L'IA dans le SOC : pourquoi UniSOC n'envoie pas vos logs à OpenAI
Beaucoup d'éditeurs SOC ajoutent une couche IA en passant par OpenAI/Anthropic/Gemini. C'est un transfert massif de logs vers les US, soumis au Cloud Act. UniSOC fait l'inverse : LLM on-prem (Ollama + Sylink2:27b), zéro requête sortante.
L'IA dans le SOC : pourquoi UniSOC n'envoie pas vos logs à OpenAI
TL;DR — Beaucoup d'éditeurs SOC ajoutent une couche IA en passant par les API d'OpenAI, Anthropic, Google Gemini ou Microsoft Azure OpenAI. C'est la solution rapide pour avoir un copilot d'investigation. C'est aussi un transfert massif de vos données de logs vers les US, soumis au Cloud Act, à la politique de retraining variable, et aux risques de prompt injection. UniSOC fait l'inverse : LLM on-premise (Ollama + modèle Sylink2:27b), GPU NVIDIA Blackwell, zéro requête sortante vers un fournisseur tiers. Voici pourquoi, et comment c'est techniquement faisable en 2026.
Le problème caché de l'IA SOC "cloud"
L'argument commercial est imparable : « Notre IA résume vos incidents en 30 secondes, hiérarchise vos alertes, propose un plan de réponse ». Démo qui claque. ROI évident. Coût marginal faible (l'IA est facturée à la requête API).
Le problème est dans la mécanique. Pour faire son travail, l'IA SOC doit voir :
| Donnée envoyée à l'API LLM | Sensibilité |
|---|---|
| Logs d'authentification AD complets | Critique — qui se connecte où |
| Process trees Windows / Linux | Critique — comportement utilisateur fin |
| Contenu de fichiers détectés (YARA matches, file scan) | Très élevée — données métier potentielles |
| Hashs + chemins de fichiers | Élevée — cartographie SI |
| URLs visitées (proxy logs, DNS) | Critique — comportement utilisateur + métier |
| Contenu d'emails analysés en phishing | Critique — secret professionnel |
| Configurations firewall / EDR | Élevée — surface d'attaque |
| Threat intel propre au tenant | Critique — points de faiblesse |
Toutes ces données partent à chaque requête API. Et selon le fournisseur, peuvent :
- Être conservées 30 jours (OpenAI Enterprise) à plusieurs mois (Azure OpenAI default).
- Être utilisées pour entraîner les modèles futurs (politique variable, opaque).
- Être accessibles aux autorités américaines via Cloud Act / FISA 702.
- Fuiter via des prompt injections vers d'autres utilisateurs (cas documentés sur ChatGPT 2023-2024).
- Être aspirées en cas de breach du fournisseur LLM (cas Anthropic mai 2024 — clés API leakées).
La déconvenue Samsung de 2023
Cas pédagogique connu : en avril 2023, Samsung Semiconductor a interdit l'usage de ChatGPT à ses employés après que 3 ingénieurs aient envoyé du code source confidentiel dans leurs prompts pour debug. Ces prompts ont été conservés par OpenAI selon les conditions par défaut. Samsung a perdu le contrôle du code.
Si Samsung — qui sait pourtant ce qu'est la propriété intellectuelle — s'est fait avoir, votre SOC qui envoie ses logs à OpenAI a déjà perdu. C'est juste une question de quand vous le découvrirez.
Les 4 risques structurels de l'IA SOC cloud
Risque 1 — Cloud Act (transfert légal aux autorités US)
OpenAI, Anthropic, Google sont des sociétés de droit américain. Le DOJ ou le FBI peut, par mandat sous Cloud Act, exiger les logs d'inférence d'un client donné. Vous, client de votre MSSP, ne serez pas notifié.
Risque 2 — Retraining sur vos données (politique opaque)
La politique de retraining d'OpenAI a changé 3 fois entre 2023 et 2025. Selon le palier (free, plus, pro, enterprise) et les opt-in, vos données peuvent être utilisées pour améliorer les modèles. Pour un client SOC, c'est rédhibitoire : un futur modèle pourrait restituer un fragment d'un de vos rapports.
Risque 3 — Breach du fournisseur LLM
Mai 2024 : clés API OpenAI publiées sur GitHub par des dizaines de développeurs. Anthropic a eu son lot de leaks Slack (mai 2024). Mistral a eu une fuite de jeu d'entraînement (juin 2024). Les fournisseurs LLM sont autant ciblés que n'importe quel SaaS, et plus opaques sur leurs incidents.
Risque 4 — Prompt injection inter-tenants
Plusieurs CVE LLM 2023-2025 ont montré que des payloads malicieux dans un document analysé peuvent exfiltrer des données du contexte d'autres requêtes. C'est un risque émergent encore mal cerné — mais qui ferait fuiter le contenu d'autres clients du même fournisseur.
La solution souveraine : LLM on-premise
L'alternative existe en 2026, et elle est techniquement viable pour la majorité des cas d'usage SOC.
Stack open-source mature
- Ollama : runtime LLM optimisé GPU NVIDIA, multi-modèle, REST API simple.
- vLLM : runtime haute performance pour les workloads concurrents.
- TensorRT-LLM : optimisation NVIDIA pour latence minimale.
Modèles de qualité production
- Mistral Large 2 (souverain France) — 123B params.
- Qwen3 32B / 72B — open-source, performance comparable GPT-4 sur de nombreux benchmarks.
- Llama 3.3 70B — performance, utilisable commercialement.
- Sylink2:27b (notre fine-tune custom UniSOC) — spécialisé cybersécurité française.
