IA en cybersécurité : l’héritage humain de Harley

Intelligence artificielle dans la cybersécurité••By 3L3C

IA en cybersécurité : appliquer l’héritage de David Harley pour mieux détecter les risques humains, prioriser les alertes et sécuriser avec méthode.

IA en cybersécuritéSOCfacteur humaindétection des menacesphishingransomwaregouvernance sécurité
Share:

Featured image for IA en cybersécurité : l’héritage humain de Harley

IA en cybersécurité : l’héritage humain de David Harley

La cybersécurité adore parler de technologies, de signatures, de corrélations, de tableaux de bord. Pourtant, l’un des constats les plus stables depuis 30 ans tient en une phrase : les attaques passent d’abord par des humains. Le 07/11/2025, la communauté a perdu David Harley, chercheur, auteur et mentor, connu pour avoir tenu ce fil rouge entre l’humain et le technique — du temps des premiers virus jusqu’à l’ère du ransomware.

Ce qui rend son parcours particulièrement actuel (en décembre 2025) ? On vit un moment où l’intelligence artificielle en cybersécurité progresse vite… et où l’IA est aussi utilisée par les attaquants. La question n’est pas seulement « quelle IA déploie-t-on ? », mais quelle compréhension des comportements on met derrière les modèles. Harley insistait déjà : les vulnérabilités les plus dangereuses ne sont pas toujours dans le code ; elles sont souvent dans nos réflexes, nos biais, nos habitudes.

Ce billet, dans notre série « Intelligence artificielle dans la cybersécurité », part de cet héritage pour répondre à un besoin très opérationnel : comment utiliser l’IA sans perdre de vue la psychologie des attaques, la qualité des signaux, et la responsabilité collective.

Ce que l’IA peut apprendre de la « cybersécurité comme bien public »

Réponse directe : l’IA améliore la défense uniquement si elle sert un objectif de sécurité partagé, mesurable, et compréhensible par les équipes. David Harley défendait l’idée d’une cybersécurité comme bien public : une pratique qui dépasse l’entreprise et contribue à réduire le risque pour l’écosystème.

Appliqué à l’IA, ça donne une règle simple : ne pas confondre automatisation et progrès. Un modèle qui bloque « beaucoup » mais qu’on ne sait pas expliquer, corriger, ou auditer finit par créer du risque.

Le piège actuel : automatiser des décisions qu’on ne maîtrise pas

Fin 2025, beaucoup d’organisations déploient :

  • de l’IA pour la dĂ©tection d’anomalies (rĂ©seau, endpoints, identitĂ©s),
  • des assistants pour rĂ©sumer des alertes SOC,
  • des modèles de scoring de risque (emails, connexions, transactions),
  • des workflows automatisĂ©s de rĂ©ponse.

Tout ça est utile. Mais j’ai observé un écueil récurrent : on « accélère » des processus déjà mal définis. Si les équipes n’ont pas tranché ce qui constitue un incident, un faux positif acceptable, ou un seuil de confinement, l’IA ne fait qu’industrialiser l’ambiguïté.

Une phrase à garder en tête : « L’IA doit réduire l’incertitude, pas la masquer. »

Pourquoi la psychologie des cybercriminels compte autant que le malware

Réponse directe : les attaques modernes combinent technique et manipulation ; l’IA n’est efficace que si elle modélise aussi les comportements. Harley écrivait sur la psychologie de la cybercriminalité : motivations, opportunisme, ingénierie sociale, routines des attaquants. Cette perspective est devenue encore plus concrète avec l’essor du phishing assisté par IA et des fraudes conversationnelles.

Ce que les attaquants optimisent vraiment

Beaucoup d’équipes défensives se focalisent sur le payload. Les attaquants, eux, optimisent souvent :

  1. Le timing (fin de journée, vacances, clôtures comptables)
  2. Le contexte (un vrai projet, un vrai fournisseur, une vraie urgence)
  3. La crédibilité (langage naturel, ton interne, références réalistes)
  4. La friction minimale (un clic, un MFA push fatigue, un lien « SharePoint »)

L’IA générative amplifie surtout les points 2 et 3 : des messages plus fluides, plus ciblés, moins « suspects ». Résultat : la détection purement linguistique ne suffit plus.

Vers une IA « comportementale » côté défense

La meilleure approche consiste à croiser des signaux humains et techniques. Exemples concrets d’usages qui marchent bien :

  • DĂ©tection d’écarts de routine : connexion Ă  02h40 (heure locale), depuis un pays inhabituel, sur une application rarement utilisĂ©e.
  • Analyse de sĂ©quence : crĂ©ation d’une règle de transfert email → tĂ©lĂ©chargement massif → crĂ©ation d’un jeton OAuth.
  • Scoring de risque de session : addition de micro-signaux faibles (nouvel appareil + IP Ă  rĂ©putation douteuse + Ă©chec MFA + Ă©lĂ©vation de privilèges).

Ici, la « psychologie » n’est pas une théorie : c’est la façon dont on traduit des comportements en signaux exploitables.

Détection et réponse : l’IA n’est pas un oracle, c’est un collègue

Réponse directe : utilisez l’IA pour trier, prioriser et contextualiser — pas pour « décider » seule. Les hommages à Harley rappellent un point essentiel : il était méticuleux, rigoureux, obsédé par le sens des mots. C’est exactement l’attitude à adopter avec l’IA en SOC.

