Cybersécurité et IA : convaincre le COMEX d’investir

Selon une étude récente, seuls 29% des RSSI estiment avoir le budget nécessaire pour atteindre leurs objectifs de sécurité, alors que 41% des administrateurs jugent les budgets « appropriés ». Cet écart n’est pas un détail de gouvernance : c’est un risque opérationnel, financier et réglementaire.

Et fin 2025, le contexte n’aide personne à « faire passer » un budget : taux durablement élevés, arbitrages de trésorerie, chaînes d’approvisionnement sous tension… Beaucoup d’organisations ralentissent. Le problème, c’est qu’en cybersécurité, ralentir ressemble souvent à reculer.

Dans cette série « Intelligence artificielle dans la cybersécurité », je défends une idée simple : l’IA n’est pas un gadget. Bien utilisée, elle permet de passer d’une sécurité réactive (on éteint des incendies) à une sécurité pilotée (on réduit le risque mesurablement), avec un argument massue pour le COMEX : faire mieux sans multiplier les effectifs.

Le vrai problème : les PME/ETI restent en mode “pompiers”

La plupart des entreprises pensent faire « le nécessaire ». En réalité, beaucoup fonctionnent encore en mode tactique : on corrige après coup, on traite l’urgent, on repousse le structurel. Une enquête sectorielle indique que 46% des PME considèrent la cybersécurité comme une priorité « modérée » et 12% reconnaissent être dans une posture réactive.

Ce mode “pompiers” a trois effets immédiats :

• La dette de sécurité s’accumule (patchs retardés, accès trop larges, outils non intégrés).
• Les équipes s’épuisent (alertes partout, tri manuel, enquêtes longues).
• Le COMEX ne voit pas la valeur (la sécurité ressemble à un centre de coûts, pas à un facteur de performance).

L’IA peut casser ce cercle, mais seulement si le sujet est présenté correctement : pas comme un achat de plus, plutôt comme un moyen de réduire le coût de l’inaction et de rendre la cyber “exécutable” au quotidien.

Ce que le COMEX entend (et ce qu’il faut dire)

Le COMEX n’achète pas des acronymes. Il achète :

• de la continuité d’activité (éviter l’arrêt),
• de la prévisibilité financière (éviter les coûts extrêmes),
• de la conformité (éviter sanctions et crises),
• de la confiance (clients, partenaires, investisseurs).

Traduction utile : votre message doit passer de « on a besoin d’un SIEM » à « on réduit le risque d’arrêt de production et on diminue le temps de présence d’un attaquant dans nos systèmes ».

Le coût de l’inaction : trois exemples qui parlent à un conseil

On peut discuter longtemps de maturité, d’architecture, d’outillage. Un conseil d’administration, lui, réagit souvent à une seule chose : les ordres de grandeur.

• Une attaque par rançongiciel a conduit une grande enseigne à anticiper 300 M£ de pertes de profit opérationnel, après plusieurs semaines d’indisponibilité e-commerce.
• Un acteur majeur de la santé a estimé à 2,9 Md$ l’impact d’une attaque sur un prestataire critique (chiffre 2024).
• Un spécialiste de la vérification d’antécédents a fini en faillite après une fuite massive exposant près de trois milliards d’enregistrements.

On peut ajouter un repère souvent cité dans l’industrie : le coût moyen d’une violation de données autour de 4,4 M$ (ordre de grandeur observé dans des rapports sectoriels récents). Ce chiffre n’est pas universel, mais il sert de point d’ancrage : un incident sérieux coûte vite plus cher que plusieurs années d’amélioration continue.

Pourquoi “le temps” est l’ennemi numéro 1

Le facteur qui fait exploser la facture n’est pas seulement l’attaque : c’est la durée de présence de l’attaquant dans le SI.

Plus l’attaquant reste longtemps :

• plus il cartographie l’AD et les partages,
• plus il vole (ou chiffre) de données,
• plus il compromet des sauvegardes,
• plus la remise en état devient lente.

La promesse la plus concrète de l’IA en cybersécurité, c’est celle-ci : réduire le délai de détection et d’investigation, en automatisant le tri, la corrélation et une partie de la réponse.

L’IA comme pont entre budget limité et exigence de résilience

L’IA est utile quand elle retire du bruit et accélère la décision. Dans une organisation sous contrainte, c’est exactement ce qu’il faut.

Détection : moins d’alertes inutiles, plus de signaux exploitables

Dans la vraie vie, un SOC se noie dans :

• des alertes redondantes,
• des faux positifs,
• des événements non corrélés.

Les approches IA (dont le machine learning comportemental et l’analyse d’anomalies) permettent de :

• regrouper des événements en incidents,
• prioriser selon le contexte (actif critique, identité privilégiée, exposition Internet),
• détecter des comportements atypiques (exfiltration lente, authentifications impossibles, usage anormal d’outils d’administration).

Phrase “board-friendly” : l’IA transforme un flux d’alertes en une liste courte d’incidents à traiter.

Réponse : SOAR + IA pour industrialiser les gestes qui sauvent

Quand une alerte est confirmée, ce qui suit est souvent répétitif : isoler un poste, révoquer une session, désactiver un compte, ouvrir un ticket, collecter des preuves.

