IA et conformité cyber : sortir du mythe du remède

En 2025, la conformité ressemble de plus en plus à une course d’endurance. Entre la multiplication des textes, les exigences contractuelles des donneurs d’ordre, les audits à répétition et la pression assurantielle, beaucoup d’entreprises finissent par traiter la cybersécurité comme une check-list. On coche des cases. On génère des preuves. On espère que ça tiendra.

À Black Hat USA 2025, une idée simple a fait mouche : le “remède miracle” n’existe pas. Ni le produit unique, ni le prestataire providentiel, ni l’outil d’IA censé “gérer la conformité” à votre place. La cybersécurité, c’est un sport d’équipe — et la conformité n’est qu’un chapitre du match, pas le score final.

Dans cette série “Intelligence artificielle dans la cybersécurité”, j’aime revenir à une règle pratique : l’IA est très forte pour accélérer, corréler et surveiller en continu… mais elle ne doit jamais devenir votre seul arbitre. Surtout quand une amende, un incident majeur ou un refus d’indemnisation dépend d’un calcul automatique.

Le vrai problème : confondre conformité et sécurité

Réponse directe : la conformité prouve surtout que vous savez produire des preuves, pas que vous savez encaisser une attaque. Les deux se recoupent, mais ne se superposent pas.

Dans beaucoup d’organisations, le pilotage “cyber” s’est déplacé vers des indicateurs de conformité : politiques publiées, sensibilisation réalisée, inventaire tenu à jour, contrôles appliqués, journaux conservés. Tout ça est utile. Mais l’attaquant, lui, ne lit pas votre documentation.

La confusion vient d’un biais courant : si nous sommes conformes, nous sommes en sécurité. La réalité est plus rugueuse : vous pouvez être conforme et quand même vulnérable. Quelques exemples typiques :

• Une politique MFA existe… mais des comptes de service critiques restent exemptés.
• Le chiffrement est “déployé”… sauf sur des exports manuels ou des sauvegardes hors périmètre.
• Les journaux sont conservés… mais personne ne les exploite en temps quasi réel.

Le mythe du “silver bullet” côté gouvernance

La remarque entendue à Black Hat USA 2025 est révélatrice : dans une salle de RSSI, tout le monde attend que quelqu’un sorte “la” solution. Or, chacun détient un morceau de réponse : l’IT, la sécu, le juridique, l’audit interne, les métiers, les achats, l’assurance.

Ce qui manque souvent, c’est l’assemblage. Et c’est précisément là que l’IA peut aider — non pas en remplaçant, mais en coordonnant.

Plus de politiques, plus de charge : pourquoi l’IA devient tentante

Réponse directe : quand les exigences augmentent, l’IA est l’outil le plus efficace pour tenir la conformité “en continu” plutôt qu’en pics d’audit.

Le contexte 2025 est clair : les référentiels se multiplient, les exigences se densifient, et les preuves attendues deviennent plus techniques (journaux, configurations, traçabilité, gestion des exceptions). Résultat : la conformité se transforme en flux permanent.

C’est là que les outils dopés à l’IA séduisent : ils promettent de centraliser les contrôles, de détecter les dérives de configuration, de mapper des exigences à des actifs, et de produire des rapports prêts pour audit.

J’y vois trois bénéfices concrets quand c’est bien fait :

1. Couverture : l’IA peut surveiller un périmètre plus large (comptes, endpoints, cloud, SaaS) sans épuiser les équipes.
2. Cadence : on passe d’une conformité “photographie” (1 fois par an) à une conformité “télémétrie” (tous les jours).
3. Priorisation : en corrélant incidents, vulnérabilités et exigences, on évite de passer du temps sur des preuves à faible impact.

Mais cette tentation a un coût : plus l’outil est perçu comme un juge, plus le risque de faux sentiment de sécurité augmente.

Quand l’IA se trompe sur la conformité : qui paie ?

Réponse directe : l’entreprise paie, presque toujours — et l’argument “c’est l’IA” protège rarement face à un régulateur, un client ou un assureur.

La question posée à Black Hat USA 2025 est la bonne : que se passe-t-il si le modèle d’IA calcule mal votre conformité ? Ce scénario n’est pas théorique. Il peut venir de :

• Données incomplètes (un compte admin non inventorié, un abonnement cloud oublié, un outil SaaS “shadow IT”).
• Mauvais mapping entre exigences et contrôles (une règle technique interprétée trop largement).
• Exceptions non maîtrisées (dérogations validées en urgence, jamais révoquées).
• Drift : l’environnement change plus vite que les règles (nouveaux services, nouveaux usages, fusions).

Une manière simple de cadrer la responsabilité

Si vous voulez éviter le piège, adoptez une règle : l’IA peut attester, mais un humain doit valider ce qui engage la responsabilité. Concrètement :

• Les rapports IA servent de pré-audit et de détection d’écarts.
• Les écarts critiques (identité, accès, sauvegardes, segmentation, chiffrement, journaux) déclenchent une validation manuelle.
• Les exceptions doivent être documentées, datées, limitées dans le temps, et revues.

Phrase à garder en tête : une conformité automatisée sans gouvernance des exceptions finit par fabriquer des angles morts.

L’IA utile : passer de “conforme sur le papier” à “conforme dans les faits”

Le bon usage, c’est d’employer l’IA pour rapprocher l’intention (la politique) du réel (télémétrie et configurations). Par exemple :

• Vérifier que la MFA est réellement appliquée aux rôles à privilèges et aux accès distants.
• Détecter les comptes dormants et les droits excessifs.
• Corréler conformité et sécurité : un contrôle “OK” mais associé à des incidents répétés n’est pas “OK”.

