Les avancées technologiques récentes dans le domaine de l’intelligence artificielle (IA) ont révolutionné la cybersécurité. Parmi ces innovations, les solutions alimentées par l’IA générative (IA Gen) ont émergé comme des outils puissants pour renforcer les défenses contre les cybermenaces. Dans cette synthèse, nous explorons deux technologies récentes introduites au cours des six derniers mois, qui illustrent l’impact de l’IA Gen en cybersécurité.

GenAI4SOC de Thales

En novembre 2024, Thales a présenté son outil « GenAI4SOC », une solution basée sur l’IA générative conçue pour les centres opérationnels de sécurité (SOC). Cet outil vise à améliorer la détection et la réponse aux cyberattaques en :

• Automatisant la création de règles de détection : L’IA analyse les modèles d’attaques connus et génère des algorithmes adaptés pour identifier les menaces futures.
• Accélérant les enquêtes : Les analystes peuvent demander à l’outil de synthétiser des données complexes et de fournir des recommandations exploitables en temps réel.

Points forts

• Gain de temps : Une réduction significative du temps nécessaire pour analyser et réagir aux incidents.
• Précision accrue : Les algorithmes générés par l’IA sont capables de détecter des menaces évolutives et sophistiquées.

Microsoft Security Copilot

En 2024, Microsoft a introduit « Security Copilot », une fonctionnalité d’IA générative intégrée dans ses solutions de cybersécurité. Conçu pour épauler les professionnels de la sécurité, cet outil permet :

• D’analyser et corréler des événements de sécurité : L’IA fournit une vue unifiée des incidents à partir de différentes sources.
• De générer des recommandations : Basées sur des données et des analyses prédictives, les recommandations aident à prioriser les actions correctives.

Points forts

• Formation continue : L’IA apprend en permanence des nouvelles menaces et des comportements des utilisateurs.
• Accessibilité : Une interface conviviale qui simplifie les tâches complexes, rendant l’outil accessible même pour les équipes avec des compétences techniques limitées.

Conclusion

Ces deux technologies, GenAI4SOC de Thales et Microsoft Security Copilot, illustrent le potentiel transformateur de l’IA générative en cybersécurité. Elles offrent non seulement des outils sophistiqués pour améliorer la détection et la réaction face aux cybermenaces, mais aussi des solutions pour surmonter les défis opérationnels et stratégiques.

Voici les deux sources utilisées pour cette synthèse :

1. Thales et GenAI4SOC
   • Source : Usine Digitale – Thales présente GenAI4SOC
   • Date de publication : Novembre 2024.
2. Microsoft Security Copilot
   • Source : Microsoft – What is AI for Cybersecurity?
   • Informations récentes disponibles en 2024.

L’intelligence artificielle continue de transformer la cybersécurité en offrant des solutions de plus en plus sophistiquées pour lutter contre les cybermenaces. Parmi les dernières innovations, deux technologies récentes introduites en 2025 se distinguent par leur capacité à anticiper et à réagir face aux attaques avancées. Voici une présentation de ces solutions de cybersécurité alimentées par l’IA, qui témoignent de l’impact croissant de l’IA dans ce domaine.

Darktrace Cyber AI Analyst

En février 2025, Darktrace, un acteur majeur de la cybersécurité, a lancé Cyber AI Analyst, une solution basée sur l’IA avancée conçue pour automatiser l’analyse des incidents de cybersécurité. Cette technologie a pour objectif de détecter et de répondre rapidement aux menaces tout en réduisant la charge de travail des analystes en sécurité. Cyber AI Analyst fonctionne de la manière suivante :

• Détection des anomalies autonomes : L’IA analyse le trafic réseau en temps réel et détecte les comportements suspects sans l’intervention humaine initiale.
• Enquête autonome et recommandations : Une fois la menace identifiée, l’IA réalise une analyse approfondie et fournit des recommandations immédiates pour résoudre l’incident.

Points forts

• Réduction de la charge d’analyse : L’IA automatise des processus complexes d’analyse, permettant aux équipes de sécurité de se concentrer sur des tâches stratégiques.
• Réactivité améliorée : L’outil permet une détection et une réponse en temps réel aux incidents, minimisant ainsi les risques liés aux attaques.

