent les données de télémétrie non structurées et mènent des investigations précises et rapides, pendant que les humains jouent le rôle de pilote, de superviseur et de gardien.

Lorsque de grandes avancées transforment le monde, ce n’est pas seulement le fruit de l’innovation technologique : c’est aussi le travail des personnes qui les utilisent. Le SOC hybride humain-agent s’impose comme le fondement de 2026. C’est lui qui va permettre aux analystes de se consacrer à la stratégie, à la créativité et aux décisions les plus importantes, et ce virage promet d’être aussi transformateur que la première vue de la Terre de nos astronautes.

Sur ce, présentons nos prévisions de sécurité pour 2026.

Prévision n^o 1 : les SOC conçus orientés IA seront plus performants que ceux qui ne font que l’utiliser

Les outils d’IA ne suffiront pas à définir le prochain jalon de maturité du SOC, qui sera franchi par ceux qui savent comment activer toute la puissance de cette technologie. Beaucoup d’équipes vont continuer à « utiliser l’IA » pour résumer des alertes, extraire du contexte et produire des rapports à la demande. En effet, c’est très utile. Mais on parle toujours d’accessoires. Le SOC du futur aura un fonctionnement différent. Il s’appuiera sur des agents qui seront bien plus des coéquipiers que des outils ; ses processus, ses pratiques de supervision et ses workflows donneront à l’IA un véritable poids opérationnel.

Ce changement de paradigme ne diminue en rien le rôle des analystes. Au contraire, il le renforce. Lorsque le SOC mise sur la collaboration humain-agent, les analystes commencent à superviser des workflows autonomes au lieu de réaliser manuellement chaque étape des investigations. Ils orchestrent la collaboration des agents, délimitent ce qu’ils peuvent faire ou non, et veillent à ce que le comportement du système corresponde bien à la mission du SOC. Avec l’interconnexion croissante des systèmes d’IA, les analystes assument un rôle davantage axé sur l’architecture : ils élaborent des workflows, ajustent des politiques et définissent les modalités d’action et de collaboration des agents.

Ce nouveau modèle d’exploitation repose sur la confiance. Les agents peuvent assumer les tâches répétitives et à faible risque qui surchargent les équipes, afin de leur permettre de se consacrer à celles qui exigent bien plus de discernement : détection des leurres, évaluation des risques et orientation stratégique. Ce seront toujours les analystes qui détermineront dans quels cas compter sur les agents ou intervenir directement, et qui maintiendront l’alignement des pratiques dans un contexte d’autonomie croissante. Cette supervision humaine indispensable transforme les analystes en pilotes de la prise de décision autonome.

Ce virage transforme également l’expérience des professionnels au sein du SOC. L’automatisation nivelle la couche d’exécution, et les marqueurs traditionnels d’ancienneté s’estompent. Kirsty Paine, Directrice technique de terrain de Splunk l’explique très bien : « Je propose de créer un nouvel ensemble de responsabilités qui formeront le “niveau 4” du SOC pour accompagner l’automatisation progressive du niveau 1. On peut commencer à développer l’utilisation des agents et de l’IA ; les humains vont alors élaborer des programmes plus stratégiques de gestion des agents au lieu d’accomplir eux-mêmes les tâches ». Les analystes débutants passeront ainsi directement aux workflows de niveau 2, et les analystes juniors sembleront aussi compétents que les vétérans, non pas parce qu’ils auront acquis de l’expérience, mais parce que l’IA va accélérer l’exécution pour tous les membres de l’équipe. Mme Paine poursuit : « Se pose alors une nouvelle question : comment soutenir la progression de carrière et prendre en compte les nouvelles tâches que les humains auront le temps de faire grâce à l’IA. Tout comme les ingénieurs de détection écrivent aujourd’hui des scripts de détection, aurons-nous besoin d’ingénieurs IA pour administrer les agents ? »

Pour les leaders du SOC, cette transformation invite à redéfinir l’excellence. La réussite devient moins une affaire de volume et de vélocité ; il faudra déterminer dans quelle mesure les analystes savent superviser les agents, ajuster les automatisations et orienter les décisions pour exercer un impact durable. L’expérience ne se mesure pas au nombre de frappes de clavier, mais à la qualité de la supervision, à la capacité de diriger un système qui apprend aux côtés de ses homologues humains.

Dans cette époque de réinvention des méthodes de travail, la prochaine étape est claire : il faut repenser l’évaluation de la performance du SOC.

