Votre choix de plateforme d'automatisation IA est incomplet.

Votre choix de plateforme d'automatisation IA est incomplet.

avatar de l'utilisateur
John Doetch
4 Lecture en une minute

Pourquoi l'expérience d'un analyste SOC devrait guider votre décision en matière d'automatisation de l'IA

Imaginez la situation : votre équipe d’ingénierie de sécurité passe des semaines à évaluer des plateformes d’automatisation IA. Elle réalise des preuves de concept, teste la robustesse des intégrations et débat de l’outil qui offre la meilleure expérience de création de playbooks. Elle choisit une solution. Le déploiement se déroule sans accroc. Et puis, six mois plus tard, la satisfaction des analystes stagne, le MTTR reste inchangé et la plateforme semble avoir été conçue pour quelqu’un d’autre.

Parce que c'était le cas.

Il s'agit là d'une des erreurs les plus fréquentes et les plus coûteuses commises par les organisations lors du choix d'une plateforme d'automatisation de l'IA. L'ingénierie de sécurité réalise l'évaluation et conçoit les automatisations, mais ce sont les analystes SOC qui assurent l'exploitation quotidienne.

plateforme d'automatisation de la sécurité

Le point aveugle de l'évaluation

Il est logique que les ingénieurs en sécurité dirigent les évaluations de plateformes, car ils configurent les intégrations, rédigent les manuels d'utilisation et conçoivent les flux de travail d'automatisation ; ils devraient donc avoir une place de choix à la table des négociations.

Mais voici la réalité : une fois ces scénarios créés et opérationnels, l’équipe d’ingénierie se retire. Les analystes prennent le relais. Ils trient les alertes, enquêtent sur les incidents et prennent des décisions sous pression au quotidien. Ils sont les principaux utilisateurs de la plateforme, jour après jour.

Les recherches de Swimlane montrent systématiquement que moins de 151 000 t/s du temps passé sur une plateforme d'automatisation de la sécurité est consacré à l'orchestration et à la création de scénarios. Les 851 000 t/s restants sont utilisés par les analystes pour traiter les cas, examiner les données, collaborer avec leurs collègues et résoudre les incidents.

Lorsque vous optimisez votre sélection de plateforme pour le 15%, vous compliquez inutilement la tâche pour l'autre 85%.

Les plateformes séparent souvent l'automatisation et la gestion des cas en systèmes distincts. Les analystes passent d'un outil à l'autre. Le contexte se trouve dispersé.

“ Utilisez simplement un outil de gestion de cas tiers ”

Certains fournisseurs du secteur de l'automatisation de la sécurité ont effectivement suggéré cette solution : si le natif expérience d'analyste Si ce n'est pas idéal, orientez votre équipe vers un outil de gestion de cas tiers et intégrez-le à votre solution.

Ce conseil passe complètement à côté du sujet.

La gestion des cas n'est pas un simple ajout. C'est le cœur opérationnel du SOC. C'est là que réside le contexte, que la collaboration s'opère, que le savoir-faire institutionnel est capitalisé et que la direction a une vision claire de la situation. Si cette gestion est cloisonnée dans un outil distinct, déconnecté de votre automatisation, de vos données et de vos flux de travail, vous ne résolvez pas le problème, vous le masquez.

Pire encore, cela crée des frictions. Les analystes doivent désormais jongler entre les systèmes, ressaisir les données et perdre le fil entre l'enrichissement automatisé et l'analyse humaine. Ces frictions engendrent des pertes de temps. Le temps, c'est de l'argent. Et en matière de sécurité, le temps est source de risques.

Que signifie l'expérience d'analyste ?

L'expérience des analystes influe directement sur la rapidité, la cohérence et la valeur que le SOC apporte à la direction.

Quand on parle d'expérience analyste, on ne parle pas d'une interface utilisateur épurée ou d'un mode sombre. On parle de la capacité de la plateforme à aider les analystes à faire avancer les dossiers avec plus de fluidité, un meilleur jugement et une plus grande cohérence. Autrement dit, votre plateforme remplit-elle ces fonctions ?

  • Gestion de cas intégrée qui réside au sein de la même plateforme où l'automatisation s'exécute, et non via un transfert de données vers un autre outil.
  • A Modèle de données commun qui normalise les données à travers chaque intégration, afin que les analystes voient des informations cohérentes et structurées plutôt que des résultats bruts et bruités provenant de dizaines d'outils.
  • Applications d'analyse dédiées avec des champs personnalisés, des interfaces utilisateur adaptées et des flux de travail conçus en fonction de la façon dont les analystes pensent et trient réellement les données, et non en fonction de ce qui était le plus facile à construire pour les ingénieurs.
  • Tableaux de bord et rapports qui offrent aux analystes une visibilité en temps réel sur l'état des dossiers et fournissent aux dirigeants les indicateurs dont ils ont besoin pour démontrer la valeur du SOC.
  • Aide à la décision basée sur l'IA L'IA au sein du SOC doit faire émerger des recommandations, automatiser les tâches répétitives et renforcer le jugement des analystes. Elle ne doit pas les contourner, mais au contraire les rendre plus rapides et plus performants. Les meilleures implémentations proposent un enrichissement des connaissances, des recommandations de traitement et un plan de réponse basé sur les outils déjà en place, avant même que l'analyste ne prenne en charge un cas. C'est lui qui décide. C'est ainsi que vous réduisez le MTTR et fidélisez vos talents.

