ipopba - stock.adobe.com

Actualites

Proofpoint Satori, les agents IA au service du SOC

Disponible au début de l’année prochaine, la plateforme Satori vise à accélérer l’automation des SOC en établissant une collaboration entre humains et agents.

Stéphane Larcher
par
Publié le: 21 oct. 2025

Selon un rapport voix des CISO publié par Proofpoint en 2025, 68 % des RSSI mondiaux envisagent de déployer des fonctionnalités basées sur l'IA pour protéger leurs organisations contre les erreurs humaines et les cybermenaces avancées centrées sur l'humain.

Cependant, l’intégration des agents dans les SOC sans contrôle est une grande source d’inquiétude car des agents malveillants introduits dans le système pourraient avoir des conséquences très graves sur la sécurisation de système d’information de l’entreprise. Pour répondre à ces préoccupations, l’éditeur présente une nouvelle solution qui mixe IA et contrôle humain.

Baptisée Satori, cette solution repose sur deux composants : premièrement, des agents IA autonomes, spécialisés dans l’automatisation des opérations de sécurité ; deuxièmement, un protocole d’accès MCP (Message Control Protocol), conçu pour orchestrer l’ensemble des interactions entre les agents, les API Proofpoint et les plateformes partenaires. « Avec MCP, vous pouvez piloter Proofpoint depuis vos propres agents ou via des technologies GPT. C’est une sécurité programmable, ouverte et interopérable », explique Sumit Dhawan, CEO de Proofpoint. Satori devient ainsi une passerelle entre la sécurité Proofpoint et l’écosystème plus large de l’IA d’entreprise : Copilot, ChatGPT, ou Charlotte AI de CrowdStrike.

La première vague comprend trois agents conçus pour des fonctions bien identifiées. Le premier, Satori Resilience Agent, a pour objectif d’automatiser la formation. Intégré à Zenguide, il analyse les taux de clics et les tendances de simulation pour analyser automatiquement de nouvelles campagnes de phishing interne. « Le marketing clique trop ? Satori le voit et propose immédiatement une campagne adaptée », commente Michael Frendo, CTO de l’ingénierie au sein de Proofpoint. Le responsable de la formation peut dialoguer directement avec l’agent : « Pourquoi recommandes-tu ce leurre ? » – Satori répond en expliquant sa décision, basée sur le profil comportemental du service concerné. 

Vient ensuite Satori Abuse Mailbox Agent, conçu pour vider la boîte de signalements. L’un des fléaux du SOC reste la saturation de messages suspects transmis par les utilisateurs. Satori automatise le triage et la validation de ces alertes, ne remontant aux analystes que les incidents confirmés. « Nous ramenons à zéro les messages en attente de revue », assure Michael Frendo. L’objectif est un gain de productivité immédiat pour les équipes.

Enfin, Satori DLP Triage Agent contextualise les fuites de données. Connecté à la Data Risk Map, cet agent évalue les alertes DLP à la lumière du contexte : type de données, identité de l’expéditeur, politiques de partage. « Il distingue un comportement acceptable d’une fuite réelle », explique Madame Erin Leonard. Les alertes pertinentes sont remontées automatiquement avec un score de risque et un résumé complet pour l’analyste.

Un SOC augmenté, transparent et collaboratif

Ces agents ne remplacent pas les humains ; ils les assistent. Proofpoint insiste sur la cohabitation harmonieuse : l’analyste garde le contrôle, mais délègue la répétition et la vérification. « L’objectif est que vos analystes passent de l’investigation à la supervision. L’agent travaille, l’humain décide », souligne Sumit Dhawan.

Satori ne se limite pas aux outils Proofpoint : le protocole MCP permet d’automatiser des flux entre différentes plateformes de sécurité. Proofpoint a d’ailleurs annoncé deux intégrations stratégiques : Microsoft Security Copilot : les agents Satori deviennent des extensions naturelles du copilote de Microsoft pour enrichir la visibilité et déclencher des actions. CrowdStrike Charlotte AI : les deux IA conjuguent leurs capacités pour accélérer la détection et la remédiation. « Charlotte et Satori réduisent à quelques secondes le passage de la détection à l’assainissement ». Proofpoint voit dans Satori une fondation ouverte, évolutive et collaborative.

Les clients pourront concevoir leurs propres agents ou suggérer des cas d’usage

« Nous avons bâti la base. À vous de nous dire quels agents vous voulez voir apparaître ensuite », propose Sumit Dhawan. L’éditeur ambitionne de publier régulièrement de nouveaux agents – pour le triage SOC, la gestion des incidents cloud, la protection contre les fuites internes ou encore la surveillance des interactions IA.

En conclusion, Sumit Dhawan revient sur la philosophie qui sous-tend Satori : « chaque professionnel de la sécurité vit avec la peur constante de ce qui peut mal tourner. Notre mission, c’est de lui offrir un moment de paix et de zen ». Proofpoint positionne désormais son portefeuille non plus comme un ensemble d’outils, mais comme une infrastructure cognitive, où chaque événement, chaque agent, chaque décision est corrélée en temps réel. Avec Satori, cette architecture devient réactive et explicable — soit une nouvelle étape vers le SOC augmenté par l’IA.

« À mesure que nous progressons, que nous gagnons en confiance et que nous sommes capables d'intégrer davantage de garde-fous et de fonctionnalités au système, celui-ci évoluera d'un agent supervisé vers ce que nous qualifions d'autonomie limitée, puis vers des agents totalement autonomes », a déclaré Daniel Rapp, directeur de l'IA et des données chez Proofpoint. Mais, précise-t-il, « nous adoptons une approche mesurée dans un premier temps. Vous pouvez inclure une invite dans le texte de votre e-mail. Dans le monde de l'IA, tout type de média utilisé par un être humain peut constituer une charge utile ».

Proofpoint Protect 2025 consacre le basculement de l’éditeur vers une cybersécurité mixte, où les agents IA deviennent à la fois des partenaires et des cibles à protéger. Les annonces Data Risk Map, Agent Gateway et Threat Interaction Map préparent le terrain ; Satori en incarnera la concrétisation opérationnelle, transformant la détection et la réponse en un dialogue intelligent entre l’humain et la machine. « Nous passons d’une sécurité centrée sur l’humain à une sécurité centrée sur l’humain et sur l’agent », résume Sumit Dhawan.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)