Définition · Opérations de sécurité

Qu'est-ce qu'un Learning SOC ?

Un Learning SOC est un centre d'opérations de sécurité où chaque décision ratifiée par un analyste est capturée au fil de l'eau et se capitalise en mémoire gouvernée et auditable (doctrine, détections, playbooks), de sorte que chaque incident rend le suivant moins cher.

Terme introduit dans le whitepaper The Learning SOC · Eno Pezaku, Warlog
Le problème qu'il nomme

Chaque SOC paie deux fois la même compréhension

Mardi, un analyste passe trois heures à démêler un cas de PowerShell encodé, ferme le ticket et passe à autre chose. Jeudi, une alerte de la même famille tombe, un collègue la prend et repart de zéro. Le raisonnement de mardi dort dans un ticket fermé que personne ne rouvrira.

C'est l'amnésie systémique : les triages, les enquêtes et les passations s'évaporent à la clôture, et quand un analyste part, son jugement part avec lui. En face, l'adversaire réutilise ses outils et s'améliore à chaque campagne. Le Learning SOC est le modèle opératoire construit pour fermer cet écart : il traite chaque décision comme un actif, demande ce qui en reste, et capitalise la réponse.

Face aux alternatives

Ce qu'un Learning SOC n'est pas

Pas un SOC autonome. Les agents autonomes retraitent chaque alerte depuis zéro, sans mémoire du passage précédent, et agissent sur des suppositions confiantes. Un Learning SOC conserve les décisions ratifiées sous forme de doctrine et considère l'autonomie comme quelque chose qui se mérite : une boucle n'agit seule qu'après avoir fait ses preuves sous ratification humaine, capacité par capacité.

Pas un SOAR. Un SOAR exécute des règles statiques, sans modèle du service et sans mémoire du jugement. Un Learning SOC capture le pourquoi des décisions et le réinjecte dans le pipeline sous forme de détections, de playbooks, de règles de suppression et de doctrine.

Pas une base de connaissance. Une archive de preuves est une mémoire qu'on peut lire. Un Learning SOC est une mémoire qui agit : les décisions passées redescendent dans les priors de triage, la carte de couverture et la réponse, au lieu d'attendre dans un wiki que personne ne met à jour. Seule la seconde compose.

Mécanique

Comment fonctionne un Learning SOC

Suivez une alerte. Le triage arrive avec un prior appris de la façon dont votre équipe a jugé les alertes similaires, et la correction de l'analyste est elle-même apprise. L'alerte est rattachée à une technique MITRE ATT&CK, ce qui expose immédiatement l'état réel de la couverture. L'enquête est capturée pendant qu'elle se déroule, dans le notebook, pas via un formulaire post-incident que personne ne remplit. Un déclenchement bénin récurrent devient une règle de suppression proposée. Une escalade transporte un bundle de passation complet plutôt qu'un « voir ticket ». Et à la résolution, la technique non couverte devient une détection, le chemin de containment devient un playbook, et le jugement qui se répète devient une doctrine.

Chacune de ces sorties est propose-only : la machine propose, un humain signataire valide. Et chacune garde sa lignée, pour que vous puissiez toujours retracer pourquoi le SOC croit ce qu'il croit.

01 · Capture passive

Le jugement est capturé pendant que l'analyste travaille, jamais via une documentation qui dépend de la discipline.

02 · Propose-only

Rien ne se déploie seul. L'IA propose, seuls des humains signataires valident.

03 · Lignée

Chaque capacité remonte au cas, à l'analyste et à la date qui l'ont produite.

04 · Consolidation

Les règles proches fusionnent en méta-règles sans perte de couverture. La mémoire reste dense, pas obèse.

Questions fréquentes

Le Learning SOC en questions

Un Learning SOC, est-ce la même chose qu'un SOC autonome ?

Non. Les agents autonomes retraitent chaque alerte depuis zéro et agissent sur des suppositions confiantes. Un Learning SOC conserve les décisions ratifiées sous forme de doctrine et mérite son autonomie boucle par boucle, derrière un portail d'approbation humaine explicite.

Le Learning SOC est-il un produit ?

C'est un modèle opératoire. Warlog OS en est l'implémentation de référence, et le contrat sous-jacent, warlog-spec, est open source sous Apache 2.0 : le modèle peut donc être implémenté indépendamment. pip install warlog-spec.

Qui a inventé le terme ?

Le terme a été introduit par Eno Pezaku dans le whitepaper Warlog The Learning SOC, qui définit ce modèle d'opérations de sécurité fondé sur la mémoire et gouverné par la doctrine.

Un Learning SOC remplace-t-il les analystes ?

Non. Il capture et capitalise leur jugement. Aucune action destructrice ne s'exécute sans signature humaine explicite, et la valeur du système tient précisément à ce que l'expertise des analystes devient un actif dont toute l'équipe hérite.

Prochaine étape

Construisez le vôtre, ou testez le nôtre

La thèse complète est dans le whitepaper. L'implémentation de référence se déploie chez vous, dans votre périmètre, via un programme design partner mené par le fondateur pour trois équipes. Un mail suffit : [email protected].