Le SOC de demain se dévoile dans le rapport État de la cybersécurité en 2025 de Splunk

En tant que responsable de SOC, si vous n’anticipez pas l’avenir, vous êtes déjà en retard. Et les années à venir seront marquées par des changements toujours plus rapides. Le rythme effréné d’innovation de l’IA, des manques de compétences croissants et des menaces de plus en plus sophistiquées encourageront (ou plutôt obligeront) les équipes SOC à adopter des stratégies innovantes pour assurer la résilience de leur organisation. 

Pour découvrir à quoi ressemblera le SOC de demain, Splunk a interrogé 2 058 responsables de la sécurité issus de 9 pays et 16 secteurs dans notre dernier rapport, État de la cybersécurité en 2025 : Le SOC de demain, plus fiable et intelligent. Cette étude, menée en partenariat avec Oxford Economics, révèle les principaux obstacles à l’évolution du SOC et les meilleures stratégies pour le transformer. Contrairement à ce que l’on pourrait penser, malgré tous les dangers externes monopolisant notre attention, certaines des plus grandes menaces sont les inefficacités internes empêchant les équipes de consacrer leur temps à leur objectif principal : défendre l’organisation. 

Dans les faits, presque la moitié (46 %) des participants affirment qu’ils consacrent davantage de temps à la configuration et au dépannage des outils qu’à l’investigation et à l’atténuation des menaces. Le traitement des alertes est une autre grande source d’inefficacité au sein du SOC, 59 % des participants indiquant recevoir trop d’alertes. 57 % confient perdre un temps précieux lors des investigations en raison de lacunes dans les stratégies de gestion des données. Dans le même temps, un manque de compétences croissant met encore davantage de pression sur les équipes SOC, 52 % des personnes interrogées affirmant que leur équipe est surchargée.

Pour relever tous ces défis, les organisations doivent mettre en place le SOC de demain, un SOC exploitant pleinement les avantages de l’IA et de l’automatisation, tout en adoptant des stratégies de détection avancées et une approche unifiée de la détection, de l’investigation et de la réponse aux menaces.

L’IA et la détection en tant que code pour un SOC performant

L’IA sera l’un des composants essentiels du SOC de demain. Il est aujourd’hui impossible d’ignorer sa capacité à effectuer des tâches de routine, à offrir un contexte pertinent et à synthétiser les données, surtout dans un contexte de manque de personnel et de surcharge de travail. Notre étude révèle d’ailleurs un grand engouement à ce sujet, l’intégration de l’IA aux workflows de sécurité étant la priorité absolue des équipes de cybersécurité cette année. Les gains de productivité sont réels pour ceux qui ont sauté le pas, 59 % déclarant avoir modérément ou significativement amélioré leur efficacité grâce à l’IA. 

Une adoption responsable de l’IA au sein du SOC implique de mettre en place les contrôles et la supervision nécessaires, nous sommes donc rassurés de constater que 61 % des participants déclarent faire relativement confiance à l’IA pour réaliser des opérations critiques. Un certain niveau de confiance pour adopter pleinement l’IA dans le SOC, mais il est indispensable de maintenir une supervision humaine, en particulier lorsqu’il s’agit d’IA générative. Après tout, ne nous a-t-on pas inlassablement répété tout au long de notre parcours d’experts de la sécurité qu’il faut « ne jamais faire confiance, toujours vérifier ».

Pour autant, renoncer complètement à l’IA nous priverait de nombreux avantages potentiels. Dans l’optique de concrétiser les avantages de l’IA générative, les participants se tournent vers les outils spécialisés pour obtenir des recommandations : 63 % d’entre eux conviennent que cette technologie améliore extrêmement ou significativement les opérations de sécurité par rapport aux outils grand public tels que ChatGPT.

Outre l’IA, une autre solution est la détection en tant que code (DaC), une approche émergente qui aide les défenseurs à garder une longueur d’avance sur les nouvelles menaces en automatisant et en standardisant la création de détections. 