Palo Alto Networks AI-Driven Firewall

En janvier 2025, Palo Alto Networks a lancé une nouvelle génération de pare-feu alimentée par l’IA, baptisée AI-Driven Firewall. Ce système novateur intègre des algorithmes de machine learning et d’intelligence artificielle pour anticiper et bloquer les attaques avant qu’elles n’atteignent les systèmes sensibles. Les principales fonctionnalités de ce pare-feu incluent :

• Prédiction des menaces : Grâce à des modèles d’IA, le pare-feu analyse les tendances des cyberattaques et prédit les menaces futures, permettant ainsi de les bloquer avant qu’elles ne surviennent.
• Adaptation dynamique : L’IA ajuste en temps réel les paramètres de sécurité en fonction de l’évolution du paysage des menaces, rendant le système plus flexible et résistant face aux nouvelles vulnérabilités.

Points forts

• Précision et anticipation : La capacité prédictive de l’IA permet de repérer des menaces de manière proactive, avant même qu’elles ne soient identifiées par d’autres systèmes.
• Automatisation des réponses : L’IA adapte en permanence les politiques de sécurité, réduisant ainsi le besoin d’intervention manuelle et augmentant la réactivité.

Conclusion

Les technologies récentes comme Darktrace Cyber AI Analyst et Palo Alto Networks AI-Driven Firewall illustrent bien l’évolution de la cybersécurité dans l’ère de l’IA. Ces innovations ne se contentent pas seulement de détecter et de réagir aux menaces, mais vont plus loin en anticipant les attaques et en automatisant les processus de défense. L’IA joue ainsi un rôle clé dans la transformation des pratiques de cybersécurité, offrant des solutions plus réactives, précises et adaptées aux défis contemporains.

Voici les deux sources utilisées pour cette synthèse :

1. Darktrace – Cyber AI Analyst
   • Source : https://www.darktrace.com
   • Informations récentes disponibles en 2025.
2. Palo Alto Networks – AI-Driven Firewall
   • Source : https://www.paloaltonetworks.com
   • Informations récentes disponibles en 2025.

À l’heure où les cybermenaces se complexifient, les entreprises se tournent vers des solutions de cybersécurité intégrant l’intelligence artificielle pour détecter, analyser et contrer les attaques en temps réel. Deux technologies lancées en 2025 illustrent cette évolution : Purple AI de SentinelOne et Charlotte AI de CrowdStrike. Ces outils d’IA générative et d’analyse avancée marquent un tournant dans la manière dont les organisations défendent leurs environnements numériques.

SentinelOne Purple AI

Lancée en février 2025, Purple AI est la dernière innovation de SentinelOne, intégrant de l’IA générative pour transformer l’analyse des menaces en un processus assisté, automatisé et contextuel. L’objectif est de centraliser la détection, l’investigation et la réponse dans un environnement unifié et intelligent. Fonctionnalités clés :

• Corrélation automatique des incidents : Purple AI regroupe les données issues des terminaux, du cloud et des utilisateurs pour reconstituer une attaque de manière autonome.
• Assistance à la remédiation : L’outil fournit des recommandations d’action immédiates, accompagnées d’explications sur les raisons de chaque décision.

Points forts

• Analyse en langage naturel : Les analystes peuvent interagir avec l’IA en langage courant, ce qui facilite l’usage même pour les profils non techniques.
• Réduction des délais de traitement : Purple AI permet d’identifier et de neutraliser une attaque en quelques minutes au lieu de plusieurs heures.

CrowdStrike Charlotte AI

En mars 2025, CrowdStrike a lancé Charlotte AI, un assistant de cybersécurité basé sur l’IA générative et intégré à sa plateforme Falcon. Il vise à renforcer les capacités de détection, de réponse, mais aussi à démocratiser la cybersécurité grâce à des interactions simples et précises. Fonctionnalités clés :

• Interaction conversationnelle : Les utilisateurs peuvent poser des questions sur l’état de la sécurité, demander un rapport ou exécuter des requêtes de recherche d’IOC (indicateurs de compromission) via une interface en langage naturel.
• Apprentissage contextuel : Charlotte AI tient compte des politiques internes, des configurations spécifiques et de l’historique des incidents pour affiner ses réponses.

