Intelligence artificielle et cybersécurité : convergence stratégique ou nouvelle zone grise à haut risque ?

L’intelligence artificielle s’impose dans les dispositifs de cybersécurité comme un levier d’efficacité autant qu’un facteur d’instabilité. À l’heure où les RSSI doivent à la fois anticiper, arbitrer et gouverner, cette convergence technologique exige une vigilance de chaque instant. Décryptage des enjeux clés pour ne pas subir la transformation, mais en reprendre la maîtrise.

En moins de cinq ans, l’intelligence artificielle (IA) est devenue un composant incontournable des dispositifs de cybersécurité. À la fois outil de détection avancée et vecteur émergent de menaces, elle redéfinit les prérogatives du RSSI, désormais contraint de jongler entre promesses technologiques et nouveaux angles morts.

L’IA au cœur des centres de sécurité : vers une détection prédictive et automatisée

Les solutions de supervision modernes, qu’il s’agisse d’outils de détection étendue, de surveillance des événements ou d’analyse comportementale (XDR, SIEM ou NDR), embarquent désormais des modèles de machine learning capables de hiérarchiser les alertes, d’identifier des comportements anormaux et d’accélérer l’identification des causes racines d’un incident.

Dans les centres opérationnels de sécurité (SOC) les plus avancés, certaines plateformes déclenchent automatiquement des scénarios de réponse (playbooks dynamiques) sur la base d’analyses prédictives : isolement automatique de machines, mise en quarantaine réseau, génération de tickets enrichis à destination des équipes CERT.

Ce degré d’automatisation permet un changement d’échelle dans la réponse aux menaces, à condition toutefois de reposer sur des fondations solides :

Une qualité irréprochable des données collectées (logs, netflow, EDR, etc.)

• Des modèles robustes, documentés et compréhensibles (supervisés, non supervisés, hybrides)
• Une intégration fluide aux workflows métiers et humains

Sans ces garde-fous, l’IA peut générer un bruit opérationnel excessif (faux positifs) ou pire, occulter des signaux faibles critiques, notamment lors d’attaques de type living-off-the-land (LOTL) ou d’exfiltration lente.

Des cybercriminels qui s’arment eux aussi d’intelligence artificielle

Les groupes APT et autres cybercriminels n’ont pas attendu pour s’emparer également de l’IA, à grande échelle. Désormais, la génération de contenus de phishing ciblés, la création de scripts polymorphes ou les attaques de social engineering alimentées par le data scraping sont automatisées via des modèles génératifs.

Surtout, les modèles d’IA eux-mêmes deviennent des cibles. Certains cherchent à injecter des instructions malveillantes dans les systèmes de traitement automatique du langage.

D’autres tentent de corrompre les jeux de données (data poisoning) servant à entraîner les modèles (notamment via les pipelines MLOps), ou de soutirer des informations sensibles à partir de requêtes inférentielles, calculées pour exploiter leurs failles.

Le référentiel MITRE ATLAS recense et documente méthodiquement ces menaces selon en fonction de leurs effets : évasion, exfiltration, influence, ou dégradation des performances.

Parallèlement à cette sophistication des attaques, le cadre réglementaire se durcit. Le futur règlement européen sur l’intelligence artificielle exigera une transparence accrue pour les systèmes dits “à haut risque” : journalisation des traitements, auditabilité, explicabilité des décisions automatisées.

Un nouveau périmètre pour le RSSI

Dans ce contexte mouvant, la gouvernance de l’intelligence artificielle devient un nouveau champ de responsabilité pour le RSSI. Il ne s’agit plus seulement de sécuriser un outil informatique, mais de comprendre et de piloter l’ensemble des dépendances aux technologies d’IA :

• Cartographier les dépendances aux modèles tiers (API LLM externes, services cloud embarqués)
• Piloter des dispositifs de revue de modèles (validations, métriques de performance, dérive conceptuelle)
• Formaliser les processus de décision automatisée dans les workflows de réponse aux incidents.

Ce rôle élargi exige également une montée en compétence des équipes de sécurité opérationnelle, qui doivent apprendre à interpréter les recommandations formulées par les modèles, détecter leurs comportements aberrants, et croiser les alertes IA avec des méthodes d’analyse plus classiques de threat hunting.

La sécurité des chaînes d’inférence devient dès lors un enjeu central, tout comme la gestion de l’exposition indirecte des modèles aux données sensibles internes.

Intégrer la sécurité dès la conception

Pour éviter que l’IA devienne un accélérateur de chaos, les organisations doivent adopter une démarche de sécurisation dès la conception («secure by design »). Cela suppose de ne jamais accorder une confiance aveugle aux résultats fournis par les modèles, d’assurer un contrôle humain systématique sur les décisions sensibles, et de mettre en place des dispositifs de suivi en continu de leurs performances et des dérives comportementales. Les mécanismes permettant d’expliquer les décisions et de revenir en arrière en cas d’erreur doivent également faire partie intégrante de l’architecture. Cette exigence est cependant difficile à satisfaire avec certains modèles profonds, dont le fonctionnement reste en grande partie opaque.

Plusieurs cadres méthodologiques offrent un socle utile à cette approche, à commencer par le référentiel de gestion des risques publié par le NIST, ou encore les recommandations formulées par l’Agence européenne pour la cybersécurité (ENISA). Mais leur mise en œuvre reste aujourd’hui très inégale d’une organisation à l’autre.

Redonner la main aux décideurs

L’intelligence artificielle est à la fois une formidable alliée dans la détection des menaces et un facteur de complexité croissante. Pour les RSSI, la priorité n’est pas d’arbitrer « pour ou contre », mais de reprendre la main sur les conditions de son intégration.

En posant des principes de gouvernance clairs, en renforçant l’auditabilité des systèmes et en formant les équipes à dialoguer efficacement avec ces modèles IA, les organisations peuvent transformer un risque mouvant en avantage concurrentiel durable.

Pour aller plus loin

• MITRE ATLAS
• ENISA Threat Landscape 2024 – AI & Cybersecurity section
• NIST AI Risk Management Framework
• Gartner – “Market Guide for AI in Security Operations” (2024)
• Statista – “AI in Cybersecurity: Market Size 2024–2030”