GPU à coût raisonnable
- 1× NVIDIA H100 80GB (~30k€) suffit pour un modèle 70B en quantization 4-bit avec contexte 128k.
- 2× NVIDIA L40 (~15k€ chacun) pour un setup multi-modèle (LLM principal + embeddings + classifier).
- 1× NVIDIA Blackwell B200 (disponible mid-2026, ~50k€) pour les charges les plus exigeantes.
Pour un MSSP traitant 200 clients : un investissement GPU de 100k€ amortit le coût des API LLM cloud en moins de 18 mois, tout en supprimant les risques structurels.
Comment UniSOC est conçu
Stack technique
- AI Orchestrator : service Python FastAPI port 8001, façade unique vers les LLM.
- Modèle principal :
, déclinaison cybersécurité de SYLink AI (Qwen3 27B fine-tuné).sylink/sylink2:27b - Runtime : Ollama 0.5.x, GPU bare-metal NVIDIA Blackwell.
- Modèle backup :
pour fallback rapide.qwen3:14b - Cas particuliers : Piper TTS + Kyutai TTS pour synthèse vocale française (rapports audio quotidiens, voir project_tts_stack).
Pas une seule requête sortante
- L'AI Orchestrator est dans le réseau privé Unitel, isolé d'Internet sortant pour les inférences.
- Pas d'API OpenAI, pas d'API Anthropic, pas d'API Google, pas d'API Mistral cloud.
- Sortie réseau autorisée : uniquement pour télécharger les modèles depuis Hugging Face / Ollama Hub (signés, vérifiés sha256).
Cas d'usage couverts par notre IA on-prem
- Triage automatique des alertes (scoring + justification narrative).
- Investigation narrative des incidents (chronologie en français).
- Hunting NL (requêtes en langage naturel converties en MongoDB / PostgreSQL).
- Résumé d'incidents pour rapport client (PDF mensuel).
- Génération de YARA / Sigma rules à partir d'observations.
- Classification de campagnes d'attaque cross-tenant (anonymisé).
- Audio briefing quotidien RSSI (TTS Kyutai en français).
- Analyse de logs Telegram OSINT pour matching de credentials leakés.
Audit trail des requêtes IA
Chaque requête au LLM est loggée :
- Identité de l'analyste / worker.
- Tenant_id concerné.
- Données envoyées (hash + extrait).
- Réponse complète.
- Latence, modèle utilisé.
- Timestamp.
Cet audit trail est exportable côté tenant (voir Isolation tenant). En cas de doute sur ce que le LLM a "vu", on peut prouver exactement quelles données ont été envoyées.
Les 3 contre-arguments classiques (et pourquoi ils ne tiennent pas)
« Mais le modèle on-prem est moins performant »
Faux en 2026. Llama 3.3 70B et Qwen3 72B atteignent 80-90 % des performances de GPT-4 sur les tâches cybersécurité (MITRE classification, log analysis, narrative summary). Pour les 10-20 % de cas restants où GPT-4 est meilleur, ce sont des cas très généralistes où le SOC n'a pas besoin de la perfection.
« Mais l'investissement GPU est trop lourd »
Vrai si vous traitez un seul client. Faux pour un MSSP : amortissement < 18 mois, ROI clair sur les 5 ans suivants. Et la valeur stratégique (souveraineté garantie, pas de dépendance fournisseur unique) est sans prix.
« Mais on n'a pas l'expertise interne pour gérer un LLM »
Vrai pour beaucoup d'organisations. C'est exactement pourquoi un MSSP comme UniSOC prend cette charge pour vous : vous bénéficiez de l'IA souveraine sans avoir à gérer la stack GPU + modèle + fine-tuning.
Ce que la concurrence ne fait pas, et pourquoi
Pour être honnête : très peu de MSSP français font du LLM on-prem en 2026. Pourquoi ?
- Coût initial : 100-200k€ d'investissement GPU + équipe ML 2-3 ETP.
- Compétences rares : la cybersec connaît peu le ML, et inversement.
- Marketing facile : « powered by GPT-4 » est plus vendeur que « powered by un Qwen3 fine-tuné on-prem ».
- Time-to-market : intégrer une API OpenAI prend 2 jours. Faire tourner un LLM on-prem prend 2 mois.
UniSOC a fait le choix inverse, parce que nous pensons que la souveraineté du LLM SOC est une condition non négociable pour les 5 prochaines années — et que les MSSP qui ne l'auront pas en 2030 seront déclassés ou interdits par les régulateurs.
Conclusion
L'IA dans le SOC est devenue une commodité fonctionnelle. Le différenciateur de 2026 n'est plus « avez-vous de l'IA ? » mais « où vont mes données quand votre IA travaille ? ».
Si la réponse est « OpenAI / Anthropic / Google », vous achetez un risque souverain + un risque de fuite + un risque réglementaire. Pour des données aussi sensibles que des logs SOC, c'est un risque déraisonnable.
Si la réponse est « LLM on-premise, datacenter France, audit trail », vous achetez un service moderne sans le compromis. C'est plus rare, plus cher à construire pour le MSSP, mais c'est ce que vous voulez — et c'est exactement le pari de la plateforme SOC managé UniSOC.
À lire aussi : Cloud Act et SIEM US et SOC + IA : 5 cas d'usage.
Vous voulez tester notre IA souveraine sur vos cas d'usage ? Demandez une démo IA on-prem → — 30 minutes, on lance Sylink2:27b en live sur un de vos incidents anonymisés, vous comparez avec votre solution actuelle.