Like a Hammer, It Can Build, It Can Break: Large Language Model Uses, Perceptions, and Adoption in Cybersecurity Operations on Reddit

Cette étude analyse les discussions de praticiens de la cybersécurité sur Reddit pour révéler que, bien que les grands modèles de langage (LLM) soient adoptés pour améliorer l'efficacité dans des tâches à faible risque, leur autonomie reste limitée par des préoccupations majeures concernant leur fiabilité, la charge de vérification et les risques de sécurité.

L'essentiel

Imaginez que les centres de sécurité informatique (SOC) sont comme de gigantesques tours de contrôle dans un aéroport très fréquenté. Des milliers d'alertes (comme des avions en approche) arrivent chaque seconde. Les analystes de sécurité sont les contrôleurs aériens, épuisés par le bruit, la fatigue et la peur de rater un danger réel parmi des milliers de fausses alertes.

C'est ici qu'intervient le Marteau dont parle le titre de l'article : les Modèles de Langage (IA). Comme un marteau, cette technologie peut être un outil formidable pour construire (aider à travailler) ou pour briser (causer des problèmes).

Voici ce que les chercheurs ont découvert en écoutant les discussions de ces "contrôleurs aériens" sur Reddit, traduit en langage simple :

1. Le marteau préféré : L'outil généraliste plutôt que l'outil spécialisé

Même si les entreprises vendent des "marteaux spéciaux pour la sécurité" (des IA conçues uniquement pour les hackers), les analystes préfèrent massivement les marteaux universels (comme ChatGPT ou Copilot).

• L'analogie : C'est comme si un mécanicien de F1 utilisait un tournevis universel de la maison plutôt qu'un outil de précision ultra-cher vendu par un vendeur de course. Pourquoi ? Parce que le tournevis universel est plus facile à trouver, plus flexible et tout le monde sait déjà s'en servir. Les outils spécialisés existent, mais ils sont encore un peu comme des prototypes dispersés dans le désert.

2. Comment ils l'utilisent : Le "Stagiaire" vs le "Chef"

Les analystes n'ont pas encore confié le volant de la voiture à l'IA. Ils l'utilisent comme un stagiaire très rapide mais un peu étourdi.

• Ce qu'ils font : Ils demandent au stagiaire de rédiger des rapports, d'écrire du code de base, ou de résumer des documents ennuyeux. C'est là que l'IA brille : elle gagne un temps précieux.
• Ce qu'ils ne font pas : Ils ne lui laissent jamais le droit de prendre une décision critique (comme bloquer un serveur ou arrêter un réseau) sans vérification humaine.
• L'analogie : Vous laissez votre stagiaire préparer le café et trier les emails, mais vous ne lui donnez jamais les clés de la banque. Vous avez besoin de vérifier son travail, car il pourrait faire une erreur grave par inadvertance.

3. Les deux faces de la médaille : La vitesse contre la fiabilité

Les analystes adorent la vitesse de l'IA, mais ils ont peur de sa fiabilité.

• Le positif : L'IA peut lire 500 alertes en deux minutes, là où un humain en prendrait une heure. Elle aide à comprendre le "pourquoi" d'une alerte complexe.
• Le négatif (Le problème de l'hallucination) : L'IA a un défaut majeur : elle est trop confiante alors qu'elle se trompe. Elle peut inventer des faits, créer de fausses preuves ou dire avec assurance qu'un virus existe alors qu'il n'y a rien.
• L'analogie : Imaginez un guide touristique qui vous parle avec une assurance absolue, mais qui vous fait visiter un château qui n'existe pas. Dans la sécurité informatique, une telle erreur peut être catastrophique. C'est pourquoi les analystes doivent toujours vérifier le travail de l'IA, ce qui annule parfois le temps gagné.

4. Le dilemme du coût et de la confiance

Les entreprises sont tiraillées. D'un côté, l'IA promet de réduire le stress et les coûts. De l'autre, elle coûte cher (chaque question posée à l'IA a un prix) et pose des risques de sécurité (envoyer des données confidentielles à une IA publique, c'est comme crier un secret dans une place publique).

• Le résultat : Beaucoup d'entreprises hésitent. Elles ont peur que l'IA soit un "marteau" qui brise leurs propres murs de sécurité en fuyant des données ou en créant de nouvelles failles.

