Forum INCYBER 2026 : ce qu’il fallait retenir

L’édition 2026 du  Forum INCYBER Europe, qui s’est tenue du 31 mars au 2 avril à Lille, était placée sous le thème de la maîtrise des dépendances numériques. Les échanges ont largement porté sur la souveraineté technologique européenne, la dépendance aux fournisseurs cloud et logiciels, ainsi que sur les implications géopolitiques du numérique. L’occasion pour nous d’échanger avec les participants sur les enjeux autour de l’IA pour le SOC et les solutions de confiance et ce que Splunk et Cisco proposent dans ce contexte. 

Reprendre le contrôle à l’ère des agents avec des données de confiance

L’émergence des SOC agentiques fait évoluer les priorités. Le déploiement d’agents IA ne peut se faire sans un socle de confiance, reposant avant tout sur une gouvernance rigoureuse et sur la qualité des données exploitées. La problématique n’est plus seulement d’agréger des données, mais de garantir leur accessibilité, leur cohérence et leur fiabilité. 

Cisco Data Fabric s’inscrit dans cette évolution en proposant une approche architecturale qui rapproche traitement et gouvernance des données, plutôt que de centraliser systématiquement toutes les données dans un seul puit de données. Ce modèle permet de structurer un tissu de données cohérent entre environnements on-premise et cloud, tout en assurant des processus homogènes en matière de sécurité et de conformité. Il constitue ainsi un prérequis critique pour le développement et l’exploitation d’agents IA dans des environnements maîtrisés. 

Au-delà de la donnée, la capacité à déployer ces agents repose également sur des infrastructures adaptées, capables de supporter leur développement, leur exécution et leur supervision. 

Accélérer les développements IA avec une infrastructure de confiance 

Les discussions du Forum INCYBER ont mis en évidence une exigence croissante autour d’une IA explicable, auditable et gouvernable. C’est l’un des points d’attention majeurs du modèle agentique : à mesure que l’autonomie augmente, la transparence devient indispensable.

Dans cette perspective, Cisco AI POD apporte une réponse pragmatique en proposant une infrastructure modulaire intégrée, combinant capacité de calcul, réseau, stockage et composants logiciels. Cette approche permet d’accélérer l’industrialisation des cas d’usage IA, qu’il s’agisse d’agents, d’entraînement de modèles ou d’inférence à grande échelle, tout en réduisant les frictions d’intégration. 

Cisco AI POD facilite ainsi le passage du prototype à la production, avec des performances et des coûts maîtrisés. Il permet ainsi d’accélérer sur l’innovation tout en se conformant aux exigences de sécurité de l'entreprise.

L’observabilité des agents devient une exigence de conformité

Dans des écosystèmes multi-agents accédant à des données sensibles et exécutant des actions de manière semi-autonome, l’observabilité devient un enjeu central. L’« AI Agent Monitoring » de Splunk introduit une couche d’observabilité essentielle pour les environnements où des agents IA et des LLM sont intégrés dans des chaînes de décision ou d’automatisation. 

L’enjeu dépasse la supervision applicative classique. Il s’agit de comprendre le comportement, la performance et la fiabilité de systèmes dont les sorties sont non déterministes et peuvent impacter directement les opérations métiers ou les opérations de sécurité. 

En s’appuyant sur Splunk Observability Cloud, il devient possible de corréler traces, métriques et événements liés aux interactions entre agents et modèles. Cette visibilité permet d’identifier des dérives telles que des latences anormales, des boucles d’exécution ou des incohérences de réponse. Dans une logique de confiance opérationnelle, cette capacité d’analyse constitue un point de contrôle essentiel pour maîtriser les risques liés à l’IA. 

Orchestrer des LLM hybrides pour répondre aux exigences de souveraineté et de performance

Dans le même temps, l’évolution vers des SOC intégrés (Integrated SOC) renforce le besoin d’interopérabilité. Une plateforme SIEM ne peut plus fonctionner en silo. Elle doit être capable d’interagir avec des agents IA et des LLM externes de confiance, tout en permettant l’intégration d’agents internes, afin d’éviter les logiques de boîte noire et conserver une maîtrise complète des données, des flux et des décisions.

Dans cette logique, Splunk AI Toolkit joue un rôle structurant en offrant une capacité d’intégration ouverte avec différents écosystèmes. Il devient possible de connecter des LLM publics tels que Gemini, OpenAI, Anthropic (etc…), tout en supportant des modèles opérés localement via Ollama.  

L’utilisation de LLM hébergés localement permet de garantir un contrôle total sur les données traitées et les flux d’inférence, répondant ainsi aux contraintes les plus strictes en matière de confidentialité et de conformité. À l’inverse, le recours à des modèles publics permet de bénéficier de capacités avancées sur des cas moins sensibles. 

Cette approche hybride permet d’arbitrer entre performance, coût et exigences de souveraineté, en fonction de la sensibilité des cas d’usage. Splunk AI Toolkit devient ainsi une couche d’abstraction permettant d’orchestrer ces différents modèles sans compromettre la gouvernance globale. 

Dans ces conditions, le SOC agentique peut devenir un véritable levier de souveraineté, à condition d’être rigoureusement encadré. 

Le SOC agentique augmente les capacités des analystes

Un constat également partagé lors du Forum INCYBER concerne la difficulté à passer à l’échelle. De nombreuses organisations restent dépendantes d’approches “artisanales”, reposant sur des expertises rares et difficilement industrialisables.

L’approche portée par Splunk vise précisément à adresser cette limite. En unifiant SIEM, UEBA, SOAR, fédération avec des puits de données externes et intégration avec des agents IA et des LLM, la plateforme permet d’industrialiser les opérations de sécurité. 

L’évolution de Splunk Enterprise Security Premier marque une transition vers un modèle où les agents IA participent activement à l’investigation, à la qualification et à la contextualisation des événements, tout en maintenant l’humain dans la boucle. Il ne s’agit plus uniquement de détecter, mais d’augmenter la capacité d’analyse en automatisant les tâches répétitives. 

Le SOC évolue ainsi vers un environnement semi-autonome, dans lequel les analystes se concentrent sur la supervision, la validation et le traitement des menaces complexes, tandis que les agents accélèrent les cycles de détection et d’investigation en exploitant un ensemble de données de confiance.

Une approche agentique sans cadre de confiance introduit de nouveaux risques. À l’inverse, une stratégie de cybersécurité dépourvue d’intégration d’IA est vouée à être dépassée. L’enjeu est donc de s’appuyer sur des solutions de confiance capables d’opérer sur des données maîtrisées, avec un niveau élevé de traçabilité et de transparence.