Là où l’IA fait gagner du temps (sans perdre la main)

Cas d’usage pragmatiques, à fort ROI :

  • Regroupement d’alertes (clustering) pour Ă©viter 30 tickets sur le mĂŞme incident.
  • Enrichissement automatique : rĂ©putation IP, historique interne, cartographie des actifs.
  • RĂ©sumĂ© d’incident : « ce qui s’est passĂ©, sur quels hĂ´tes, quels comptes, quelles actions recommandĂ©es ».
  • Recherche assistĂ©e : transformer une intuition analyste en requĂŞtes (SIEM/EDR) plus vite.

Le fil conducteur : l’humain valide. On gagne du temps sur la mécanique, on garde la décision.

Là où l’IA peut faire mal (si on n’encadre pas)

Trois risques reviennent sans cesse :

  1. Sur-confiance : « le modèle a dit que c’était bénin ». Mauvaise habitude.
  2. Angles morts : un modèle entraîné sur des environnements « propres » rate les attaques rares mais graves.
  3. Effet boîte noire : impossible d’expliquer pourquoi une action a été déclenchée (et donc de la corriger).

Une règle simple que j’applique : toute automatisation qui coupe un accès, efface un artefact ou isole une machine doit avoir un mode “simulation” et un journal explicable.

Mettre l’humain au centre : un plan concret en 30 jours

Réponse directe : la meilleure stratégie IA commence par la gouvernance des signaux humains (identités, habitudes, parcours) puis par l’automatisation progressive. Si on veut honorer l’idée de Harley — relier humain et technique — il faut un plan qui ne soit ni un projet de recherche, ni une course à l’outil.

Semaine 1 : clarifier ce que vous protégez (et qui)

  • Listez vos comptes Ă  fort impact (finance, IT, RH, dirigeants, admins).
  • Identifiez 10 actifs critiques (ERP, messagerie, IAM, postes admins, sauvegardes).
  • DĂ©finissez 5 scĂ©narios humains rĂ©alistes (virement frauduleux, compromission de boĂ®te mail, vol de session, usurpation interne, support IT piĂ©gĂ©).

Semaine 2 : instrumenter les bons signaux

  • Centralisez les logs d’identitĂ© (SSO, MFA, changements de droits).
  • Ajoutez des signaux de posture (appareil gĂ©rĂ©/non gĂ©rĂ©, conformitĂ©, EDR actif).
  • Étiquetez vos Ă©vĂ©nements : « normal », « suspect », « incident confirmĂ© » (mĂŞme imparfaitement).

Semaine 3 : déployer une IA qui aide vraiment les analystes

  • Lancez un pilote de priorisation (risk scoring) sur 1 ou 2 scĂ©narios.
  • Mesurez 3 mĂ©triques :
    • taux de faux positifs,
    • temps moyen de triage,
    • temps jusqu’au confinement.

Semaine 4 : automatiser uniquement ce qui est réversible

  • Automatisez des actions « sans regret » : dĂ©sactivation temporaire d’un token, reset MFA guidĂ©, blocage conditionnel, isolation sur confirmation.
  • Documentez des playbooks lisibles (une page) : si A+B+C, alors action X, sinon escalade.

Ce plan n’est pas glamour. C’est précisément pour ça qu’il fonctionne.

Questions fréquentes que les décideurs posent (et les vraies réponses)

« L’IA va-t-elle remplacer le SOC ? »

Non. Elle remplace surtout le travail répétitif (corrélation, enrichissement, rédaction), et elle augmente la capacité d’analyse. Les incidents complexes restent des enquêtes humaines.

« Faut-il privilégier l’IA générative ou l’IA de détection ? »

Les deux, mais pas au même endroit. Détection : modèles spécialisés et robustes. Génératif : interface d’analyse et productivité. Mélanger les rôles crée des erreurs.

« Comment savoir si notre IA de sécurité est fiable ? »

Avec des tests continus : jeux d’attaque simulés, red team, validation sur incidents historiques, et suivi des dérives. Un modèle non testé devient une dette de sécurité.

Ce que l’héritage de Harley change pour 2026

La meilleure lecture de l’apport de David Harley, ce n’est pas la nostalgie. C’est une boussole : la cybersécurité est une discipline sociale autant que technique. Et l’IA, si on la déploie bien, est précisément l’outil qui peut rapprocher ces deux mondes : détecter plus tôt, réduire la charge cognitive, rendre les signaux plus lisibles.

Si vous travaillez sur l’intelligence artificielle dans la cybersécurité, prenez ce réflexe : à chaque nouvelle fonctionnalité IA, demandez-vous quel comportement humain elle observe, quel comportement elle influence, et quel comportement elle peut dégrader. C’est là que se joue la différence entre une belle démo et une défense qui tient.

Vous voulez passer de l’expérimentation à un dispositif qui produit des résultats mesurables (et auditables) ? La prochaine étape consiste à cartographier vos scénarios humains à risque et à définir quels signaux l’IA doit prioriser dès le premier mois. Quelle attaque « humaine » vous coûterait le plus cher en 2026 : la fraude au président, la compromission de messagerie, ou le vol d’identité admin ?