Toutes les actualités
IA & XDR24 avril 202612 min

L'IA dans le SOC : pourquoi UniSOC n'envoie pas vos logs à OpenAI

Beaucoup d'éditeurs SOC ajoutent une couche IA en passant par OpenAI/Anthropic/Gemini. C'est un transfert massif de logs vers les US, soumis au Cloud Act. UniSOC fait l'inverse : LLM on-prem (Ollama + Sylink2:27b), zéro requête sortante.

GPU on-premise traitant des logs sans connexion Internet

L'IA dans le SOC : pourquoi UniSOC n'envoie pas vos logs à OpenAI

TL;DR — Beaucoup d'éditeurs SOC ajoutent une couche IA en passant par les API d'OpenAI, Anthropic, Google Gemini ou Microsoft Azure OpenAI. C'est la solution rapide pour avoir un copilot d'investigation. C'est aussi un transfert massif de vos données de logs vers les US, soumis au Cloud Act, à la politique de retraining variable, et aux risques de prompt injection. UniSOC fait l'inverse : LLM on-premise (Ollama + modèle Sylink2:27b), GPU NVIDIA Blackwell, zéro requête sortante vers un fournisseur tiers. Voici pourquoi, et comment c'est techniquement faisable en 2026.

Le problème caché de l'IA SOC "cloud"

L'argument commercial est imparable : « Notre IA résume vos incidents en 30 secondes, hiérarchise vos alertes, propose un plan de réponse ». Démo qui claque. ROI évident. Coût marginal faible (l'IA est facturée à la requête API).

Le problème est dans la mécanique. Pour faire son travail, l'IA SOC doit voir :

Donnée envoyée à l'API LLMSensibilité
Logs d'authentification AD completsCritique — qui se connecte où
Process trees Windows / LinuxCritique — comportement utilisateur fin
Contenu de fichiers détectés (YARA matches, file scan)Très élevée — données métier potentielles
Hashs + chemins de fichiersÉlevée — cartographie SI
URLs visitées (proxy logs, DNS)Critique — comportement utilisateur + métier
Contenu d'emails analysés en phishingCritique — secret professionnel
Configurations firewall / EDRÉlevée — surface d'attaque
Threat intel propre au tenantCritique — points de faiblesse

Toutes ces données partent à chaque requête API. Et selon le fournisseur, peuvent :

  • Être conservées 30 jours (OpenAI Enterprise) à plusieurs mois (Azure OpenAI default).
  • Être utilisées pour entraîner les modèles futurs (politique variable, opaque).
  • Être accessibles aux autorités américaines via Cloud Act / FISA 702.
  • Fuiter via des prompt injections vers d'autres utilisateurs (cas documentés sur ChatGPT 2023-2024).
  • Être aspirées en cas de breach du fournisseur LLM (cas Anthropic mai 2024 — clés API leakées).

La déconvenue Samsung de 2023

Cas pédagogique connu : en avril 2023, Samsung Semiconductor a interdit l'usage de ChatGPT à ses employés après que 3 ingénieurs aient envoyé du code source confidentiel dans leurs prompts pour debug. Ces prompts ont été conservés par OpenAI selon les conditions par défaut. Samsung a perdu le contrôle du code.

Si Samsung — qui sait pourtant ce qu'est la propriété intellectuelle — s'est fait avoir, votre SOC qui envoie ses logs à OpenAI a déjà perdu. C'est juste une question de quand vous le découvrirez.

Les 4 risques structurels de l'IA SOC cloud

Risque 1 — Cloud Act (transfert légal aux autorités US)

OpenAI, Anthropic, Google sont des sociétés de droit américain. Le DOJ ou le FBI peut, par mandat sous Cloud Act, exiger les logs d'inférence d'un client donné. Vous, client de votre MSSP, ne serez pas notifié.

