Comment réduire la surcharge d'alertes dans les SOC de défense

Un triage alimenté par l'IA, des informations plus rapides et la marge de manœuvre dont vos analystes ont besoin

22 août 2025

Les analystes sont confrontés à un flot incessant de notifications, dont la majorité se révèlent être des faux positifs. Des études montrent que 71 % du personnel des centres opérationnels de sécurité¹ souffrent d'épuisement professionnel et se disent dépassés par le volume d'alertes. L'une des principales frustrations des analystes est de passer trop de temps à gérer les faux positifs et à effectuer des tâches manuelles.

Plus inquiétant encore, une enquête de 2024² montre qu'un pourcentage stupéfiant de 62 % des alertes sont totalement ignorées et que la précision diminue de 40 % après des périodes de travail prolongées. Il s'agit donc non seulement d'un problème d'efficacité, mais aussi d'une faille de sécurité aux racines très humaines, créant précisément les lacunes que les menaces sophistiquées exploitent.

Heureusement, des stratégies de détection plus intelligentes combinées à une automatisation avancée et à des outils de sécurité pilotés par l'IA réduisent à la fois le bruit et les risques. De nombreuses entreprises constatent déjà des améliorations majeures. Un rapport récent analysant les commentaires des clients a montré que les entreprises utilisant Elastic Security ont réduit les volumes d'alertes quotidiens de plus de 1 000 à seulement huit découvertes exploitables, avec une réduction des faux positifs de 75 % en moyenne. Il ne s'agit pas seulement d'une réduction du bruit, mais d'une transformation de l'attention des analystes et de l'efficacité du centre opérationnel de sécurité. L'un des principaux moteurs de ce changement est l'outil alimenté par l'IA, tel que Attack Discovery d'Elastic. Il permet de réduire les fausses alertes en identifiant les attaques réelles plutôt que les anomalies individuelles.

Les équipes de sécurité n’ont pas besoin de plus d’alertes. Elles doivent procéder à un changement stratégique dans leur façon de fonctionner. Pour obtenir des informations pertinentes et exploitables, il ne faut pas ajouter d'outils, de formations ou de plus longues périodes de travail, ce qui, bien entendu, entraîne une augmentation des coûts. Il s'agit plutôt de comprendre les changements stratégiques que les équipes chargées de la défense mettent déjà en œuvre pour réduire la surcharge d'alertes et l'exposition aux risques et améliorer les activités de sécurité.

Priorisation des alertes et réduction du bruit

Pour se libérer de la surcharge d'alertes, il est essentiel de repenser la manière dont les alertes sont détectées, traitées, filtrées et hiérarchisées, afin que les analystes puissent se concentrer sur les menaces les plus critiques.

En utilisant l’IA générative, la solution Attack Discovery d’Elastic améliore la détection et la compréhension des modèles d’attaque complexes, transformant un flot d’alertes en une vue claire de la progression des attaques. En prenant en compte des facteurs critiques pour les activités de défense, tels que les scores de risque de l’hôte et de l’utilisateur, la criticité des actifs et la gravité des alertes, elle aide les analystes à prioriser les menaces les plus importantes, réduisant des milliers d’alertes à quelques alertes clés. Grâce aux informations mises en évidence par Attack Discovery, les analystes peuvent ensuite utiliser l’assistant Elastic AI et ses capacités de génération augmentée de récupération (RAG). En se connectant à vos connaissances internes, l’assistant IA fournit des conseils contextuels à partir de vos propres runbooks et procédures, ce qui contribue à réduire considérablement le temps moyen de réponse.

WEBINAR

Sécurité plus intelligente : comment l'IA transforme la détection des menaces et les flux de travail des analystes

L’IA n’est plus une ambition d’avenir : elle redéfinit activement les flux de travail des analystes. Découvrez comment l’automatisation intelligente réduit la fatigue, améliore la précision du triage et accélère la réponse aux menaces tout en préservant la confiance.

Regarder maintenant

Donner du sens grâce au contexte et la corrélation

Pour enquêter efficacement sur les menaces, les analystes ont besoin d'une vue d'ensemble pour comprendre comment les différents évènements sont interconnectés dans l'environnement. Cependant, avec des données fragmentées entre les points de terminaison, les pare-feux et les systèmes d'identité, obtenir cette vue unifiée reste un défi constant.

La solution Attack Discovery d’Elastic identifie activement les relations entre les alertes, révélant des modèles d’attaque qui pourraient autrement rester cachés dans le flot de données. Tout cela repose sur des capacités de recherche sophistiquées combinées à de grands modèles de langage qui fonctionnent avec les données de sécurité réelles, et non avec des hypothèses de sécurité génériques. Cela permet de détecter automatiquement les menaces connues à l’aide de règles de corrélation tout en liant les évènements associés pour fournir un contexte plus riche et des investigations plus rapides et plus précises. Chaque découverte met en évidence une attaque potentielle en reliant des alertes associées indiquant quels utilisateurs et hôtes sont impliqués, comment l’activité est associée au cadre MITRE ATT&CK® et les acteurs malveillants potentiels. Attack Discovery relie des alertes apparemment sans rapport en chaînes d’attaques claires et cohérentes. Plutôt que de traiter des avertissements isolés concernant un trafic réseau inhabituel, des processus ou l’utilisation d’informations d’identification suspects, les analystes peuvent immédiatement visualiser le contexte complet d’une attaque.