Prévision n^o 2 : les nouveaux KPI agentiques vont éclipser les métriques traditionnelles comme le MTTR

Pendant des années, le MTTR a été l’étoile Polaire du SOC : gage de clarté et de transparence, elle promettait de chiffrer les progrès avec fidélité. Mais à l’heure où les agents autonomes assument une plus grande partie du cycle détection-investigation-réponse, les métriques temporelles perdent en pertinence. La vitesse n’est qu’un aspect du travail. Un avenir qui repose sur des systèmes agentiques exige de nouvelles métriques, capables de chiffrer la qualité, le contexte, la prévention et l’impact métier des décisions prises.

Quand les agents analysent la télémétrie non structurée, mettent en évidence des observations haute fidélité et automatisent l’essentiel des tâches de niveau 1, le MTTR ne mesure plus réellement la performance, mais plutôt le retard accumulé par le processus. Si un agent neutralise un problème avant qu’il ne devienne un incident, de quoi mesure-t-on le « délai moyen » ?De la même manière, lorsqu’une équipe vient d’adopter l’automatisation, elle voit tous ces indicateurs traditionnels chuter rapidement parce que tous les tickets les plus simples sont traités automatiquement. Pourtant, lorsque l’équipe progresse dans son adoption de l’IA, il arrive qu’ils remontent parce que les tâches restantes sont manuelles ou tout simplement plus complexes. Les directeurs de SOC ont tout intérêt à miser sur des indicateurs axés sur les résultats : réduction des faux positifs, précision du tri autonome, risque évité par rapport au risque pris en charge, et alignement sur les KPI métiers stratégiques tels que les temps d’arrêt évités et le coût par faille empêchée. Tous ces indicateurs reflètent le véritable intérêt des systèmes agentiques : une supervision continue, et pas seulement un nettoyage rapide.

L’émergence de ces nouveaux signaux fait évoluer le rôle de l’analyste. Libérés d’une course perpétuelle contre la montre, les analystes guident le comportement des systèmes : ils ajustent les agents, valident les raisonnements et veillent à ce que chaque action autonome soit conforme à la tolérance au risque de l’entreprise. Leur efficacité se mesure moins à la rapidité d’exécution d’une tâche qu’à la façon dont ils façonnent le système lui-même avec discernement. Cette évolution transforme ce qu’on considère traditionnellement comme une « bonne performance ». Les équipes habituées à se féliciter en cas de réduction du MTTR devront employer un nouveau vocabulaire pour décrire l’excellence, et ce lexique sera sans doute davantage axé sur l’efficacité, la résilience et l’anticipation que sur la réactivité pure.

Cette évolution ouvre également la voie à un alignement plus étroit sur les objectifs des décideurs métiers. Lorsque les KPI traduisent des pertes évitées, une réduction du risque opérationnel et des améliorations mesurables de la résilience, la sécurité devient bien plus facile à expliquer et à justifier.

L’adoption de ces nouvelles mesures au sein du SOC entraîne une transformation opérationnelle plus profonde et exige des systèmes d’IA capables de relier les informations issues de l’ensemble des outils, des plateformes et des environnements. Ce changement de paradigme aboutit directement à notre prévision suivante : l’avènement d’un écosystème multi-agents connecté.

Prévision n^o 3 : les écosystèmes multi-agents vont remplacer les solutions d’IA fragmentées

Dans la sécurité, la première vague de l’IA a pris la forme d’assistants isolés et enfermés dans les différents outils. Ils étaient utiles, certes, mais confinés. En 2026, ces agents spécialisés vont laisser la place à des écosystèmes coordonnés d’agents capables de raisonner ensemble, de partager du contexte et d’agir sur l’ensemble de la pile. Le SOC a toujours été un sport d’équipe, et l’IA commence à adopter un fonctionnement similaire caractérisé par la distribution, la collaboration et une interconnexion profonde.

Au lieu d’alterner entre l’assistant intégré du SIEM, celui d’un outil EDR et un troisième dans une console cloud, les spécialistes du SOC vont s’appuyer sur des réseaux d’agents circulant librement entre les plateformes et les workflows. Ces agents vont utiliser des normes ouvertes et parler le même langage grâce à ce « tissu conjonctif ». Le Model Context Protocol, par exemple, leur offrira un moyen systématique de recueillir du contexte dans différents environnements. Des frameworks émergents pour la collaboration entre agents (dans un système multi-agents, par exemple) leur permettront de séquencer des tâches, de transmettre des informations et de former une interprétation commune du risque. Le résultat n’est pas seulement un gain de temps, mais aussi de cohérence : plutôt qu’un assemblage de tableaux de bord, le système exploite une vision d’ensemble de l’infrastructure.