Risque 2 — Retraining sur vos données (politique opaque)

La politique de retraining d'OpenAI a changé 3 fois entre 2023 et 2025. Selon le palier (free, plus, pro, enterprise) et les opt-in, vos données peuvent être utilisées pour améliorer les modèles. Pour un client SOC, c'est rédhibitoire : un futur modèle pourrait restituer un fragment d'un de vos rapports.

Risque 3 — Breach du fournisseur LLM

Mai 2024 : clés API OpenAI publiées sur GitHub par des dizaines de développeurs. Anthropic a eu son lot de leaks Slack (mai 2024). Mistral a eu une fuite de jeu d'entraînement (juin 2024). Les fournisseurs LLM sont autant ciblés que n'importe quel SaaS, et plus opaques sur leurs incidents.

Risque 4 — Prompt injection inter-tenants

Plusieurs CVE LLM 2023-2025 ont montré que des payloads malicieux dans un document analysé peuvent exfiltrer des données du contexte d'autres requêtes. C'est un risque émergent encore mal cerné — mais qui ferait fuiter le contenu d'autres clients du même fournisseur.

La solution souveraine : LLM on-premise

L'alternative existe en 2026, et elle est techniquement viable pour la majorité des cas d'usage SOC.

Stack open-source mature

  • Ollama : runtime LLM optimisé GPU NVIDIA, multi-modèle, REST API simple.
  • vLLM : runtime haute performance pour les workloads concurrents.
  • TensorRT-LLM : optimisation NVIDIA pour latence minimale.

Modèles de qualité production

  • Mistral Large 2 (souverain France) — 123B params.
  • Qwen3 32B / 72B — open-source, performance comparable GPT-4 sur de nombreux benchmarks.
  • Llama 3.3 70B — performance, utilisable commercialement.
  • Sylink2:27b (notre fine-tune custom UniSOC) — spécialisé cybersécurité française.

GPU à coût raisonnable

  • 1× NVIDIA H100 80GB (~30k€) suffit pour un modèle 70B en quantization 4-bit avec contexte 128k.
  • 2× NVIDIA L40 (~15k€ chacun) pour un setup multi-modèle (LLM principal + embeddings + classifier).
  • 1× NVIDIA Blackwell B200 (disponible mid-2026, ~50k€) pour les charges les plus exigeantes.

Pour un MSSP traitant 200 clients : un investissement GPU de 100k€ amortit le coût des API LLM cloud en moins de 18 mois, tout en supprimant les risques structurels.

Comment UniSOC est conçu

Stack technique

  • AI Orchestrator : service Python FastAPI port 8001, façade unique vers les LLM.
  • Modèle principal :
    sylink/sylink2:27b
    , déclinaison cybersécurité de SYLink AI (Qwen3 27B fine-tuné).
  • Runtime : Ollama 0.5.x, GPU bare-metal NVIDIA Blackwell.
  • Modèle backup :
    qwen3:14b
    pour fallback rapide.
  • Cas particuliers : Piper TTS + Kyutai TTS pour synthèse vocale française (rapports audio quotidiens, voir project_tts_stack).

Pas une seule requête sortante

  • L'AI Orchestrator est dans le réseau privé Unitel, isolé d'Internet sortant pour les inférences.
  • Pas d'API OpenAI, pas d'API Anthropic, pas d'API Google, pas d'API Mistral cloud.
  • Sortie réseau autorisée : uniquement pour télécharger les modèles depuis Hugging Face / Ollama Hub (signés, vérifiés sha256).

Cas d'usage couverts par notre IA on-prem

  • Triage automatique des alertes (scoring + justification narrative).
  • Investigation narrative des incidents (chronologie en français).
  • Hunting NL (requêtes en langage naturel converties en MongoDB / PostgreSQL).
  • Résumé d'incidents pour rapport client (PDF mensuel).
  • Génération de YARA / Sigma rules à partir d'observations.
  • Classification de campagnes d'attaque cross-tenant (anonymisé).
  • Audio briefing quotidien RSSI (TTS Kyutai en français).
  • Analyse de logs Telegram OSINT pour matching de credentials leakés.