La base de connaissances enrichit les alertes avec le contexte des incidents passés, les modèles d'attaque et les corrélations dans l'environnement, aidant les analystes à avoir une vue d'ensemble et à répondre aux menaces avec clarté et précision.

Il prend également en charge la conservation à long terme des données légales, permettant la corrélation des évènements au fil du temps, ce qui est crucial pour assurer la maintenance de la sécurité et la conformité dans le secteur de la défense.

Amélioration des enquêtes et des activités de sécurité

Afin de rendre les enquêtes de sécurité plus rapides et intuitives, les analystes du centre opérationnel de sécurité de défense ont besoin de résumés riches et contextuels, ainsi que de la possibilité d'interagir avec les alertes, les attaques et les données de cas en utilisant le langage naturel. Au lieu d'écrire des requêtes complexes ou de parcourir manuellement les journaux, les analystes devraient pouvoir poser des questions telles que « Montre-moi toutes les alertes liées à cette attaque » , « Résumez la chronologie de l'attaque » , ou « Quels processus ont été impliqués dans cet incident ? » Le changement opérationnel clé ici est d’adopter la bonne solution d’IA capable de traduire ces demandes en requêtes exploitables, en récupérant et corrélant instantanément les données pertinentes de l’ensemble de l’environnement.

Elastic AI Assistant permet aux analystes de poser des questions de suivi, telles que « Comment puis-je remédier à cette menace ? » ou demander une requête ES|QL pour isoler des actions spécifiques. De plus, les analystes peuvent générer des requêtes ES|QL directement à partir de commandes en langage naturel, ce qui permet de rechercher, d'analyser et d'agir sur les données de sécurité plus rapidement et plus facilement.

Elastic AI Assistant aide les équipes à répondre aux menaces plus efficacement avec un minimum d'efforts manuels. Par exemple, une entreprise a constaté une réduction de 34 % du temps d'investigation avec Elastic AI Assistant grâce à des résumés d'alertes de niveau expert, des requêtes contextuelles et des étapes de remédiation pré-écrites.

Il permet de fournir plus d’informations sur l’attaque et les alertes associées grâce à une interface en langage naturel. Cela permet d’accélérer le temps de réaction. Il permet également aux utilisateurs moins techniques d’effectuer des investigations approfondies, permettant ainsi ç tout analyste à effectuer des tâches avancées.

Pour les environnements de défense, il ne s’agit pas seulement de la vitesse. Il s'agit également de précision et de s'assurer que le temps et les talents limités sont consacrés aux menaces réelles, et non au filtrage de routine.

Participerez-vous au DSEI UK 2025 ?

Profitons-en pour garder le contact !

Nous avons quelque chose de passionnant en réserve pour l’évènement, et nous serions ravis de le partager avec vous.

Transformer la surcharge d'alertes en informations exploitables

Un volume élevé d'alertes épuise votre équipe. En apportant des changements stratégiques à la gestion des alertes, les équipes peuvent passer d'une réponse réactive à des actions plus réfléchies et proactives. En éliminant la nécessité de réagir manuellement à chaque pic de télémétrie, les équipes ont plus de latitude pour réfléchir de manière plus intelligente, développer des stratégies de détection avancées ou mener des projets de chasse aux menaces qui étaient auparavant hors de portée.

Découvrez comment vos équipes de sécurité défensive peuvent accélérer l'efficacité, réduire la fatigue et rationaliser les activités grâce à l'automatisation alimentée par l'IA. Participez à notre webinaire « une sécurité plus intelligente : comment l'IA transforme la détection des menaces et les flux de travail des analystes », premier volet de notre série de quatre webinaires qui met en lumière les moyens concrets par lesquels l'IA redéfinit les activités des centres opérationnels de sécurité de défense.

Ressources de sécurité supplémentaires

Regardez notre série de webinaires : Entretiens stratégiques avec des dirigeants de la défense

Sources :

Tines, « Rapport : Voice of the SOC Analyst », 2022.
MSSP Alert and CyberRisk Alliance, «MSSP Market News: Survey Shows 62 % of SOC Alerts are Ignored, 2024.

La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.

Dans cet article, nous sommes susceptibles d'avoir utilisé ou mentionné des outils d'IA générative tiers appartenant à leurs propriétaires respectifs qui en assurent aussi le fonctionnement. Elastic n'a aucun contrôle sur les outils tiers et n'est en aucun cas responsable de leur contenu, de leur fonctionnement, de leur utilisation, ni de toute perte ou de tout dommage susceptible de survenir à cause de l'utilisation de tels outils. Lorsque vous utilisez des outils d'IA avec des informations personnelles, sensibles ou confidentielles, veuillez faire preuve de prudence. Toute donnée que vous saisissez dans ces solutions peut être utilisée pour l'entraînement de l'IA ou à d'autres fins. Vous n'avez aucune garantie que la sécurisation ou la confidentialité des informations renseignées sera assurée. Vous devriez vous familiariser avec les pratiques en matière de protection des données personnelles et les conditions d'utilisation de tout outil d'intelligence artificielle générative avant de l'utiliser.

Elastic, Elasticsearch et les marques associées sont des marques commerciales, des logos ou des marques déposées d'Elasticsearch N.V. aux États-Unis et dans d'autres pays. Tous les autres noms de produits et d'entreprises sont des marques commerciales, des logos ou des marques déposées appartenant à leurs propriétaires respectifs.