Sécurité IA : éviter la complaisance qui augmente le risque

Quand la cybersécurité marche, il ne se passe… rien. Pas d’alerte, pas d’incident, pas d’article de presse. Et c’est précisément là que beaucoup d’organisations se trompent : elles interprètent le silence comme une preuve que « le risque a baissé » et commencent à couper dans les budgets, les équipes, ou la rigueur des processus.

À Black Hat USA 2025, deux idées ont particulièrement fait mouche : d’un côté, la technologie n’est plus neutre — elle est devenue politique et culturelle ; de l’autre, le succès en cybersécurité crée un paradoxe : il peut nourrir la complaisance et, à terme, augmenter le risque. Dans cette série « Intelligence artificielle dans la cybersécurité », je vais prendre une position claire : l’IA améliore la défense seulement si elle sert à rester vigilant, pas à “endormir” l’organisation.

Ce billet traduit ces signaux faibles en décisions concrètes : comment éviter la spirale « tout va bien → on réduit → ça casse », comment mesurer la sécurité quand “rien ne se passe”, et comment déployer l’IA sans créer de nouveaux angles morts.

Le paradoxe du “rien ne se passe” : pourquoi le risque remonte

Le risque cyber remonte quand on confond absence d’incident et maîtrise durable. La cybersécurité est une discipline d’attrition : vous repoussez des attaques tous les jours, et l’adversaire apprend. Si vous relâchez, il finit par trouver la couture.

À Black Hat, une phrase a circulé parce qu’elle dit vrai : la réussite en cybersécurité, c’est quand il ne se passe rien. Sauf que, côté pilotage, c’est un cauchemar : la direction veut des preuves, des chiffres, des résultats visibles. Résultat fréquent : quand les indicateurs « d’incidents » restent bas, on considère que la dépense est surdimensionnée.

Le mécanisme est presque mécanique :

1. Phase A — Investissement fort : outillage, SOC, EDR, durcissement, sensibilisation.
2. Phase B — Calme apparent : baisse des incidents visibles, baisse du bruit.
3. Phase C — Rationalisation : gel des recrutements, réduction des services managés, reports de projets (MFA partout, segmentation, PAM).
4. Phase D — Retour du réel : attaque réussie, rançongiciel, fraude au président, compromission fournisseur.

Ce cycle est ancien, mais l’IA le rend plus rapide dans les deux sens : elle accélère la détection… et peut accélérer la complaisance si on l’utilise comme excuse pour automatiser sans gouvernance.

Le biais qui coûte cher : “on a un bon outil, donc on est couverts”

J’ai vu des entreprises acheter une solution “IA” et, six mois plus tard, réduire les revues humaines parce que « l’outil classe tout ». Ce réflexe est dangereux pour une raison simple : les modèles apprennent sur l’hier, l’attaque arrive demain.

Une défense robuste assume deux vérités :

• Les attaquants s’adaptent (phishing plus crédible, malwares plus discrets, abus d’outils légitimes).
• Votre organisation change (SaaS ajouté, M&A, télétravail, prestataires, nouvelles applis).

L’IA est utile précisément parce qu’elle peut suivre ces changements, mais uniquement si vous l’alimentez, la testez, et la challengez.

“Qui est responsable ?” Repenser le phishing et la chaîne de défense

Le phishing ne devrait pas “arriver jusqu’à l’utilisateur”. À Black Hat, un message a bousculé une habitude tenace : après un clic, on blâme l’utilisateur et on relance une formation. Sauf que, dans une architecture mature, l’utilisateur n’est pas le dernier rempart ; il est une couche parmi d’autres.

La responsabilité réelle se joue avant le clic : filtrage email, authentification des domaines, détection d’URL malveillantes, sandboxing, politiques d’accès conditionnel, isolement navigateur, etc. Si un email de phishing traverse tout ça, c’est la chaîne qui a failli, pas seulement la personne.

Là où l’IA change la donne (si on l’emploie correctement)

L’IA excelle pour détecter des signaux faibles à grande échelle, notamment :

• Similarités sémantiques d’emails (ton, intention, scénarios de fraude)
• Incohérences de contexte (un fournisseur “écrit” comme un autre, mais depuis un ASN inhabituel)
• Détection d’anomalies de comportements (connexion atypique, accès à des fichiers rarement ouverts)
• Regroupement automatique d’alertes (réduction du bruit pour le SOC)

Mais l’IA doit être intégrée dans une stratégie de défense en profondeur. Deux règles simples :

• Ne pas “remplacer” un contrôle, mais le renforcer : par exemple, l’IA pour scorer un email + DMARC/SPF/DKIM + isolement des liens.
• Toujours prévoir un mode dégradé : si le modèle est incertain, on bloque, on met en quarantaine, ou on demande une étape d’authentification supplémentaire.

Culture, automatisation et confiance : l’IA peut dégrader votre sécurité

Une automatisation imprécise abîme la confiance, et la confiance conditionne la sécurité. L’exemple est banal mais parlant : un chatbot d’hôtel qui donne une information fausse, puis renvoie vers l’accueil. Transposez ça en entreprise : un assistant IA interne qui répond mal sur une procédure de sécurité, ou un outil qui “classe” un événement critique comme bénin.

Le vrai sujet n’est pas “IA vs humain”. C’est : quelle culture de service et de sécurité voulez-vous préserver ?

Trois pièges fréquents quand on déploie l’IA en cybersécurité

1) Le self-service qui devient une barrière

Quand l’IA est le seul point d’entrée (support, SOC, IT), les utilisateurs contournent : WhatsApp, comptes personnels, shadow IT. Et le risque grimpe.