Couplée à l’orchestration (SOAR), l’IA aide à :

• déclencher automatiquement des playbooks sur des scénarios à faible ambiguïté,
• proposer des actions à l’analyste (avec justification),
• raccourcir la boucle décisionnelle.

Ce n’est pas « remplacer l’humain ». C’est arrêter de gaspiller l’humain.

Gouvernance : des métriques compréhensibles et suivables

Là où l’IA peut aussi changer la discussion, c’est dans le reporting. Un bon tableau de bord cyber pour COMEX ressemble à de la gestion des risques :

• MTTD / MTTR (délai moyen de détection / de remédiation),
• taux de couverture des actifs critiques (EDR, logs, sauvegardes testées),
• exposition (comptes privilégiés, MFA, surface externe),
• risque résiduel par scénario (rançongiciel, fraude au président, fuite de données).

L’IA peut aider à consolider ces signaux, à détecter les dérives, et à produire des rapports plus fréquents sans surcharge.

Du “centre de coûts” à l’“accélérateur business” (oui, vraiment)

Quand la peur ne suffit pas, le business parle. Une stratégie cyber solide — et outillée intelligemment — permet de faire des choses qu’on évite autrement.

Protéger la propriété intellectuelle et la différenciation

Industrie, tech, médias : dans ces secteurs, la fuite d’un plan, d’un code, d’une formule ou d’un fichier client n’est pas un incident IT. C’est une perte d’avantage concurrentiel.

L’IA appliquée à la protection des données (classification, détection d’exfiltration, DLP modernisée) est particulièrement pertinente parce qu’elle s’adapte aux usages réels, plutôt que de reposer uniquement sur des règles statiques.

Accélérer l’expansion et rassurer les partenaires

Entrer sur un marché, répondre à un appel d’offres, contractualiser avec un grand donneur d’ordre : la cybersécurité devient un critère de sélection.

Les organisations qui démontrent une posture mature (journalisation, gestion des identités, réponse à incident, sécurité du cloud) gagnent du temps côté juridique et achats. L’IA aide à tenir cette posture dans la durée, pas uniquement au moment d’un audit.

Sécuriser la transformation numérique

Une cyberattaque sérieuse ne fait pas que « coûter ». Elle décale les priorités : projets stoppés, budgets gelés, équipes absorbées par le mode crise.

La bonne approche est simple : la sécurité doit être intégrée dès la conception (security-by-design). Et l’IA peut servir d’assistant pragmatique : revue de configurations, détection de secrets dans les dépôts, analyse de comportements anormaux dans les environnements cloud.

Faire passer le message : parler “risque”, pas “outils”

Le blocage n’est pas toujours le budget. C’est souvent la traduction.

Ce qui marche face à un COMEX

1. Scénarios concrets : “rançongiciel sur la filiale logistique”, “fraude au virement”, “fuite RH”.
2. Impact chiffré : arrêt de production (heures/jours), CA non réalisé, pénalités, coûts de restauration, assistance externe.
3. Réduction mesurable via plan d’actions : MFA pour les comptes sensibles, segmentation, sauvegardes immuables, EDR, journalisation.
4. Rôle de l’IA : réduire le délai de détection, automatiser les réponses simples, améliorer la visibilité.

« La cyber n’est pas un sujet IT : c’est un sujet de continuité et de confiance. »

Un plan “90 jours” crédible (et finançable)

Si vous cherchez une trajectoire réaliste, voilà ce que je recommande souvent comme première étape, surtout en PME/ETI :

• Cartographier 20% des actifs qui portent 80% du risque (AD, messagerie, ERP, sauvegardes, VPN, cloud).
• Durcir les identités : MFA partout où c’est critique, suppression des comptes orphelins, revue des privilèges.
• Installer ou consolider l’EDR sur les postes/serveurs essentiels.
• Centraliser les logs utiles (pas tout) et définir 10 détections prioritaires.
• Mettre en place 3 playbooks SOAR : compromission de compte, poste suspect, exfiltration potentielle.
• Préparer l’exercice de crise : qui décide, qui parle, qui coupe quoi.

L’IA intervient à deux niveaux : priorisation (éviter le bruit) et automatisation (réagir vite quand le scénario est clair).

Réglementations : la pression monte, même pour ceux “hors périmètre”

En Europe, la dynamique réglementaire pousse vers une cyber gérée comme un programme de risques : NIS2, DORA, exigences renforcées chez les assureurs et les grands comptes.

Même si votre entreprise n’est pas directement soumise, vos clients et partenaires le sont peut-être. Résultat : la conformité remonte la chaîne. Attendre « d’être obligé » est généralement la stratégie la plus coûteuse.

Ce que je défends pour 2026 : une cyber pilotée, assistée par IA

La cybersécurité la plus efficace n’est pas celle qui accumule des outils. C’est celle qui réduit le risque réel et qui se pilote avec des indicateurs simples.

L’IA aide à franchir un cap : elle permet de tenir une posture solide avec une équipe limitée, de détecter plus tôt, et de répondre plus vite. Mais elle ne compense pas l’absence de fondamentaux : identités, sauvegardes, hygiène, segmentation.

Si vous devez convaincre votre COMEX au T1 2026, posez la question comme un dirigeant : combien nous coûte une semaine d’arrêt, et combien nous coûte de réduire ce scénario de moitié ? Ensuite, seulement ensuite, parlez solutions — et expliquez comment l’IA rend ces solutions exploitables au quotidien.