Il faut toutefois savoir que cette évolution modifie le terrain. Les systèmes anciens ne parlent pas nécessairement la même langue. Les outils traditionnels ne disposent pas toujours des technologies propices au partage d’informations. Et pendant toute la période de transition, les équipes doivent exploiter un environnement dont les composants ne s’emboîtent pas tous parfaitement les uns dans les autres.

C’est là que le leadership fait toute la différence. Les directeurs de SOC qui auront fait de l’interopérabilité une priorité dès le départ, que ce soit en adoptant des normes, en modernisant par étape ou en élaborant des stratégies d’intégration bien pensée, seront les premiers à observer des progrès. Ils vont créer des environnements où les agents opèrent de façon sûre et prévisible en s’appuyant sur une vision complète du risque au lieu de se cantonner à des silos étroits.

La mise en place de ces systèmes interconnectés leur donnera un avantage plus conséquent encore : la capacité de simuler des attaques, de tester les défenses et de former les humains et les agents à l’aide du même tissu collaboratif. Ce qui nous amène au tournant suivant : l’avènement de la simulation d’adversaire continue grâce à des agents red-team autonomes.

Prévision n^o 4 : la simulation d’adversaire pilotée par IA va devenir une discipline de base du SOC

Les pirates n’attendent pas que les spécialistes de la défense les rattrapent. Et en 2026, ils iront plus vite encore avec l’IA. Comme nous avons pu le voir l’année dernière, les malwares optimisés par IA et les chaînes d’attaque automatisées ont montré à quelle vitesse les adversaires peuvent amplifier la reconnaissance, le développement de charges utiles et les déplacements latéraux avec une intervention humaine minime. Les attaques qui émergent de ce nouveau paysage ne sont pas seulement plus rapides, elles sont aussi plus systématiques et présentent des modèles, des comportements et des parcours décisionnels qu’il est possible d’étudier, d’anticiper et de répliquer. C’est l’occasion, pour les défenseurs, de faire de cette prévisibilité un terrain d’entraînement. Ryan Fetterman, Stratège en sécurité senior chez Splunk, souligne : « Les malwares optimisés par IA sont de plus en plus intelligents, mais ils sont aussi plus faciles à détecter. De la génération de scripts sur l’appareil au contrôle piloté par des prompts, chaque technique d’adaptation est, pour le défenseur, un nouveau modèle à repérer et à neutraliser. »

Les SOC vont pouvoir mettre en place la simulation d’adversaire continue basée sur des agents red-team autonomes. Ces systèmes vont sonder les défenses, mettre les modèles de détection à l’épreuve et signaler les points faibles bien avant qu’une campagne réelle ne frappe l’environnement de production. M. Fetterman poursuit : « Avec l’IA, nos adversaires peuvent désormais automatiser des campagnes entières sans effort humain ou presque. Mais cette autonomie est à double tranchant : ces modèles systématiques donnent à la défense la possibilité de simuler des attaques et de renforcer ses propres agents. » Au lieu d’attendre que des alertes leur indiquent leurs vulnérabilités, les équipes du SOC mettent elles-mêmes leurs systèmes sous pression en exécutant, à l’aide d’agents, des séquences d’attaques imitant les tactiques adverses automatisées. La préparation devient ainsi une discipline vivante et active plutôt qu’un exercice annuel.

Pour les analystes et les responsables du SOC, ce changement est lourd de conséquences. Ils ne tireront plus leurs enseignements d’incidents, mais de simulations contrôlées déployées en un clin d’œil. Les agents peuvent reproduire les modèles observés dans les malwares émergents pilotés par IA, imiter la logique des campagnes de « vibe hacking » et générer de nouveaux variants pour repousser les défenses dans leurs retranchements bien mieux qu’une red team ne pourrait le faire. Les analystes interviennent ensuite pour interpréter les résultats, affiner la logique de détection et guider les agents vers leur prochaine cible. Le SOC devient le théâtre d’une répétition continue, au cours de laquelle humains et agents se perfectionnent mutuellement jour après jour.

Cette évolution s’accompagne de nouveaux défis. Lorsque les agents adverses se mettent à tester les agents de défense, la boucle de supervision passe à un niveau supérieur de complexité. Qui étudie quoi ? Comment faire en sorte que les simulations ne sortent pas du cadre défini ? Pour extraire pleinement les bénéfices de ce nouveau cycle de préparation, les SOC devront établir des modèles de supervision clairs, dans lesquels les analystes encadrent les règles d’engagement, vérifient le comportement des systèmes et accordent les simulations à la posture de risque.

