Le Mean Time To Respond a dominé l’évaluation des opérations de sécurité, mais, dans un SOC augmenté par l’IA, cette métrique perd sa cohérence. Les fenêtres temporelles d’un même type d’incident varient désormais de deux heures à sept mois selon la nature de la compromission, le niveau d’automatisation de la chaîne de détection et la complexité comportementale de l’attaque. Mesurer la performance d’un environnement IA avec un indicateur conçu pour des workflows linéaires revient à évaluer un moteur à réaction avec un compte-tours de moteur thermique.
Les directions sécurité se retrouvent dans une position inconfortable. C’est du moins la l’une des conclusions de l’étude Exabeam/Sapio Research auprès de 750 décideurs IT dans 12 pays. Selon ses conclusions, les directions sécurité ont reçu le mandat d’intégrer l’IA, parfois sous pression directe des directions générales, sans disposer des cadres de mesure permettant d’en traduire les effets en langage financier ou stratégique. Les budgets augmentent par injonction de modernisation et pression concurrentielle, non par démonstration d’un retour sur investissement. Ce décalage entre vitesse d’adoption et maturité de la justification constitue ce que les auteurs du rapport nomment un « justification gap », une fragilité latente qui ne se manifeste que lors des arbitrages budgétaires, quand il est déjà trop tard pour construire les preuves.
L’adoption de l’IA et de l’automatisation dans les opérations de sécurité est citée par 44 % des répondants comme premier facteur de croissance budgétaire en 2026, devant l’expansion des infrastructures cloud hybrides (33 %) et l’adoption transversale de l’IA dans l’entreprise (32 %). Ces chiffres traduisent une réalité opérationnelle précise : les directions générales ont inscrit la modernisation des SOC par l’IA comme priorité stratégique, et les budgets suivent cette orientation sans attendre de validation par les résultats.
L’IA nivelle les hausses de budget et les risques de coupe
Si les mêmes organisations devaient réduire leur budget cybersécurité de 10 %, 44 % couperaient en priorité leurs plateformes d’IA et d’automatisation, avant les outils de détection et de réponse aux menaces (32 %), les solutions de protection des données (31 %) ou les outils IAM (30 %). Cette symétrie reflète l’absence de démonstration de valeur suffisamment solide pour protéger ces postes lors des arbitrages. « Les responsables sécurité ont un mandat clair : intégrer l’IA. Mais ils doivent désormais prouver que ces investissements réduisent concrètement l’exposition au risque, souligne Steve Wilson, chief AI et Product Officer chez Exabeam. Les indicateurs historiques ne suffisent plus. Il faut parler le langage du board. »
Une période de tension budgétaire suffit à déclencher des arbitrages défavorables aux projets IA, fragilisant des transformations du SOC engagées sur plusieurs années. La fenêtre pour construire des frameworks de mesure crédibles se referme au fur et à mesure que les attentes des instances dirigeantes se formalisent.
Les métriques SOC existantes sont obsolètes
Les équipes sécurité s’appuient sur un arsenal de mesure bien établi : 63 % des répondants mobilisent des indicateurs de ROI quantifié incluant des modèles d’impact financier et de réduction du risque, 60 % des métriques opérationnelles de type taux de fermeture d’alertes ou couverture des correctifs, 59 % des métriques de résultats incluant MTTD et MTTR. Ces indicateurs sont maîtrisés et comparables. Ils ne résolvent pourtant pas le problème de communication avec les instances dirigeantes.
La première difficulté citée pour défendre les budgets sécurité est l’absence de compréhension du lien entre investissement cybersécurité et résilience métier (30 % des répondants), suivie par la surpondération de la conformité réglementaire au détriment de la réduction du risque réel (20 %) et le désalignement avec les directions financières (13 %). Le diagnostic est précis : les équipes sécurité produisent des données, mais ces données ne correspondent pas aux cadres d’évaluation qu’utilisent les comités de direction pour arbitrer les investissements. « Les boards ne financent pas une fermeture de tickets plus rapide. Ils financent une réduction mesurable du risque , affirme Kevin Kirkwood, CISO chez Exabeam.
Cette fracture a une conséquence directe sur la pérennité des investissements IA. Tant que les RSSI ne traduisent pas une réduction du temps de détection en impact financier évité, ou une amélioration de la couverture comportementale en réduction de la probabilité de compromission, les directions générales n’ont pas les éléments pour protéger ces postes en période de contrainte. La confiance des RSSI dans la valeur produite — 87 % se déclarent confiants ou très confiants — ne se substitue pas à la démonstration chiffrée qu’attendent CFO et boards.