2) L’automatisation sans redevabilité

Si personne ne “porte” les décisions du modèle (blocages, faux positifs, exceptions), vous obtenez l’inverse d’une organisation apprenante : des contournements et du ressentiment.

3) La “vérité statistique” prise pour une vérité opérationnelle

Un modèle peut être performant globalement et catastrophique sur un segment critique (finance, admins, VIP, OT). En cybersécurité, les cas rares sont souvent ceux qui ruinent l’année.

Comment l’IA évite la spirale complaisance → incident : un cadre concret

La solution n’est pas d’acheter plus d’IA, mais d’installer un pilotage qui maintient la pression et prouve la valeur. Voici un cadre que j’utilise souvent pour rendre la cybersécurité visible… sans attendre une crise.

1) Mesurer la sécurité autrement que par “nombre d’incidents”

Vous avez besoin d’indicateurs qui restent significatifs quand tout va bien. Exemple de tableau de bord (mensuel) :

• MTTD / MTTR : temps moyen de détection et de remédiation (par type d’incident)
• Taux de couverture : % de postes avec EDR actif, % de serveurs avec journaux centralisés
• Exposition IAM : % comptes admin protégés par MFA fort, % comptes inactifs supprimés
• Hygiène de patch : % correctifs critiques appliqués sous 14 jours
• Efficacité anti-phishing : % emails malveillants bloqués avant boîte de réception

L’IA peut alimenter ces métriques (corrélation d’événements, scoring de risques, détection d’anomalies), mais la gouvernance doit décider quels seuils déclenchent une action.

2) “Prouver” la défense : tests continus et exercices

Le meilleur antidote à la complaisance, c’est le test régulier. Concrètement :

• Simulations de phishing ciblées (par métier) + remédiations techniques, pas seulement formation
• Breach and attack simulation (ou équivalent) pour valider EDR, SIEM, règles email
• Purple teaming trimestriel : détection + réponse, pas uniquement attaque

L’IA aide ici en automatisant la collecte des preuves, en expliquant les chaînes d’attaque probables, et en priorisant les écarts à corriger.

3) Utiliser l’IA pour réduire l’exposition, pas seulement pour “détecter”

Beaucoup d’organisations mettent l’IA sur le SOC (détection) alors que le ROI le plus net vient souvent de la réduction d’exposition :

• Priorisation intelligente des correctifs (exploitation active, criticité métier)
• Nettoyage des identités (droits excessifs, comptes orphelins, accès non revus)
• Analyse des chemins d’attaque (qui peut atteindre quoi, à partir d’un poste compromis)

Une phrase utile à garder en tête : détecter vite, c’est bien ; empêcher l’escalade, c’est mieux.

4) Mettre des garde-fous : IA “assistante”, décisions traçables

Pour rester du bon côté, imposez des règles :

• Traçabilité : chaque décision automatique doit être journalisée (raison, données, confiance)
• Recours humain : voie de correction claire pour faux positifs et exceptions
• Séparation des pouvoirs : l’IA propose, un responsable valide pour les actions à impact (blocage compte VIP, mise en quarantaine massive)
• Revue de performance : dérive du modèle, nouveaux types d’attaques, ré-entraînement

Ce n’est pas de la bureaucratie. C’est ce qui rend l’automatisation durable.

Questions fréquentes (celles que vos décideurs vont poser)

“Si l’IA bloque tout, on peut réduire l’équipe SOC ?”

Non, vous pouvez réduire le bruit, pas le besoin de compétence. L’IA absorbe le volume, mais l’investigation, la chasse aux menaces et la gestion de crise restent des métiers humains — surtout quand l’adversaire change de tactique.

“Pourquoi investir si on n’a pas eu d’incident majeur cette année ?”

Parce que l’absence d’incident est un résultat, pas une garantie. Les attaquants travaillent en continu, et votre surface d’attaque évolue. La bonne question est : “Sommes-nous plus difficiles à compromettre qu’il y a 12 mois ?”

“L’IA crée-t-elle de nouvelles failles ?”

Oui, si on la déploie sans contrôle. Les risques typiques : erreurs de classification, dépendance excessive, fuites de données via assistants, et détournement par l’attaquant (social engineering amplifié). D’où la nécessité des garde-fous et des tests.

Ce que Black Hat 2025 nous rappelle, côté IA et cybersécurité

Le message est simple et assez inconfortable : la cybersécurité réussie peut préparer la prochaine crise si elle vous pousse à relâcher l’effort. Et l’IA, mal gouvernée, peut accélérer ce relâchement en donnant l’illusion d’un pilotage “automatique”.

À l’inverse, bien utilisée, l’IA devient un outil de lucidité : elle met en évidence les signaux faibles, prouve l’efficacité des contrôles, et force une discipline de test continu. Dans une période où la technologie est aussi affaire de culture (et parfois de politique), ce point compte : vos choix d’automatisation disent quelque chose de votre organisation — et les attaquants le lisent aussi.

Si vous deviez choisir une prochaine étape dès cette semaine : faites l’inventaire de vos indicateurs “silencieux” (couverture, patch, IAM, MTTD/MTTR) et identifiez où l’IA peut aider à prioriser sans masquer les risques. Ensuite, testez : une défense crédible se démontre, elle ne se décrète pas.

La question à garder ouverte pour 2026 : dans votre entreprise, l’IA est-elle en train de renforcer la vigilance… ou de rendre la complaisance plus confortable ?