Les fournisseurs AI SOC survendent la chasse aux menaces autonome

Les fournisseurs de centres d'opérations de sécurité promettent des enquêtes de menaces autonomes et des « opérations sans humains », mais les praticiens décrivent une réalité de déploiements contraints et d'intégration AI superficielle. Un nouveau rapport de Anton Chuvakin de Google Cloud et Oliver Rochford d'Aunoo AI a sondé plus de 30 briefings de fournisseurs et interrogé des CISO utilisant des outils AI SOC en production. L'adoption du marché se situe à seulement 1-5 pour cent selon le Hype Cycle 2025 de Gartner, la plupart des équipes attendant que les capacités AI soient intégrées dans les plateformes SIEM et XDR existantes plutôt que d'acheter des solutions autonomes.

Ce qui se passe réellement en production révèle l'écart entre les promesses des fournisseurs et la réalité. Les équipes déploient l'AI pour l'enrichissement d'alertes, les résumés d'enquêtes et la rédaction de rapports — mais gardent les humains dans la boucle de décision pour tout ce qui compte. Le rapport identifie le « purgatoire de pilote » comme un pattern commun : la preuve de valeur se convertit en petit déploiement de production, l'AI gère les tâches à faibles enjeux, l'expansion ne vient jamais. Certaines équipes d'ingénierie de détection matures rapportent que des LLM à usage général bien promptés avec accès à la documentation interne surpassent les produits de fournisseurs qui manquent de contexte environnemental.

Les métriques ne supportent pas non plus les affirmations d'adoption des fournisseurs. « L'exposition » n'est pas la « confiance », note Rochford — les analystes peuvent voir des résumés générés par AI sur chaque alerte, mais ça ne veut pas dire qu'ils agissent dessus. Chuvakin appelle à des définitions plus précises autour des affirmations de performance : « 'enquêtes 50% plus rapides' pourrait vouloir dire presque n'importe quoi. » Les statistiques des fournisseurs comptent souvent l'activation de fonctionnalités ou les réponses de sondages sur « l'exploration » d'outils AI, pas la dépendance opérationnelle réelle.

Pour les équipes de sécurité évaluant les outils AI SOC : commencez étroit, mesurez les changements réels de comportement des analystes, pas juste l'usage des fonctionnalités. Le futur autonome que vendent les fournisseurs n'est pas encore là, et les décisions d'achat basées sur les promesses de roadmap plutôt que sur les capacités actuelles, c'est de la pensée magique coûteuse.