La cybersécurité est un sport d’équipe : partager, mais intelligemment

Réponse directe : sans partage d’information, vous répétez les erreurs des autres ; avec un partage structuré, vous réduisez votre temps d’exposition.

Un point intéressant soulevé lors du panel : en sécurité physique, les acteurs locaux partagent souvent des alertes (par exemple, dans le commerce). En cybersécurité, au contraire, beaucoup d’organisations gardent le silence — par peur de réputation, de responsabilité, ou parce qu’elles se vivent comme concurrentes.

En 2025, je pense que cette posture devient intenable. Les attaques industrialisées (ransomware-as-a-service, phishing à grande échelle, compromissions d’identités) progressent plus vite que les cycles de gouvernance.

Comment l’IA aide le partage sans exposer vos secrets

L’IA est particulièrement efficace pour anonymiser, agréger et normaliser :

• Extraction automatique d’indicateurs (hash, domaines, patterns de phishing) sans divulguer les données internes.
• Détection de tendances : campagnes récurrentes, TTP, vecteurs dominants.
• Classement par pertinence pour votre contexte (secteur, surface d’attaque, technologies).

Le point clé : le partage doit être actionnable. Sinon, c’est du bruit.

MFA : la base qui ne devrait plus se discuter

Réponse directe : la MFA doit être un standard minimal, parce qu’elle casse une grande partie des attaques basées sur le vol d’identifiants.

Le panel a insisté sur un “whole-nation approach” pour généraliser la MFA. Je suis d’accord : en 2025, ne pas déployer la MFA sur les accès critiques n’a plus d’excuse opérationnelle, seulement des arbitrages de confort ou d’héritage.

Pour être utile, la MFA doit être déployée avec pragmatisme :

• Priorité 1 : comptes à privilèges, VPN, messagerie, consoles cloud.
• Priorité 2 : accès aux applications métiers sensibles et aux outils de support.
• Priorité 3 : utilisateurs standards, avec parcours d’enrôlement simple.

Là où l’IA apporte un vrai plus sur l’authentification

L’IA peut réduire la friction et améliorer la sécurité via :

• Analyse de risque de connexion (lieu, appareil, heure, comportement) pour déclencher des contrôles adaptatifs.
• Détection d’anomalies d’identité : impossibles voyages, élévations de privilèges inhabituelles, changements suspects.
• Chasse automatisée des identifiants compromis à partir de signaux internes.

Mais attention à une dérive : l’authentification “adaptative” mal configurée devient une porte dérobée involontaire. La MFA doit rester un socle, pas une option.

Plan d’action : utiliser l’IA pour une conformité qui tient en incident

Réponse directe : visez une conformité “résiliente”, mesurée par la capacité à détecter, contenir et prouver — pas seulement par la capacité à documenter.

Voici une approche que j’ai vu fonctionner, surtout dans les organisations qui veulent générer des leads qualifiés côté cyber (car elles savent expliquer clairement leurs besoins et leurs priorités).

1) Définir 10 contrôles “non négociables” et les mesurer en continu

Exemples de contrôles non négociables :

• MFA sur tous les accès critiques
• Gestion des correctifs sur périmètre défini
• Sauvegardes testées (restauration prouvée)
• Journalisation centralisée et rétention
• Moindre privilège et revue des droits

L’IA sert à surveiller les écarts, pas à redéfinir la règle.

2) Mettre en place un “registre des exceptions” piloté

Chaque exception doit avoir : un propriétaire, une justification, une date d’expiration, un contrôle compensatoire, un statut. C’est souvent là que la conformité s’écroule en cas d’audit ou d’incident.

3) Croiser conformité et signaux de menace

Un contrôle est “vraiment bon” quand il réduit les incidents. Utilisez l’IA pour relier :

• dérives de configuration → alertes → incidents
• vulnérabilités exposées → tentatives d’exploitation
• identités risquées → authentifications suspectes

4) Préparer l’après-incident (preuve, assurance, régulateur)

En 2025, l’enjeu n’est pas seulement d’éviter l’incident. C’est de prouver :

• ce que vous aviez en place,
• ce qui a été contourné,
• ce qui a été fait et quand.

L’IA peut aider à reconstituer des chronologies, mais il faut des journaux exploitables, des horodatages cohérents et une gouvernance claire.

Ce que je retiens de Black Hat 2025 pour les équipes terrain

La pression réglementaire va continuer, et la conformité va peser plus lourd sur le quotidien des équipes. L’IA est une alliée logique pour absorber la complexité, accélérer la détection des écarts, et maintenir un niveau de preuve continu.

Mais la posture gagnante, c’est celle-ci : l’IA complète l’expertise humaine — elle ne la remplace pas. Si vous cherchez un “remède” unique, vous paierez deux fois : une première fois à l’achat, une seconde fois le jour où la réalité ne correspondra pas au rapport.

Si vous deviez choisir un seul prochain pas dès cette semaine : sécurisez les identités (MFA + privilèges) et instrumentez la conformité en continu avec des métriques simples. Ensuite seulement, outillez et automatisez à grande échelle.

La question qui reste, et qui mérite d’être posée au comité de direction : votre conformité actuelle vous aide-t-elle à encaisser un incident, ou seulement à passer un audit ?