5. Le futur : Qui va former les experts ?

C'est le point le plus inquiétant de l'étude.

• Le problème : Si l'IA fait tout le travail de base (le triage des alertes, les tâches d'entrée de niveau), comment les futurs experts vont-ils apprendre leur métier ? On ne peut pas devenir un expert en sécurité sans avoir passé du temps à faire le travail manuel.
• L'analogie : Si un pilote automatique fait tout le travail d'apprentissage d'un pilote, comment le futur pilote saura-t-il réagir en cas de panne ? Nous risquons de créer une génération d'analystes qui savent superviser l'IA, mais qui n'ont jamais appris à "conduire" la sécurité par eux-mêmes.

En résumé

L'IA dans la cybersécurité est comme un marteau très puissant mais imprévisible.

• C'est génial pour aider à construire (rédiger, résumer, coder).
• C'est dangereux si on le laisse agir seul (il peut casser des choses ou inventer des dangers).
• L'avenir dépendra de notre capacité à utiliser ce marteau sans perdre la main sur nos propres compétences, tout en apprenant à nos nouveaux experts à maîtriser cet outil sans en devenir dépendants.

Les chercheurs concluent que l'IA ne remplacera pas les humains, mais elle changera leur rôle : ils deviendront des superviseurs qui doivent rester très vigilants, car la confiance aveugle dans l'IA est le plus grand risque de tous.

Résumé technique

1. Problématique et Contexte

Les centres d'opérations de sécurité (SOC) font face à une surcharge croissante d'alertes, entraînant une fatigue des analystes, du stress et un risque d'épuisement professionnel. Bien que l'automatisation traditionnelle (SIEM, SOAR, ML classique) ait été déployée, elle reste insuffisante pour gérer la complexité et le volume des menaces actuelles.
Les modèles de langage larges (LLM) émergent comme des outils prometteurs pour augmenter les flux de travail des SOC, avec des vendeurs commercialisant des solutions d'IA autonomes (ex: Microsoft Copilot for Security, CrowdStrike Charlotte AI). Cependant, il existe un manque de compréhension empirique sur la manière dont ces outils sont réellement utilisés, perçus et adoptés par les praticiens de la sécurité dans des environnements réels. Cette étude vise à combler ce vide en analysant les discussions de la communauté.

2. Méthodologie

L'étude adopte une approche mixte (qualitative et quantitative) basée sur l'analyse de discours à grande échelle sur Reddit, une plateforme riche en discussions communautaires de sécurité.

• Collecte de données : Les auteurs ont analysé 892 publications (posts et commentaires) provenant de trois forums Reddit axés sur la cybersécurité (r/cybersecurity, r/Information_Security, r/ciso) entre décembre 2022 et septembre 2025.
• Filtrage : Sur un échantillon initial de 1 703 posts, seuls ceux pertinents pour l'utilisation des LLM dans les opérations de sécurité ont été retenus après un processus de classification assistée par IA et une validation manuelle rigoureuse.
• Analyse :
  • Qualitative : Codage hybride (inductif et déductif) et analyse thématique réflexive pour identifier les motifs, les cas d'usage et les perceptions.
  • Quantitative : Tests statistiques (tests du khi-deux, tests de proportion) pour comparer la prévalence des outils, des cas d'usage et des sentiments (positifs/négatifs) à travers différents facteurs.
• Éthique : L'étude a obtenu une exemption du comité d'éthique (IRB). Les données sont publiques, mais les identifiants des utilisateurs ont été anonymisés et les extraits paraphrasés pour éviter la ré-identification.

3. Contributions Clés

Cette recherche apporte les contributions suivantes :

1. Cartographie de l'écosystème des outils : Une vue d'ensemble des outils LLM (généraux vs spécifiques à la sécurité) discutés par les praticiens.
2. Typologie des cas d'usage : Une classification détaillée de la manière dont les LLM sont intégrés dans les flux de travail des SOC (du triage à la rédaction de rapports).
3. Analyse des perceptions et des barrières : Une évaluation nuancée des avantages (efficacité) et des risques (fiabilité, sécurité, coût) perçus par les utilisateurs.
4. Compréhension de l'adoption : Une distinction entre l'adoption individuelle (analystes) et l'adoption organisationnelle, révélant des tensions entre l'enthousiasme pour l'IA autonome et la réalité opérationnelle.

