IA en cybersécurité : sortir de la « brèche quantique »

En 2025, beaucoup d’entreprises vivent avec une contradiction silencieuse : elles affirment être protégées, mais elles n’ont pas la moindre certitude sur ce qui se passe réellement dans leurs systèmes. Elles sont compromises et pas compromises à la fois… jusqu’au moment où quelqu’un « ouvre la boîte » et découvre l’intrusion. C’est exactement l’idée (imparfaite mais utile) derrière le chat de Schrödinger appliqué à la cybersécurité.

Ce paradoxe n’a rien de philosophique quand on regarde la réalité opérationnelle : le temps moyen mondial pour identifier et contenir une violation est de 241 jours, et 181 jours pour l’identifier (rapport IBM 2025). Pendant ces mois, les attaquants ne « tentent » pas une attaque : ils s’installent, observent, se déplacent, volent des accès, puis déclenchent le chaos au moment qui fait le plus mal.

Dans cette série « Intelligence artificielle dans la cybersécurité », j’aime revenir à une idée simple : la sécurité, c’est d’abord de la visibilité. Et aujourd’hui, la visibilité à l’échelle (logs, endpoints, identités, cloud, emails) passe de plus en plus par des approches pilotées par l’IA : détection comportementale, corrélation d’événements, priorisation des alertes, chasse aux menaces assistée, réponse automatisée.

La « brèche quantique » : le vrai problème, c’est l’incertitude

La réalité, c’est que vous ne savez pas si vous êtes compromis tant que vous n’observez pas. La plupart des organisations ont des antivirus, des pare-feu, parfois des outils EDR/XDR… mais pas une observation continue et exploitable. Résultat : des signaux faibles existent, mais ils restent noyés.

Ce point est crucial pour les équipes dirigeantes : l’absence d’alerte n’est pas une preuve d’absence d’attaque. Elle peut aussi signifier :

• pas assez de télémétrie (logs incomplets, postes non couverts, cloud partiellement instrumenté)
• trop de bruit (alertes non triées, faux positifs)
• pas assez d’analystes pour qualifier
• des règles de détection statiques face à des attaquants adaptatifs

La « boîte fermée » en cybersécurité, ce sont des environnements où la surveillance existe sur le papier, mais ne produit pas de décisions : ni escalade, ni confinement, ni remédiation.

Dwell time : quand l’attaque est planifiée, pas “aléatoire”

L’analogie de Schrödinger a une limite importante : en physique, l’événement déclencheur est aléatoire. En cybersécurité, le déclenchement est souvent calculé.

Les groupes cybercriminels modernes (y compris ceux spécialisés en fraude, en vol d’identifiants ou en rançongiciels) cherchent le bon timing : veille de week-end, période de congés, clôture comptable, pic d’activité e-commerce, ou moment où l’équipe IT est déjà sous tension. En décembre, ça se voit très bien : campagnes de phishing liées aux colis, fausses factures de fin d’année, demandes urgentes « du DG » avant les fêtes.

Le message à retenir est sec mais utile : si un attaquant est déjà dedans, il choisira le moment où vous serez le moins capable de répondre.

“Un plus gros cadenas” ne suffit plus (et l’IA explique pourquoi)

Augmenter la sécurité « périmétrique » et multiplier les contrôles, c’est rassurant. Mais si l’attaque passe par l’humain (ingénierie sociale), l’identité (vol de session), ou un poste déjà compromis, le cadenas ne sert à rien : l’attaquant a les clés.

Là où l’IA apporte une valeur très concrète, c’est qu’elle ne se contente pas de chercher un malware connu. Elle observe des comportements :

• connexion “impossible travel” ou atypique pour un compte
• création d’un nouvel administrateur hors process
• exécution d’outils système utilisés pour “living off the land”
• extraction anormale de données (volumétrie, horaires, destinations)
• enchaînements d’actions qui ressemblent à une chaîne d’attaque

Ce n’est pas magique : l’IA n’empêche pas tout. Mais elle réduit l’incertitude en transformant des millions d’événements en quelques alertes exploitables.

Détection classique vs détection IA : ce qui change au quotidien

La différence la plus tangible, c’est la priorisation.

• Une détection traditionnelle remonte souvent des alertes « unitaires » (un hash, une règle, une IOC).
• Une détection assistée par IA met davantage l’accent sur la corrélation : elle relie un email suspect, une connexion inhabituelle, puis une élévation de privilèges, puis un mouvement latéral.

Ce chaînage est décisif : les attaquants gagnent parce que les défenseurs voient des pièces isolées. L’IA aide à voir l’histoire complète.

SOC, EDR/XDR, MDR : choisir une stratégie réaliste (pas idéale)

La question n’est pas « quelle solution est la meilleure ? ». La bonne question est : qu’est-ce que votre organisation est capable d’opérer à 24/7, sans s’épuiser ?

Option 1 : construire un SOC interne

Un SOC interne peut être pertinent pour des organisations très matures et très régulées. Mais il faut assumer :

• un investissement durable (outils, logs, SIEM, stockage)
• des analystes niveau 1/2/3
• de l’astreinte, des procédures, des exercices, des playbooks
• la gestion du turnover (la pénurie de compétences reste un frein en 2025)

En clair : le SOC, ce n’est pas un projet, c’est une usine.