Points forts

• Accessibilité renforcée : Elle rend l’analyse et la réaction aux menaces accessibles à des profils variés, pas seulement aux analystes SOC.
• Gain de précision : L’IA réduit le bruit des alertes et se concentre sur les vraies menaces grâce à des analyses comportementales avancées.

Conclusion

Les technologies SentinelOne Purple AI et CrowdStrike Charlotte AI représentent une évolution significative dans l’automatisation et l’intelligence des systèmes de cybersécurité. En combinant l’analyse comportementale, le langage naturel et l’IA générative, elles permettent une meilleure anticipation des menaces, une réactivité accrue, et une gestion plus fluide des incidents. Ces outils deviennent des partenaires indispensables pour les équipes de sécurité confrontées à un volume croissant d’attaques complexes.

Voici les deux sources utilisées pour cette synthèse :

Informations récentes disponibles en 2025.

SentinelOne – Purple AI

Source : https://www.sentinelone.com

CrowdStrike – Charlotte AI

Source : https://www.crowdstrike.com

L’intégration de l’intelligence artificielle générative (IA Gen) dans les outils de cybersécurité continue d’évoluer rapidement. En début d’année 2025, Google a officialisé l’utilisation de Gemini, son modèle d’IA, au sein de Mandiant Threat Intelligence, dans le cadre de la lutte contre les cybermenaces.
Cette technologie ne se limite plus à un usage défensif : des analyses menées par le Google Threat Intelligence Group (GTIG) montrent que des acteurs étatiques, notamment de Chine, d’Iran, de Corée du Nord et de Russie, exploitent désormais Gemini comme un assistant de productivité dans leurs opérations offensives.
Cette veille examine les usages actuels de Gemini dans la cybersécurité, qu’ils soient défensifs ou malveillants, tout en mettant en lumière ses capacités techniques, ses bénéfices et les risques associés.

Points forts

• Productivité accrue : Gemini permet de gagner un temps précieux dans les phases d’attaque comme la reconnaissance, la génération de scripts, l’extraction de données, etc.
• Polyvalence technique : L’IA est capable d’écrire du code, de traduire du contenu, de documenter des processus ou d’automatiser certaines tâches complexes.
• Recherche conversationnelle : Les analystes de sécurité peuvent interroger la base de données Mandiant en langage naturel pour obtenir des analyses contextualisées.
• Détection avancée : Du côté défensif, Gemini permet d’analyser rapidement des échantillons de malwares complexes (ex. : le code de WannaCry analysé en moins de 40 secondes).
• Interface intuitive : Conçue pour les analystes SOC, l’interface Gemini facilite l’extraction d’insights et la création de rapports clairs à partir de données brutes.

Points faibles / limites

• Usage malveillant confirmé : Des groupes APT utilisent Gemini pour améliorer la qualité de leurs attaques (phishing, scripts, etc.) sans créer de techniques inédites.
• Risque de démocratisation : À terme, des cybercriminels moins expérimentés pourraient accéder à ces outils, abaissant la barrière d’entrée pour lancer des cyberattaques.
• Hallucinations potentielles : Comme toute IA générative, Gemini peut produire des résultats incorrects ou imprécis, notamment dans les cas de prompts mal formulés.
• Effets de contournement : Malgré les garde-fous, certaines techniques de contournement simples permettent d’utiliser Gemini à des fins offensives (prompt injection, jailbreaking, etc.).

Conclusion

L’intégration de Gemini dans les systèmes de Threat Intelligence de Google/Mandiant marque une avancée significative dans la cybersécurité augmentée par l’IA. D’un côté, elle offre aux analystes des outils puissants pour accélérer l’analyse des menaces ; de l’autre, elle représente une arme à double tranchant, déjà exploitée par des groupes cybercriminels et étatiques.
Si aucun changement radical n’est encore observé dans les techniques d’attaque, la hausse de l’efficacité opérationnelle induite par l’IA pourrait bientôt réduire considérablement le délai entre la planification et l’exécution d’une attaque.
Cette situation exige une vigilance constante, une régulation éthique des modèles d’IA et une formation accrue des professionnels à ces nouveaux outils.

