PME sous NIS 2 : une IA défensive plus performante et moins chère qu'un SOC classique

Prenons une PME de 250 collaborateurs, soumise à NIS 2, avec un budget cybersécurité limité. Son système d'information est celui de la plupart des entreprises de cette taille : Microsoft 365, Active Directory, un pare-feu Fortinet ou Sophos, quelques serveurs Windows, des journaux système. Pas de SOC 24/7, pas de SIEM à 100 000 EUR par an, pas d'équipe cybersécurité dédiée.

Un matin, un attaquant exploite une vulnérabilité inconnue (un 0-day) sur le VPN ou une application web exposée. Les antivirus, l'EDR et les signatures classiques ne détectent rien : il n'existe aucune signature pour une attaque que personne n'a encore documentée. C'est exactement le scénario contre lequel la sécurité traditionnelle est la plus démunie. Et c'est exactement là que l'IA défensive change la donne.

Le problème : la sécurité classique cherche le connu

Les antivirus et les EDR sont excellents contre ce qui est déjà documenté : malwares connus, indicateurs de compromission (IOC) répertoriés, signatures publiées. Mais ils peinent face à tout ce qui sort de cette base de connaissances :

• les 0-day, par définition jamais vus ;
• les attaques sur mesure, écrites pour une cible unique ;
• le Living off the Land, qui n'utilise que des outils légitimes déjà présents (PowerShell, WMI, PsExec, tâches planifiées) ;
• le détournement d'outils d'administration parfaitement normaux.

Le SIEM classique, lui, fonctionne sur des règles figées du type SI événement A ALORS alerte. Résultat : des milliers d'alertes, une fatigue opérationnelle, et le vrai signal noyé dans le bruit. Une PME sans analyste dédié n'a aucune chance de suivre.

L'IA défensive cherche le comportement, pas la signature

L'approche est radicalement différente. L'entreprise déploie un modèle open-source local (Llama, Mistral ou Qwen) sur un serveur GPU, ou s'appuie sur une IA souveraine hébergée au Luxembourg. Cette IA reçoit en continu les journaux d'Active Directory, de Microsoft 365, du pare-feu et de l'EDR, les flux réseau, l'inventaire des actifs, les vulnérabilités connues et la cartographie des droits utilisateurs.

Elle ne cherche pas une signature d'attaque. Elle construit une base comportementale (UEBA) pour chaque utilisateur et chaque machine, puis détecte les écarts statistiquement significatifs. C'est précisément ce que fait notre module de surveillance et d'analyse de logs par IA : lire des millions de lignes, séparer le bruit du signal, corréler les événements éparpillés entre AD, EDR, réseau et cloud pour reconstituer une chaîne d'attaque complète.

Un cas concret, minute par minute

Le compte j.dupont@entreprise.com se connecte depuis le Luxembourg à 08h17. Rien d'anormal.

À 08h23, le même compte consulte 2 500 fichiers, lance des recherches inhabituelles et accède à des répertoires jamais ouverts auparavant. L'antivirus ne voit rien. Le SIEM classique ne déclenche aucune alerte : aucune règle ne correspond.

À 08h25, l'IA raisonne autrement. Cet utilisateur consulte habituellement une trentaine de fichiers par jour. Aujourd'hui : 2 500 fichiers, des accès aux ressources RH et aux dossiers financiers, à une vitesse incompatible avec un comportement humain. Probabilité d'automatisation : 94 %.

À 08h26, l'IA observe la suite : création d'une règle Outlook, mise en place d'un transfert automatique vers l'extérieur, téléchargement massif depuis SharePoint. Pris isolément, chacun de ces événements paraît normal. Leur combinaison est extrêmement suspecte. C'est cette lecture contextuelle, et non une liste de signatures, qui lève l'alerte.

IA agentique : elle n'alerte plus, elle agit

C'est là que cela devient intéressant. Une IA agentique ne se contente plus d'envoyer une alerte que personne ne lira avant lundi. Elle agit, dans les limites de droits prédéfinis. Par exemple, au-delà d'un niveau de confiance de 90 % :

• réinitialisation du jeton MFA ;
• suspension temporaire du compte ;
• blocage de la session VPN ;
• isolement du poste via Defender ;
• création automatique d'un ticket d'incident.

Temps de réaction : moins de 30 secondes, là où un traitement humain prendrait des heures. Les actions les plus sensibles restent encadrées par des seuils stricts et une supervision humaine, et chaque décision est tracée, parce qu'une défense autonome doit aussi être auditable. Couplée à notre SOC managé 24/7, l'IA gère le premier réflexe ; l'analyste prend le relais sur la qualification et la remédiation.

