IA et cybersécurité : l’héritage humain de David Harley

Un des pièges les plus coûteux en cybersécurité, c’est de croire que tout se joue dans la technique. Les journaux d’événements, les signatures, les correctifs, les pare-feu… tout ça compte. Mais l’histoire de David Harley — chercheur, auteur et mentor disparu début novembre 2025 à 76 ans — rappelle une vérité plus simple et plus dérangeante : la faille décisive est souvent humaine.

Ce point n’a rien d’un slogan. Harley avait un profil rare (langues, sciences sociales, informatique) et une obsession utile : relier la psychologie, les usages et la réalité des attaques. Dans notre série « Intelligence artificielle dans la cybersécurité », son héritage donne une boussole très concrète. Parce que l’IA ne sert pas seulement à “voir plus de logs”. Elle sert surtout à détecter des comportements, comprendre des intentions probables et aider les équipes à prendre de meilleures décisions, plus vite.

Ce que David Harley a compris avant beaucoup d’autres

David Harley a passé sa carrière à faire le pont entre deux mondes : l’analyse technique (malwares, tendances, tests antimalware) et la dimension humaine (erreurs, manipulation, psychologie du cybercrime). Son intuition centrale tient en une phrase : les vulnérabilités les plus dangereuses ne sont pas toujours dans le code, mais dans les personnes et les organisations.

Dans les témoignages de collègues, on retrouve un fil conducteur : sa capacité à apporter du contexte, à écrire avec précision, et à former les autres. Il n’était pas seulement “expert en virus”. Il était un traducteur — celui qui rend compréhensibles des sujets complexes, et qui montre comment une attaque réussit réellement dans la vie d’une entreprise.

Le facteur humain, ce n’est pas « la faute de l’utilisateur »

Beaucoup d’organisations traitent encore l’humain comme un problème à discipliner : une formation annuelle, un quiz, et on passe à autre chose. Harley défendait une vision plus réaliste : l’humain n’est pas un bug, c’est le cœur du système.

• Un employé pressé qui valide une demande de virement “urgente” n’est pas forcément négligent : il est pris dans une mécanique de pression.
• Un administrateur qui contourne une procédure lourde n’est pas forcément inconscient : il répond à un impératif opérationnel.
• Un manager qui veut “aller vite” n’est pas forcément irresponsable : il optimise selon les indicateurs qu’on lui donne.

La cybersécurité efficace part de là. Et c’est exactement là que l’IA devient intéressante : pas pour punir, mais pour détecter plus tôt et réduire l’ambiguïté.

L’IA en cybersécurité : prolonger l’approche « humain + technique »

L’IA appliquée à la cybersécurité fonctionne vraiment quand elle fait ce que Harley faisait à l’échelle humaine : relier des signaux faibles, donner du sens, et éviter les conclusions hâtives.

Concrètement, les systèmes modernes (UEBA, XDR, détection d’anomalies, assistants SOC) excellent dans trois domaines qui collent à sa philosophie.

1) Détection d’anomalies comportementales (UEBA)

L’UEBA (User and Entity Behavior Analytics) vise une chose : repérer ce qui ne ressemble pas au comportement habituel d’un utilisateur, d’un poste, d’un serveur ou d’un service.

Exemples typiques (et très “facteur humain”) :

• Connexion inhabituelle à 03h10 depuis un pays jamais vu, suivie d’un téléchargement massif.
• Utilisation anormale d’outils d’administration sur une machine non administrée.
• Série d’échecs MFA, puis réussite sur un appareil nouveau, puis accès à des fichiers sensibles.

Ce n’est pas magique : il faut de la qualité de données et un paramétrage intelligent. Mais le gain est net : on sort du binaire “bon/mauvais” pour entrer dans une logique de probabilité, comme Harley l’encourageait dans son travail sur la psychologie et les modes opératoires.

2) Comprendre la psychologie du cybercrime… à grande échelle

Harley écrivait sur la psychologie de la cybercriminalité : motivations, manipulation, dynamiques sociales, discours. Aujourd’hui, l’IA permet d’industrialiser cette lecture — à condition d’être lucide.

Applications concrètes :

• Détection de phishing enrichie par l’analyse linguistique (ton d’urgence, injonctions, imitation de style, incohérences contextuelles).
• Analyse de campagnes : regrouper automatiquement des emails/URL/domaines par similarité pour remonter à une “famille” d’attaque.
• Priorisation : identifier quels messages ont le plus de chances de tromper un public donné (ex. période de clôture comptable, fêtes de fin d’année, changements RH).

Décembre est un bon exemple saisonnier : cadeaux d’entreprise, factures, logistique, congés. Les attaquants adorent ces fenêtres. L’IA peut repérer plus vite les signaux caractéristiques… mais seulement si l’organisation accepte de modéliser les “moments à risque” et d’ajuster ses contrôles.

3) Aider les équipes SOC : moins d’alertes, plus de sens

Dans les retours sur Harley, il y a un point touchant : sa rigueur d’éditeur, sa capacité à remettre de l’ordre dans une idée, à la rendre présentable, actionnable. Un bon assistant IA pour SOC devrait faire pareil.

Ce que j’observe sur le terrain : la valeur arrive quand l’IA réduit la charge cognitive.

• Regrouper 200 alertes bruitées en 3 incidents cohérents.
• Résumer une chronologie : “entrée probable → élévation → mouvement latéral → exfiltration”.
• Proposer des hypothèses et indiquer ce qui manque pour trancher.