Voici les sources utilisées pour cette synthèse :

Google Cloud Blog – Adversarial misuse of generative AI
https://cloud.google.com/blog/topics/threat-intelligence/adversarial-misuse-generative-ai

Wall Street Journal
https://www.wsj.com/tech/ai/chinese-and-iranian-hackers-are-using-u-s-ai-products-to-bolster-cyberattacks-ff3c5884

RSA Conference
https://www.itpro.com/security/live/rsac-conference-2025-live-all-the-latest-news-and-updates

CAI (Cybersecurity AI) est un framework open-source qui permet à des agents d’intelligence artificielle de réaliser automatiquement des tests de sécurité : recherche de failles, participation à des programmes de bug bounty, ou évaluation de la sécurité des modèles d’IA eux-mêmes.
Le système repose sur :

• Une architecture modulaire adaptable aux environnements variés, favorisant la collaboration entre plusieurs agents IA.

• Une classification des niveaux d’autonomie pour les agents IA en cybersécurité.

• Des modules spécialisés capables de trouver des vulnérabilités (CVSS 4.3–7.5) à une vitesse bien supérieure à celle des humains.

Points forts

• Efficacité exceptionnelle : dans les tests, CAI a exécuté certaines tâches jusqu’à 3 600 × plus vite que des analystes humains.
• Accessibilité accrue : il démocratise la détection de failles pour des organisations disposant de peu de ressources.
• Spécialisation sectorielle : contrairement aux IA généralistes, CAI a été conçu spécifiquement pour la cybersécurité, ce qui en améliore la pertinence technique.

Points faibles / limites

• Maturité expérimentale : le projet en est encore à une phase de recherche, sans déploiement industriel massif.
• Questions éthiques et légales : l’usage d’une IA autonome pour tester ou sonder des systèmes peut soulever des problèmes de conformité.
• Supervision humaine requise : malgré sa rapidité, CAI peut produire de faux positifs ou manquer de contexte, nécessitant une validation humaine.

Conclusion

L’émergence de CAI marque une étape clé vers une cybersécurité augmentée par l’IA autonome.
En permettant une analyse et une correction plus rapides des failles, cette technologie pourrait révolutionner la manière dont les entreprises gèrent leurs vulnérabilités.
Cependant, elle rappelle aussi que l’automatisation totale comporte des risques : sans garde-fous, les mêmes capacités pourraient être détournées à des fins offensives.
La réussite de ce type de solution reposera donc sur un équilibre entre innovation, supervision humaine et cadre éthique solide.

Voici la source utilisée pour cette synthèse :

Github CAI
https://github.com/aliasrobotics/cai

Un assistant IA optimisé pour Kali Linux

KaliGPT est conçu pour comprendre les outils de pentest et leurs usages : Nmap, Hydra, SQLmap, Metasploit, WPScan, Gobuster, etc.
Il fournit des explications, des commandes prêtes à l’emploi exécutables directement et des conseils contextuels.

Une intégration directe dans le terminal

Le produit est pensé pour fonctionner dans l’environnement Kali, en assistant l’utilisateur en temps réel dans ses actions de pentest.

Une version commerciale prête à l’emploi

KaliGPT est vendu 99,00 € et propose :

• une interface dédiée,
• des modules IA spécialisés,
• des workflows préconfigurés pour le pentest.

Des alternatives open‑source existent

KaliGPT de SudoHopeX, ou encore Terminal GPT (tgpt) et ShellGPT (sgpt) permettent d’avoir une IA intégré au terminal

Points forts

• Gain de temps considérable : Il génère automatiquement : les bonnes commandes celon nos besoins.
• Accessibilité accrue : Il aide les débutants à comprendre les commandes et le guide via une interface graphique.
• Facilité d’installation : L’installation se fait en deux commandes

Points faibles / limites

• Produit commercial propriétaire : Contrairement à CAI ou aux outils open‑source, KaliGPT est payant et fermé.
• Risques d’usage non maîtrisé : Risque de mauvaise interprétation du contexte, … .
• Pas un outil d’exploitation autonome : KaliGPT guide, mais ne remplace pas la prise de décision, la compréhension des risques, et l’analyse humaine

Conclusion

KaliGPT marque une étape importante dans l’évolution des outils de pentest :
un assistant IA spécialisé, capable d’accélérer et d’optimiser les workflows de cybersécurité sur Kali Linux.