Moins de faux positifs, moins de fatigue

La force du raisonnement, c'est le contexte. La même action peut être parfaitement normale ou critique selon qui la réalise, quand, et après quoi :

• Un téléchargement massif par le service RH en fin de mois : un SIEM classique alerte, l'IA comprend que c'est normal.
• Un téléchargement massif par un comptable juste après un phishing : l'IA le classe critique, comme le SIEM, mais en expliquant pourquoi.
• Un administrateur qui lance PowerShell : normal pour l'IA, alerte inutile pour le SIEM.
• Un comptable qui lance du PowerShell encodé : critique, immédiatement.

L'IA combine utilisateur habituel, contexte métier, historique comportemental, topologie réseau, niveau de privilège et connaissance des techniques d'attaque pour produire une probabilité, pas une énième alerte binaire. Le RSSI reçoit l'essentiel, pas un déluge de logs.

Détecter l'inconnu : 0-day et Living off the Land

C'est probablement le plus gros avantage. Face à une attaque qu'elle n'a jamais vue, l'IA peut conclure :

Je n'ai jamais observé cette attaque, mais son comportement ressemble à une compromission.

Une analyse comportementale repère des campagnes qui n'exploitent que des outils Windows légitimes, ou des techniques encore non documentées publiquement, là où une défense par signatures reste aveugle tant que l'IOC n'a pas été publié. Dans un monde de 0-day et d'attaques automatisées, attendre la signature, c'est attendre d'avoir déjà été victime.

Compenser un budget limité

Voici le cœur du sujet. Un SOC traditionnel complet suppose un SIEM, un SOAR, de la threat intelligence, des analystes N1, N2 et N3 et une astreinte 24/7. Le coût réel se situe entre 150 000 et 500 000 EUR par an, hors de portée d'une PME de 250 personnes.

Une IA défensive on-premise couvre la surveillance continue, la corrélation des événements, la qualification des alertes, les actions automatiques et les rapports d'incident avec un serveur GPU (de l'ordre de 20 000 à 40 000 EUR d'investissement), quelques connecteurs et un ingénieur pour la gouvernance. En mode service managé, pour une PME de cette taille, on parle de quelques milliers d'euros par mois, soit une fraction d'un SOC interne, pour une couverture supérieure sur les attaques inconnues. Moins cher, et plus performant là où la sécurité classique est aveugle.

Un avantage stratégique, pas seulement une économie

L'attaquant, lui, utilise déjà l'IA : phishing parfaitement rédigé, découverte automatique de vulnérabilités, génération de malware, automatisation complète de l'attaque. Demain, la défense la plus efficace ne sera plus plus de règles, mais une IA défensive autonome capable de raisonner plus vite que l'attaquant.

Le modèle change : l'entreprise ne cherche plus à empêcher toutes les vulnérabilités, ce qui est impossible, mais à disposer d'une IA capable d'observer, comprendre et réagir en temps réel à des comportements jamais vus auparavant.

Et la conformité ? NIS 2 et DORA poussent dans ce sens

Cette vision s'aligne très bien avec les exigences de détection précoce, de surveillance continue et de réponse aux incidents prévues par NIS 2 (directive (UE) 2022/2555, article 21 sur les mesures de gestion des risques, article 23 sur la notification d'incident à l'ILR sous 24h). Pour le secteur financier uniquement, DORA (règlement (UE) 2022/2554) impose la même logique de résilience opérationnelle des systèmes TIC. L'IA ne remplace pas les mesures de sécurité obligatoires : elle devient une couche de résilience puissante lorsqu'elle est intégrée dans une architecture de défense en profondeur. Et parce que les journaux contiennent des données sensibles, l'hébergement reste au Luxembourg, les données ne quittent pas le territoire (RGPD, secret bancaire), et l'option entièrement on-premise existe.

Comment Luxgap le met en œuvre

Luxgap réunit dans la même équipe juristes, ingénieurs cyber et développeurs, et opère une IA souveraine au Luxembourg. Concrètement, pour une PME soumise à NIS 2 :

• notre module de surveillance et analyse de logs par IA ingère vos sources (AD, M365, pare-feu, EDR, cloud), construit la baseline comportementale et qualifie les incidents ;
• il alimente notre SOC managé 24/7 et pré-remplit les formulaires de notification NIS 2 et DORA ;
• l'IA peut tourner en cloud souverain UE ou entièrement on-premise chez vous, selon votre niveau de sensibilité.

Vous êtes dirigeant, DSI ou RSSI d'une organisation soumise à NIS 2 et votre budget ne permet pas un SOC classique ? C'est précisément le cas que nous traitons. Parlons-en, ou configurez un devis personnalisé en quelques minutes.

Voir aussi : Surveillance cyber et analyse de logs par IA · SOC managé 24/7 · IA souveraine Luxgap · Comprendre NIS 2