L’objectif n’est pas d’éliminer l’analyste. C’est d’éviter que l’analyste se noie dans le bruit — ce qui, en pratique, est une cause majeure d’incidents qui durent.

Ce que la communauté retient : écriture, mentorat, et « cybersécurité bien commun »

Les hommages à David Harley insistent sur trois qualités rares : la transmission, la précision, l’humilité. Il aidait d’autres professionnels à publier, structurer, argumenter. Il relisait, il conseillait, il donnait des références. Ce n’est pas un détail : dans une industrie où les attaques évoluent vite, la qualité de la connaissance partagée fait la différence.

Et il défendait une idée forte : la cybersécurité est un bien public. En 2025, ça résonne encore plus fort. Les ransomwares paralysent des hôpitaux, des collectivités, des PME. Les fuites de données touchent tout le monde, pas seulement “les grandes entreprises”.

Ce que l’IA change… et ce qu’elle ne changera pas

Je prends une position claire : l’IA n’est pas une stratégie, c’est un accélérateur. Elle amplifie autant vos forces que vos faiblesses.

• Si vos accès sont mal gouvernés, l’IA détectera peut-être plus tôt… mais elle ne réparera pas votre modèle d’identités.
• Si vos équipes ne savent pas qui décide quoi en incident, l’IA résumera l’attaque… et l’incident durera quand même.
• Si vos utilisateurs sont culpabilisés plutôt qu’accompagnés, le phishing restera rentable.

Harley aurait probablement insisté : la sécurité, c’est aussi de l’organisation, de la pédagogie, du langage. Exactement ce que beaucoup négligent.

Mettre en pratique : un modèle « humain + IA » en 30 jours

Voici une approche pragmatique, pensée pour des équipes qui veulent des résultats rapides sans se raconter d’histoires.

Semaine 1 : cartographier les comportements critiques

Choisissez 5 “comportements” qui, s’ils dérapent, vous coûtent cher. Par exemple :

1. Création/usage de comptes à privilèges
2. Connexions distantes et accès VPN
3. Accès aux données sensibles (RH, finance, R&D)
4. Changements de règles email (transferts automatiques)
5. Exécution d’outils d’admin sur postes utilisateurs

L’idée : raisonner par scénarios humains, pas seulement par technologies.

Semaine 2 : instrumenter proprement (données minimales, utiles)

Avant d’“ajouter de l’IA”, assurez-vous d’avoir :

• des logs d’authentification fiables,
• une visibilité endpoint (au moins événements essentiels),
• un inventaire des identités et des rôles,
• une gestion des appareils (qui est managé, qui ne l’est pas).

Sans ça, l’IA produit du bruit sophistiqué.

Semaine 3 : définir des alertes orientées décision

Remplacez les alertes “techniques” par des alertes “action”. Exemple :

• Pas : « téléchargement massif détecté »
• Oui : « téléchargement massif par un compte finance hors horaires + nouvel appareil : valider légitimité sous 30 minutes »

Un bon signal IA doit dire quoi faire, pas seulement quoi regarder.

Semaine 4 : boucler avec l’humain (feedback, formation ciblée)

• Chaque incident clos doit enrichir vos règles et vos modèles.
• La formation doit être contextuelle : 10 minutes au bon moment valent mieux qu’1h une fois par an.
• Mesurez 3 indicateurs simples : temps de détection, temps de qualification, taux de faux positifs.

C’est exactement la logique “pay it forward” qu’on associe à Harley : apprendre, formaliser, transmettre.

Questions fréquentes (et réponses franches)

L’IA va-t-elle remplacer les analystes SOC ?

Non. Elle remplace surtout des tâches répétitives : tri, regroupement, résumé. Le jugement, la priorisation métier, la gestion de crise et la communication restent profondément humains.

UEBA = surveillance généralisée ?

Pas obligatoirement. Une mise en place responsable repose sur la minimisation des données, la transparence interne, des durées de conservation limitées et un cadre juridique clair. L’objectif, c’est la protection, pas le flicage.

Par où commencer si on a peu de budget ?

Commencez par l’identité : MFA bien déployé, moindre privilège, revue d’accès, et journalisation correcte. Ensuite seulement, ajoutez une couche IA/analytique là où elle réduit réellement le risque.

Un héritage utile pour la cybersécurité pilotée par l’IA

David Harley n’a pas “inventé l’IA”, mais il a montré comment penser la sécurité de façon complète : technique, humaine, sociale, pédagogique. C’est précisément ce que l’IA en cybersécurité doit renforcer : la compréhension des comportements, la réduction du bruit, et une meilleure prise de décision.

Si votre stratégie IA ne parle que de modèles et de plateformes, vous passez à côté du sujet. La question à se poser en 2025, surtout en période de pression opérationnelle comme la fin d’année, est plus simple : quels comportements à risque votre organisation tolère-t-elle encore… et comment l’IA peut-elle aider à les détecter et les corriger sans casser le business ?

Si vous voulez aller plus loin, la prochaine étape est claire : sélectionner 2 ou 3 cas d’usage à fort impact (phishing ciblé, anomalies d’accès, fraudes au virement), définir des critères de succès mesurables, et impliquer à la fois le SOC, l’IT, et les métiers. C’est là que l’IA devient utile — et que l’héritage de Harley continue de travailler, discrètement, mais efficacement.