Il se distingue par :

• son intégration fluide dans Kali et la possibilité d’exécuter ses commandes en un clic,
• sa capacité à guider l’utilisateur dans toutes les phases d’un test d’intrusion,
• son interface graphique,
• sa facilité d’installation en deux commandes.

Cependant, son caractère propriétaire, la dépendance à un modèle IA externe et les risques liés à l’automatisation offensive rappellent que KaliGPT doit être utilisé avec prudence.

De plus, des alternatives gratuites existent sans interface graphique directement dans le terminal, mais nécessitant une configuration plus complexe.

Voici les sources utilisées pour cette synthèse :

Site officiel
https://kali-gpt.com/products/kali-gpt

GitHub KaliGPT/Hackerx
https://github.com/SudoHopeX/KaliGPT

GitHub SGPT
https://github.com/tbckr/sgpt

GitHub TGPT
https://github.com/aandrew-me/tgpt

How to Install Kali GPT on Kali Linux
https://www.youtube.com/watch?v=PJGbk4dz9Dk

AI SOC Xpert est une solution d’intelligence artificielle développée par Radware pour automatiser l’analyse, l’investigation et la remédiation des attaques de cybersécurité, notamment DDoS, bots et attaques applicatives.
Contrairement aux outils traditionnels, AI SOC Xpert utilise une IA agentique capable de comprendre le contexte d’une attaque, d’en extraire la cause racine et de proposer des actions de défense prêtes à appliquer.

Le système repose sur :

Une vision unifiée des menaces, permettant de réduire la fatigue analyste et d’accélérer la prise de décision.

Une IA d’investigation autonome, capable d’analyser en profondeur les incidents et d’en extraire les éléments clés (chronologie, vecteurs, impact).

Une architecture cloud intégrée, connectée aux solutions Radware (WAF, DDoS, bot management).

Un moteur de remédiation automatisée, générant des recommandations opérationnelles en un clic.

Points forts

1. Accélération massive des investigations

AI SOC Xpert réduit le temps d’analyse d’un incident de plusieurs heures à quelques minutes. L’IA identifie automatiquement :

• la cause racine,
• la séquence d’attaque,
• les ressources ciblées,
• les anomalies comportementales.

2. Remédiation automatisée

L’outil génère des actions de défense prêtes à appliquer :

• règles DDoS,
• filtrage réseau,
• ajustements WAF,
• blocage de bots.
  L’analyste peut appliquer la recommandation en un clic, ce qui réduit drastiquement le MTTR.

3. Réduction de la charge du SOC

Grâce à une vue consolidée et à une analyse intelligente, l’outil diminue :

• les faux positifs,
• le bruit d’alertes,
• la fatigue des analystes.

Points faibles / limites

1. Dépendance à l’écosystème Radware

L’outil fonctionne de manière optimale uniquement avec les solutions Radware (WAF, DDoS, bot manager).
L’intégration dans un SOC hétérogène peut être limitée.

2. Automatisation sensible

La remédiation automatique nécessite :

• une supervision humaine,
• une validation des actions,
• un cadre de gouvernance clair.
  Une mauvaise configuration pourrait entraîner un blocage légitime

3. Coût et maturité

Bien que performant, AI SOC Xpert reste une solution orientée entreprises.
L’adoption dans les PME ou environnements hybrides peut être freinée par :

• le coût,
• la complexité d’intégration,
• la dépendance au cloud Radware.

Conclusion

L’arrivée de Radware AI SOC Xpert marque une étape importante dans l’évolution des SOC vers des modèles augmentés par l’IA.
En automatisant l’investigation et la remédiation, l’outil permet :

• une réduction drastique du temps de réponse,
• une meilleure compréhension des attaques,
• une diminution de la charge opérationnelle.

Cependant, comme toute IA autonome en cybersécurité, son efficacité dépend d’un équilibre entre :

• automatisation,
• supervision humaine,
• gouvernance,
• intégration dans l’écosystème existant.