Audit trail des requêtes IA

Chaque requête au LLM est loggée :

  • Identité de l'analyste / worker.
  • Tenant_id concerné.
  • Données envoyées (hash + extrait).
  • Réponse complète.
  • Latence, modèle utilisé.
  • Timestamp.

Cet audit trail est exportable côté tenant (voir Isolation tenant). En cas de doute sur ce que le LLM a "vu", on peut prouver exactement quelles données ont été envoyées.

Les 3 contre-arguments classiques (et pourquoi ils ne tiennent pas)

« Mais le modèle on-prem est moins performant »

Faux en 2026. Llama 3.3 70B et Qwen3 72B atteignent 80-90 % des performances de GPT-4 sur les tâches cybersécurité (MITRE classification, log analysis, narrative summary). Pour les 10-20 % de cas restants où GPT-4 est meilleur, ce sont des cas très généralistes où le SOC n'a pas besoin de la perfection.

« Mais l'investissement GPU est trop lourd »

Vrai si vous traitez un seul client. Faux pour un MSSP : amortissement < 18 mois, ROI clair sur les 5 ans suivants. Et la valeur stratégique (souveraineté garantie, pas de dépendance fournisseur unique) est sans prix.

« Mais on n'a pas l'expertise interne pour gérer un LLM »

Vrai pour beaucoup d'organisations. C'est exactement pourquoi un MSSP comme UniSOC prend cette charge pour vous : vous bénéficiez de l'IA souveraine sans avoir à gérer la stack GPU + modèle + fine-tuning.

Ce que la concurrence ne fait pas, et pourquoi

Pour être honnête : très peu de MSSP français font du LLM on-prem en 2026. Pourquoi ?

  • Coût initial : 100-200k€ d'investissement GPU + équipe ML 2-3 ETP.
  • Compétences rares : la cybersec connaît peu le ML, et inversement.
  • Marketing facile : « powered by GPT-4 » est plus vendeur que « powered by un Qwen3 fine-tuné on-prem ».
  • Time-to-market : intégrer une API OpenAI prend 2 jours. Faire tourner un LLM on-prem prend 2 mois.

UniSOC a fait le choix inverse, parce que nous pensons que la souveraineté du LLM SOC est une condition non négociable pour les 5 prochaines années — et que les MSSP qui ne l'auront pas en 2030 seront déclassés ou interdits par les régulateurs.

Conclusion

L'IA dans le SOC est devenue une commodité fonctionnelle. Le différenciateur de 2026 n'est plus « avez-vous de l'IA ? » mais « où vont mes données quand votre IA travaille ? ».

Si la réponse est « OpenAI / Anthropic / Google », vous achetez un risque souverain + un risque de fuite + un risque réglementaire. Pour des données aussi sensibles que des logs SOC, c'est un risque déraisonnable.

Si la réponse est « LLM on-premise, datacenter France, audit trail », vous achetez un service moderne sans le compromis. C'est plus rare, plus cher à construire pour le MSSP, mais c'est ce que vous voulez — et c'est exactement le pari de la plateforme SOC managé UniSOC.

À lire aussi : Cloud Act et SIEM US et SOC + IA : 5 cas d'usage.


Vous voulez tester notre IA souveraine sur vos cas d'usage ? Demandez une démo IA on-prem → — 30 minutes, on lance Sylink2:27b en live sur un de vos incidents anonymisés, vous comparez avec votre solution actuelle.

Sujets abordés

ia souveraine socllm on-premiseollama mistral soccloud act llm

Gestion des cookies

Nous utilisons des cookies pour améliorer votre expérience sur notre site. En continuant à naviguer, vous acceptez notre politique de confidentialité et notre utilisation des cookies conformément au RGPD.