L’IA a un impact mesurable
La conviction opérationnelle reste forte malgré les tensions de justification. Pas moins de 92 % des décideurs sécurité interrogés estiment que l’IA améliore déjà leurs opérations (46 %) ou le fera d’ici fin 2026 (46 %). Les domaines d’impact prioritaires identifiés sont la détection des menaces et le tri des alertes (38 %), la productivité des équipes et l’automatisation des workflows (38 %), et la réponse automatisée aux incidents (35 %). Ces trois axes correspondent aux points de friction chroniques des SOC : surcharge d’alertes, pénurie de compétences, délais de réponse incompatibles avec la cinétique des attaques modernes.
Le modèle de valeur sous-jacent ne repose pas sur le remplacement des analystes, mais sur la réallocation de leur charge cognitive. « La valeur principale de l’IA dans les opérations de sécurité ne réside pas dans le remplacement des analystes humains, mais dans la réallocation de l’effort depuis le tri manuel vers un travail analytique à plus haute valeur ajoutée », indique Findlay Whitelaw, Security Researcher and Strategist chez Exabeam. Dans ce modèle, l’IA prend en charge la priorisation des risques, l’enrichissement contextuel et la corrélation d’événements, libérant les analystes pour les investigations complexes à fort enjeu décisionnel. C’est précisément ce mécanisme — réduction de la charge sur les tâches répétitives, concentration des expertises humaines sur les cas critiques — qui doit devenir le cœur du discours de justification auprès des directions générales.
Les variations régionales éclairent des stratégies d’adoption différentes. L’Arabie Saoudite affiche le taux de déploiement IA le plus élevé, avec 75 % des organisations déclarant que l’IA améliore déjà leurs opérations, dans le cadre de programmes nationaux de transformation numérique à fort engagement budgétaire. Les Pays-Bas (30 %) et le Japon (27 %) adoptent une posture plus prudente, privilégiant l’évaluation rigoureuse avant le déploiement à grande échelle. La France se positionne à 50 %, dans la moyenne haute européenne, reflétant une culture de gouvernance et d’exigence de démonstration du ROI caractéristique des marchés à forte régulation.
Le MTTR devient une métrique inadaptée
La transformation des opérations de sécurité par l’IA ne rend pas seulement les métriques existantes insuffisantes sur le plan de la communication, elle les rend inexactes sur le plan de la mesure. « Les métriques traditionnelles, comme le MTTR deviennent problématiques dans les environnements assistés par l’IA, où les fenêtres temporelles peuvent varier de 2 heures à 7 mois selon la nature de l’incident », analyse Steve Povolny, VP of AI Strategy and Security Research chez Exabeam. Les indicateurs conçus pour des environnements de détection et de réponse linéaires ne capturent pas la réalité d’une chaîne d’investigation augmentée par des modèles comportementaux et des capacités de corrélation automatisée.
Les approches documentées comme les plus efficaces par l’étude se concentrent sur des métriques orientées résultats, directement connectées à la résilience métier : violations évitées, réduction des interruptions d’activité, accélération de la récupération après incident. Ce sont des grandeurs que les directions générales comprennent parce qu’elles s’articulent directement aux indicateurs de performance opérationnelle et financière de l’entreprise. « La mesure doit passer de la vitesse de restauration à des réductions mesurables de la probabilité de récurrence, de la dérive décisionnelle et de l’élévation autonome de privilèges. Lorsque vous quantifiez la compression structurelle du risque plutôt que la fermeture d’incidents, vous alignez l’investissement sécurité avec la durabilité de l’entreprise », conclut Steve Moore, Chief Security Strategist chez Exabeam.
Les 87 % de RSSI confiants dans la valeur produite par leurs investissements devront convertir cette conviction en démonstration chiffrée, articulée aux cadres d’évaluation des directions générales. Les organisations qui sécuriseront durablement leurs budgets IA seront celles qui auront développé, avant la prochaine phase de contrainte budgétaire, quatre capacités distinctes : des métriques orientées résilience métier, une communication adaptée aux boards, un alignement stratégique sur la définition du succès, et le développement des équipes pour des opérations augmentées par l’IA. L’IA transforme les SOC, car la question n’est plus technologique, elle est économique : qui sera capable de le prouver.