AI SOC Xpert illustre parfaitement la tendance actuelle : des SOC plus rapides, plus intelligents, mais nécessitant un cadre solide pour éviter les dérives ou les erreurs de remédiation.

Voici les sources utilisées pour cette synthèse :

Site officiel
https://fr.radware.com/products/ai-soc-xpert/

MSSP Alert
https://www.msspalert.com/news/radware-expands-ai-soc-xpert-with-agentic-ai-powered-remediation-and-broader-attack-coverage

Google Security Operations (anciennement Chronicle) est la plateforme XDR/SIEM de Google Cloud, conçue pour offrir une visibilité complète sur les menaces, une corrélation massive des événements et une réponse accélérée grâce à l’intelligence artificielle Gemini.

Contrairement aux SIEM traditionnels, Google Security Operations repose sur l’infrastructure globale de Google, permettant une ingestion quasi illimitée de logs, une recherche en quelques secondes et une analyse automatisée des incidents.

La plateforme s’appuie sur :

1. L’IA Gemini intégrée

• Analyse automatique des incidents
• Résumés intelligents
• Explications des alertes
• Génération de requêtes de détection
• Assistance à la réponse

2. Une architecture cloud hyperscale

• Basée sur la même infrastructure que Google Search
• Capacité d’ingestion massive (pétaoctets)
• Recherche quasi instantanée dans les logs

3. Une intégration native avec l’écosystème Google

• VirusTotal

• Google Cloud

• Workspace

• Mandiant Threat Intelligence

Points forts

1. Analyse accélérée grâce à Gemini

L’IA permet de réduire drastiquement le temps d’investigation :

• L’IA permet de réduire drastiquement le temps d’investigation :
• Résumés automatiques d’incidents
• Explication des causes probables
• Génération de requêtes YARA-L ou UDM
• Analyse des comportements anormaux

2. Corrélation massive des événements

Grâce à l’infrastructure Google :

• Recherche en quelques secondes dans des mois/années de logs
• Corrélation automatique entre sources hétérogènes
• Détection d’attaques complexes (latéralisation, exfiltration, compromission d’identité)

3. Intégration Mandiant + VirusTotal

La plateforme bénéficie :

• des renseignements sur les menaces de Mandiant,
• de la base mondiale d’échantillons de VirusTotal.

4. Automatisation de la réponse

Google Security Operations inclut :

• Playbooks automatisés
• Actions de remédiation orchestrées
• Intégration SOAR native

5. Intégrations tierces

La source MSSP Alert montre que Google Security Operations s’intègre de plus en plus avec des solutions externes :

• intégration Keeper Security (PAM),
• intégrations SOAR tierces,
• connecteurs multi-cloud améliorés.

Points faibles / limites

1. Courbe d’apprentissage

Bien que Gemini simplifie l’usage, la plateforme reste :

• technique,
• orientée grandes équipes SOC,
• exigeante en termes de gouvernance.

2. Coût et volume de logs

L’ingestion massive est un avantage… mais peut devenir coûteuse selon :

• le volume de logs,
• la rétention souhaitée,
• les options avancées (Mandiant, SOAR, etc.).

Conclusion

L’arrivée de Radware AI SOC Xpert marque une étape importante dans l’évolution des SOC vers des modèles augmentés par l’IA.
Google Security Operations illustre la nouvelle génération de plateformes SOC :
massivement scalables, enrichies par l’IA, et capables d’automatiser une grande partie du cycle de détection et réponse.

Ses forces principales :

• IA Gemini pour accélérer l’investigation
• Corrélation hyperscale
• Intégration Mandiant + VirusTotal
• Automatisation avancée

Ses limites :

• Coût potentiellement élevé
• Complexité pour les petites structures

C’est une solution particulièrement adaptée aux grandes entreprises, SOC matures, et environnements cloud Google.

Voici les sources utilisées pour cette synthèse :

Site officiel
https://cloud.google.com/security/products/security-operations

MSSP Alert
https://www.msspalert.com/news/keeper-security-and-google-security-operations-integration-delivers-real-time-visibility-into-privileged-access

Peerspot
https://www.peerspot.com/products/google-security-operations-reviews