La simulation continue apporte un avantage plus important encore : la clarté. Les analystes et leurs alliés agentiques vont pouvoir déterminer si les défenses fonctionnent, bien sûr, mais aussi pourquoi, et comment s’adapter ensemble. Cette exigence de traçabilité, de raisonnement et de contrôle fait émerger la nouvelle frontière : faire en sorte que chaque action autonome laisse une trace fiable pour les humains.

Prévision n^o 5 : les traces d’audit agentiques vont redéfinir la transparence dans le SOC

Lorsque les agents autonomes assument davantage de tâches d’investigation et de réponse, la transparence devient aussi cruciale que la vitesse. Tout comme les analystes suivent les actions de leurs collègues humains, le SOC exigera des agents qu’ils expliquent ce qu’ils ont fait et pourquoi. Chaque décision, chaque mesure, chaque signal référencé devront être capturés, explicables et contrôlables. Les agents ne sont pas seulement de nouveaux outils, ils constituent de nouvelles identités numériques dotées de privilèges et de responsabilités, et soumises à des exigences de gouvernance propres. Comme l’explique Rod Soto, Ingénieur logiciel en chef de la Splunk Threat Research Team, « les agents se comportent concrètement comme de nouvelles identités numériques et nécessitent autant de gouvernance que les utilisateurs et les applications : des autorisations définies, une supervision étroite et un encadrement par le principe de moindre privilège. »

Ce tournant ouvre une nouvelle ère de transparence pour les opérations. Lorsque les agents se chargeront du tri, corrèleront les signaux et automatiseront le confinement des menaces, les responsables du SOC auront besoin de traces d’audit haute résolution qui exposent les raisonnements et détaillent le respect des politiques. Les analystes s’appuieront sur cette visibilité pour valider les conclusions, retracer le cheminement des actions et corriger le cap lorsqu’un agent aura mal compris le contexte. Elle sera également utile aux équipes de conformité pour satisfaire aux obligations réglementaires, car les décisions autonomes vont jouer un rôle croissant dans la prise en charge des incidents. Quant à la direction, elle l’utilisera pour renforcer la confiance et faire en sorte que le SOC ne devienne jamais une boîte noire, même à une époque où la vitesse de la machine devient la norme pour la plupart des workflows.

Cette autonomie croissante va toutefois rendre la boucle de supervision plus complexe. Dans certains workflows, les agents vont en superviser d’autres, examiner les logs, vérifier les résultats et coordonner des escalades. Ces nouvelles pratiques nous invitent à interroger les notions de hiérarchie et de supervision, et à déterminer le seuil à partir duquel le contrôle humain doit toujours s’exercer. Comme le remarque M. Soto, « Lorsque les agents commencent à superviser d’autres agents, la boucle de supervision peut contourner l’humain si nous n’encadrons pas le système par des politiques claires et des points de contrôle humain stricts. » Le travail du SOC consistera à établir délibérément ces limites pour veiller à ce que les humains gardent le contrôle sur la mission à l’heure où l’exécution est de plus en plus assurée par des agents.

Les SOC qui réussiront dans cette entreprise créeront quelque chose d’entièrement nouveau : un environnement où autonomie et traçabilité se renforcent mutuellement. Les analystes auront une vision plus claire des processus décisionnels. Les responsables étendront l’automatisation en toute confiance. Les autorités de régulation pourront compter sur toute la transparence souhaitable. Et c’est l’organisation tout entière qui évoluera vers un modèle où les agents ne remplacent pas le jugement humain, mais le consolident.

Le SOC agentique piloté par l’humain

De la même manière que le premier vol spatial a bouleversé notre vision du monde, l’IA agentique transforme notre vision du SOC et de sa mission : sécuriser l’entreprise et catalyser l’innovation. Les percées à venir ne découlent pas seulement des progrès technologiques, mais aussi des usages qui en sont faits. La façon dont les analystes vont guider les agents, les limites que traceront les responsables et les efforts accomplis pour gagner confiance dans des systèmes conçus pour penser aux côtés des équipes joueront un rôle déterminant dans les prochains développements.

Cette nouvelle ère pour des opérations de sécurité appartient aux humains qui mettent leur connaissance du contexte, leur discernement et leur créativité au service de chaque mission. En faisant des agents des partenaires de confiance, le SOC élargit son horizon. Et ce qui s’y profile est également extraordinaire.

^{[1] https://www.iansresearch.com/resources/ians-cybersecurity-staff-compensation-report}