Les résultats commerciaux qui comptent

Chaque RSSI et directeur de SOC a une conversation similaire avec la direction : “ Que fait le SOC, et est-ce efficace ? ” Les résultats attendus ne sont pas abstraits, mais bien concrets.

  • Réduction des risques et assurance de mission
  • Efficacité opérationnelle et échelle
  • Expérience et rétention des connaissances des analystes
  • Facilitation de la conformité, des coûts et de la croissance

Aucun de ces résultats n'est atteignable si vos analystes sont frustrés, lents ou s'ils contournent la plateforme au lieu de l'utiliser. Expérience des analystes est un levier d'efficacité opérationnelle. Fidélisation des analystes est un levier de risque. Connaissances recueillies dans le cadre d'une gestion de cas intégrée est Résilience institutionnelle. Il ne s'agit pas d'avantages indirects, mais de résultats mesurables, concrets et observables au niveau des instances dirigeantes.

Une plateforme qui rend vos ingénieurs heureux mais vos analystes malheureux ne répondra pas aux attentes de chacun d'eux.

Un meilleur cadre d'évaluation

La solution n'est pas d'écarter vos ingénieurs en sécurité de l'évaluation, mais d'y impliquer toute l'équipe. Voici une reformulation simple :

Zone d'évaluationPoint de vue de l'ingénieurPoint de vue de l'analyste (à ne pas manquer)
Créateur de playbooksFacilité de création d'automatisations, flexibilité du low-code, profondeur d'intégrationComment les résultats sont-ils présentés aux analystes ? L’enrichissement des données est-il lisible et exploitable ?
Gestion de casPeut-on personnaliser les champs et les structures de données ?Est-il intuitif de trier, d'enquêter et de documenter les résultats en un seul endroit ?
Modèle de donnéesDans quelle mesure les données ingérées sont-elles normalisées entre les différentes intégrations ?Est-ce que j'observe des données cohérentes et structurées ou est-ce que j'interprète des données brutes issues d'un outil ?
SignalementPeut-on créer des tableaux de bord personnalisés pour les indicateurs opérationnels ?Puis-je consulter rapidement ma charge de travail, la file d'attente prioritaire et l'état de mon SLA en un coup d'œil ?
Capacités de l'IAQuelles tâches d'automatisation l'IA prend-elle en charge ?L'IA m'aide-t-elle à prendre de meilleures décisions, ou se contente-t-elle de réduire le nombre de tickets dans ma file d'attente ?

L'utilisateur le plus important de votre SOC

Les ingénieurs en sécurité sont indispensables. L'automatisation qu'ils mettent en place permet la mise à l'échelle. Mais au quotidien, dans le cadre des opérations de sécurité, l'analyste est l'utilisateur le plus important de votre plateforme. C'est lui qui détecte les menaces, clôture les incidents et protège l'organisation, poste après poste.

En choisissant une plateforme adaptée à leurs besoins – avec une gestion intégrée des cas, un modèle de données cohérent, des applications dédiées et une IA qui les assiste au lieu de les marginaliser – vous améliorez bien plus que leur expérience. Vous optimisez tous les indicateurs clés de votre organisation : des délais de réponse plus courts, une meilleure fidélisation des analystes, une conformité renforcée et un SOC capable de démontrer sa valeur.

La prochaine fois que votre équipe évaluera une plateforme d'automatisation de la sécurité, posez-vous une question simple avant de commencer : “ À qui est-ce vraiment destiné ? ” Ensuite, assurez-vous que les personnes qui y passent 85% de leur journée soient présentes lors de votre décision.

Obtenez une démonstration en direct de la turbine Swimlane

Observez la différence des couloirs de nage

Swimlane est conçu autour de l'expérience analyste grâce à une gestion intégrée des cas, un modèle de données commun, un générateur d'applications et Hero AI, le tout sur une plateforme unique. Vous voulez voir à quoi cela ressemble du point de vue de l'analyste ?

Demander une démo

Étiquettes

IAAutomation

Guide ultime des fournisseurs de SoC IA
En savoir plus
Questions à se poser lors de l'évaluation d'un fournisseur de solutions d'automatisation par IA
En savoir plus
SOC IA pour le rapport MDR de Software Analyst Cyber Research
Rapport d'analyste : IA SOC pour MDR
En savoir plus

Demander une démo en direct