Option 2 : déployer EDR/XDR “en autonomie”

Déployer un EDR/XDR sans équipe formée, c’est souvent la voie la plus frustrante. J’ai vu des entreprises activer des fonctionnalités avancées, puis les désactiver parce que « ça alerte tout le temps ». Le danger n’est pas le bruit en soi : c’est le faux sentiment de contrôle.

Un outil puissant mal opéré peut produire deux effets pervers :

1. fatigue d’alerte (on ignore même les vrais signaux)
2. fenêtres d’attaque (les attaquants se cachent dans la masse)

Là encore, l’IA aide, mais elle ne remplace pas l’opérationnel. Elle doit être intégrée dans une chaîne de décision.

Option 3 : MDR (détection et réponse managées) + IA

Le modèle le plus pragmatique pour beaucoup d’ETI et d’entreprises multi-sites, c’est MDR : des experts opèrent les outils, surveillent en continu, chassent les menaces et assistent la remédiation.

Le bénéfice principal, c’est le temps. Quand IBM parle de 181 jours pour identifier une violation en moyenne, ça décrit un monde où la détection est lente, fragmentée et trop manuelle. Un service MDR bien opéré vise l’inverse : détection rapide, qualification rapide, actions guidées.

Et pour la campagne “Intelligence artificielle dans la cybersécurité”, c’est un point central : l’IA devient vraiment utile quand elle est mise au service d’une réponse. Sinon, elle se limite à produire des scores.

Phrase à garder en tête : la cybersécurité n’est pas un problème d’outils, c’est un problème de temps.

Comment l’IA “ouvre la boîte” sans noyer vos équipes

La promesse réaliste de l’IA en cybersécurité, ce n’est pas « tout automatiser ». C’est de rendre l’observation continue supportable.

1) Réduire le bruit, augmenter le signal

Une IA bien entraînée (et surtout bien paramétrée) peut :

• regrouper des alertes similaires en incidents
• détecter des anomalies par rapport à vos habitudes (et pas un référentiel abstrait)
• mettre en avant les incidents à impact probable (identités à privilèges, serveurs critiques)

Objectif : passer de “10 000 alertes” à “12 incidents actionnables”.

2) Accélérer la qualification avec du contexte

Une alerte sans contexte, c’est une devinette. L’IA peut enrichir :

• chronologie d’attaque (timeline)
• cartographie de propagation (quels hôtes, quels comptes)
• hypothèses de technique (ex : exfiltration, mouvement latéral)

C’est ce qui permet à un analyste (ou à une équipe IT) d’agir sans perdre deux heures à reconstituer l’histoire.

3) Automatiser des réponses “sans regrets”

L’automatisation ne doit pas tout casser. Les bonnes réponses automatiques sont celles qui sont réversibles et à faible risque, par exemple :

• isoler temporairement un endpoint suspect
• révoquer une session et forcer une réauthentification
• bloquer un domaine récemment utilisé dans une campagne
• ouvrir un ticket enrichi et assigner le bon propriétaire

Ce sont des actions simples, mais elles réduisent drastiquement la fenêtre d’opportunité des attaquants.

Mini-checklist : savoir si vous êtes encore “dans la boîte”

Si vous devez évaluer votre maturité en 30 minutes, je vous conseille ce diagnostic rapide :

1. MTTD / MTTR : connaissez-vous vos temps de détection et de réponse (même approximatifs) ?
2. Couverture : 95–100% des postes et serveurs critiques en télémétrie EDR ? Le cloud et les identités sont-ils intégrés ?
3. Scénarios : avez-vous 5 playbooks simples (phishing, compte compromis, exfiltration, ransomware, insider) ?
4. 24/7 : qui répond à 03h00 un dimanche ? Un nom, pas un principe.
5. Exercices : avez-vous fait un test de crise cyber en 2025, avec COMEX et DSI ?

Si vous bloquez sur 2 points ou plus, vous n’êtes pas “en retard”. Vous êtes dans la normalité du marché. Mais ça veut aussi dire que l’approche la plus rentable est souvent : visibilité + IA + opération (interne ou MDR).

Ce que je ferais dès janvier 2026 (si j’étais côté entreprise)

Décembre est rarement le mois où l’on refond une stratégie SOC. Par contre, c’est un excellent moment pour décider du plan de 2026.

• Semaine 1–2 : cartographier les actifs critiques (identité, messagerie, ERP, sauvegardes) et vérifier la couverture de télémétrie.
• Mois 1 : mettre en place des règles “priorité identité” (MFA, détection d’anomalies de connexions, protection du service desk).
• Mois 2 : instrumenter un flux d’incidents actionnables (EDR/XDR + corrélation + runbooks).
• Mois 3 : trancher sur l’opération : SOC interne, hybride, ou MDR.

Le but n’est pas d’avoir plus d’outils. Le but est de réduire l’incertitude et de gagner du temps sur les attaques qui comptent.

La question que je laisse ouverte, pour la suite de cette série « Intelligence artificielle dans la cybersécurité » : quand votre organisation “ouvrira la boîte”, qu’est-ce qu’elle découvrira… et aurez-vous une réponse prête en moins d’une heure ?