De nombreux SOC utilisent encore des stratégies dépassées en supervisant les endpoints ou en réagissant simplement aux menaces identifiées par leurs outils de sécurité, au lieu de se focaliser sur les inconnues. Le SOC de demain s’appuiera sur des approches innovantes en exploitant la threat intelligence pour traquer proactivement les menaces. Les équipes créeront à la volée des détections pour les techniques d’attaque qu’ils identifieront et analyseront. 

La détection en tant que code permet ces approches proactives. Notre étude révèle en effet que la détection en tant que code jouera un rôle essentiel dans le SOC de demain. Même s’ils ne sont actuellement que 35 % à l’utiliser fréquemment ou systématiquement, 63 % des participants affirment vouloir en faire autant à l’avenir. 

Ce fossé entre envie et réalité peut s’expliquer par l’idée reçue que la détection en tant que code est difficile à mettre en place. Cependant, le marché a évolué et d’autres offres suivront pour continuer à démocratiser cette approche. Et une fois les premiers obstacles franchis, les avantages sont conséquents. Par exemple, plus de la moitié (52 %) des participants indiquent que la détection en tant que code leur permet d’automatiser les workflows, un moyen clair d’optimiser et d’accélérer les opérations du SOC.

L’union fait la force au sein (et hors) du SOC

Un SOC ne peut survivre sans ses outils. Cependant, lorsque ces outils ne sont pas intégrés, ils sont bien souvent source de maux de tête, de silos et d’angles morts. Lorsque je gérais un SOC supervisant plus de 260 000 employés, les défaillances d’outils étaient légion et entraînaient des perturbations majeures. Un changement anodin dans le pare-feu pouvait mettre à mal la moitié de l’entreprise.

Notre étude montre que l’absence de lien entre les équipes et les outils constitue un problème important au sein du SOC. 78 % des personnes interrogées affirment que leurs outils de sécurité sont disjoints et 69 % indiquent que cette déconnexion occasionne des difficultés modérées ou importantes. 

La plupart des SOC actuels parviennent bien à gérer les éléments qu’ils contrôlent. Mais lorsqu’ils doivent s’appuyer sur les données d’autres équipes, ce qui n’est pas rare, ils se retrouvent dans une impasse. À l’avenir, les SOC seront davantage connectés, tant au niveau humain que des outils. 

Le partage des données entre les équipes de sécurité et d’observabilité est l’un des moyens de renforcer l’intégration du SOC, même s’ils ne sont que 9 % des participants à affirmer les partager systématiquement. Pourtant, ceux qui ont franchi le pas font part de bénéfices notables. 78 % évoquent notamment des avantages modérés à transformateurs en matière de détection des incidents.

Les équipes externes telles que les RH ou le service juridique devraient également être capables de collaborer facilement avec le SOC, et l’intégration avec les logiciels de tickets d’autres équipes via une plateforme unifiée pourrait faciliter et accélérer cette collaboration. Sans cette coopération, le SOC se retrouve complètement isolé et ne peut qu’espérer avoir l’attention des autres équipes : une situation extrêmement délicate pour un service dont les tâches sont si urgentes. Nos participants s’accordent à dire que l’adoption d’une plateforme unifiée accélère la réponse aux incidents (59 %) et réduit la maintenance des outils (53 %), des avantages se traduisant par un SOC plus efficace.

La situation en France

La gestion des données représente un défi majeur en France : 62 % des équipes de sécurité affirment perdre un temps précieux lors de leurs investigations à cause de lacunes dans leur stratégie. 58 % citent d’ailleurs le coût du stockage et du déplacement des données comme leur principale difficulté.

Cependant, les SOC tendent à être plus connectés en France, avec un partage des données entre l’informatique, l’ingénierie et la sécurité dans 15 % des équipes interrogées. Les SOC français sont aussi en avance dans l’adoption de la détection en tant que code, avec plus de la moitié (56 %) utilisant cette fonctionnalité, contre une moyenne de 41 % tous pays confondus.

Lisez le rapport complet État de la cybersécurité en 2025 pour connaître toutes les conclusions de notre étude, notamment les compétences les plus importantes pour la résilience, le rôle que l’IA jouera dans le SOC de demain et les enseignements d’experts de Splunk pour mettre en place un SOC performant.