4. Résultats Principaux

A. Outils et Cas d'Usage (RQ1)

• Dominance des LLM Généralistes : Les outils généralistes (ChatGPT, Microsoft Copilot) sont mentionnés beaucoup plus fréquemment (60,5 %) que les outils spécifiques à la sécurité (43,9 %). L'écosystème des outils de sécurité est fragmenté avec de nombreuses solutions commerciales peu connues.
• Cas d'Usage Hiérarchisés :
  1. Triage et Réponse aux Incidents : Le cas d'usage le plus discuté (42,77 %), souvent en mode "aide à la décision" ou triage humain-dans-la-boucle.
  2. Scripting et Requêtes : Génération de code (Python, PowerShell) et de requêtes SIEM (27,08 %).
  3. Rédaction et Documentation : Synthèse de rapports et briefings (25,85 %).
  4. Analyse de Menaces et Support de Connaissance : Moins fréquents (16 %).
• Niveau d'Autonomie : L'adoption active se concentre sur des tâches à faible risque et contrôlables par l'analyste. L'autonomie complète (mitigation sans intervention humaine) est rare et réservée à des cas très spécifiques de faible impact.

B. Perceptions et Facteurs Critiques (RQ2)

L'analyse des sentiments révèle une dichotomie marquée :

• Positif : Les praticiens sont très satisfaits des capacités (contextualisation, interprétabilité des logs) et de l'efficacité (réduction du temps de triage, ex: de 45 min à 2 min).
• Négatif : Les préoccupations majeures concernent :
  • Fiabilité : Les "hallucinations" et le manque de déterminisme sont inacceptables pour la sécurité. La vérification manuelle des sorties LLM annule souvent les gains de temps.
  • Sécurité et Vie Privée : Risques de fuite de données sensibles vers des modèles publics et augmentation de la surface d'attaque (injections de prompts).
  • Coût : Le coût par inférence et l'investissement en infrastructure pour des modèles locaux sont jugés prohibitifs par rapport au retour sur investissement.
  • Autonomie : Méfiance profonde envers l'autonomie totale ; les LLM sont vus comme des "stagiaires" utiles pour la collecte d'information, mais pas pour l'action critique.

C. Adoption et Implications (RQ3)

• Adoption en "Silo" : Les analystes adoptent souvent des LLM généralistes de manière indépendante pour des tâches de productivité, contournant parfois les restrictions organisationnelles.
• Scepticisme Organisationnel : Les décideurs (CISO, managers) sont plus prudents, sceptiques face aux promesses marketing des vendeurs et préoccupés par l'intégration et le coût.
• Crise de la Formation des Effectifs : Un paradoxe émergent est identifié : si les LLM automatisent les tâches d'entrée de gamme (L1), cela risque de priver les futurs analystes seniors de l'expérience pratique nécessaire pour acquérir l'expertise requise pour superviser ces mêmes systèmes.

5. Signification et Recommandations

Cette étude met en lumière que l'intégration des LLM dans les SOC n'est pas un simple problème technique, mais un processus sociotechnique complexe.

• Pour les Vendeurs : Il est crucial de développer des systèmes qui communiquent explicitement l'incertitude et les limites des modèles, plutôt que de promettre une autonomie totale. La fiabilité et la traçabilité sont plus importantes que la vitesse.
• Pour les Praticiens : L'adoption doit se faire avec une approche "humain-dans-la-boucle" stricte, en utilisant les LLM pour l'augmentation (augmentation de la productivité) plutôt que pour le remplacement.
• Pour la Recherche Future : Il est nécessaire d'explorer des modèles de "co-apprentissage" où les humains et les IA s'adaptent mutuellement, et de repenser les programmes de formation pour garantir que les analystes acquièrent les compétences de supervision nécessaires dans un environnement automatisé.

En résumé, bien que les LLM offrent un potentiel transformateur pour les opérations de sécurité, leur adoption réelle est actuellement freinée par des problèmes de fiabilité, de sécurité des données et de coûts, limitant leur usage à des rôles d'assistance plutôt qu'à une autonomie complète.