L'intelligence artificielle est devenue le sujet technologique phare de ces deux dernières années. Elle domine les discussions dans les conseils d'administration, les réunions avec les investisseurs, les messages des fournisseurs, les lancements de produits et les ordres du jour des conférences. On affirme à tous les secteurs que l'IA va transformer leur mode de fonctionnement, leur compétitivité et leur gestion des risques. La cybersécurité ne fait pas exception.
L'IA est partout
Dans l'ensemble du secteur, l'IA est rapidement devenue l'un des termes les plus utilisés en marketing. Les plateformes de sécurité sont alimentées par l'IA. Les outils de détection sont pilotés par l'IA. Les opérations des SOC sont renforcées par l'IA. Les évaluations des risques, les workflows de conformité, les renseignements sur les menaces, la défense contre le phishing et la réponse aux incidents sont désormais tous présentés sous l'angle de l'IA.
Cela se justifie en partie. L'IA aide déjà les équipes de sécurité à traiter de grands volumes de données, à automatiser les tâches répétitives, à accélérer les enquêtes et à identifier des schémas qu'il serait difficile pour des humains de repérer rapidement. Bien utilisée, elle peut rendre les analystes plus efficaces et aider les organisations à réagir plus rapidement aux menaces.
Mais cela ne signifie pas pour autant que toutes les affirmations concernant l'IA méritent d'être prises pour argent comptant.
Lisez notre article sur Mythos AI pour un exemple
L'essor actuel de l'IA repose sur une véritable innovation, mais il est également entouré d'un battage médiatique, de surinvestissements et d'attentes exagérées. L'histoire montre à maintes reprises que lorsqu'une technologie occupe une place aussi dominante dans le discours du marché, une correction brutale et souvent douloureuse s'ensuit généralement. La question pour la cybersécurité n'est pas de savoir si l'IA a de la valeur. Elle en a. La question est de savoir si les entreprises de sécurité se sont précipitées pour se présenter comme « AI-first » sans prouver où la technologie améliore réellement les résultats.
Pourquoi parle-t-on d'une bulle de l'IA ?
Les bulles technologiques ne se forment pas parce que la technologie sous-jacente est inutile. Elles se forment parce que les attentes évoluent plus vite que la réalité.
L'effondrement des dot-com ne signifiait pas qu'Internet n'avait pas d'importance. Cela signifiait que trop d'entreprises avaient été évaluées, financées et promues en partant du principe que l'adoption d'Internet allait immédiatement réécrire toutes les règles commerciales. Beaucoup ont échoué. Internet, lui, a survécu. Les entreprises utiles ont survécu, ont mûri et sont devenues partie intégrante de la vie quotidienne. L'IA est susceptible de suivre un chemin similaire.
La technologie ne disparaîtra pas, mais l'engouement qui l'entoure finira par s'estomper. Nous le constatons déjà : les investisseurs commenceront à poser des questions plus pointues sur les rendements. Les clients se montrent de plus en plus sceptiques face aux promesses vagues de l’IA. Les conseils d’administration veulent des preuves que les outils basés sur l’IA réduisent les risques, améliorent la productivité ou réduisent les coûts, plutôt que de simplement ajouter une couche supplémentaire de complexité à des piles technologiques déjà surchargées.
Cela est important car les investissements dans les infrastructures d'IA sont colossaux. Les centres de données, les puces, la capacité de cloud, les logiciels spécialisés et la demande en énergie font désormais tous partie de la course à l'IA au sens large. Un tel niveau de dépenses crée une pression. Plus on injecte d'argent sur le marché, plus il est nécessaire de prouver que l'adoption de l'IA peut générer une valeur durable.
Si cette valeur ne se concrétise pas assez rapidement, la correction du marché pourrait être brutale.
Les coûts réels de l'IA deviennent de plus en plus difficiles à ignorer
L'une des raisons pour lesquelles le débat sur la bulle de l'IA prend de l'ampleur est que la situation économique commence à paraître moins clémente. Pendant une grande partie de l'essor actuel, l'utilisation de l'IA a été soutenue par de lourdes subventions, un accès bon marché, des essais gratuits et des investissements agressifs de la part des grandes entreprises technologiques. Cela a donné l'impression que l'adoption se passait plus facilement qu'elle ne l'est en réalité.
À mesure que la demande augmente, le coût réel de l'exploitation de l'IA devient plus évident. La formation et l'exploitation des modèles nécessitent une infrastructure coûteuse, d'énormes capacités de calcul, des puces spécialisées, une capacité de cloud et une consommation d'énergie importante. Dans le même temps, de nombreuses organisations découvrent que l'utilisation de l'IA peut rapidement générer des coûts opérationnels élevés, en particulier lorsque les employés sont encouragés à utiliser des outils d'IA sans valeur commerciale claire.
Cela pose une question difficile aux acheteurs : l'IA apporte-t-elle suffisamment de gains de productivité, d'amélioration de la sécurité ou de réduction des risques pour justifier ces dépenses ?
En matière de cybersécurité, cette question est cruciale. Si les outils basés sur l'IA augmentent les coûts de licence, les coûts de traitement des données ou la complexité opérationnelle sans améliorer les résultats mesurables, les responsables de la sécurité commenceront à remettre en question cet investissement. Le marché s'éloignera des promesses générales de l'IA pour se tourner vers des preuves concrètes. Les fournisseurs devront démontrer comment l'IA réduit la fatigue liée aux alertes, améliore la précision de la détection, accélère la réponse, hiérarchise les expositions ou renforce la résilience.
La période de gratuité touche à sa fin. Les gagnants seront ceux qui pourront prouver la valeur ajoutée lorsque la facture arrivera.
La cybersécurité a-t-elle pris le train de l'IA en marche ?
Les fournisseurs de cybersécurité n'ont pas tardé à rejoindre le mouvement de l'IA. Dans certains cas, cela a constitué une évolution positive. L'IA et l'apprentissage automatique jouent depuis longtemps un rôle dans des domaines tels que la détection des anomalies, la surveillance des fraudes, l'analyse comportementale et la classification des logiciels malveillants. Les équipes de sécurité utilisent depuis des années diverses formes d'automatisation et d'analyse statistique, bien avant que l'IA générative ne se généralise.
Le problème ne réside pas dans l'utilisation de l'IA en soi. Le problème réside dans la manière dont l'IA est parfois présentée.
Trop souvent, l'IA est présentée comme une panacée. Elle est utilisée comme un raccourci pour désigner une meilleure sécurité, une réponse plus rapide et une détection plus intelligente, sans explication suffisante sur ce que l'outil fait réellement, comment il fonctionne, sur quelles données il s'appuie, quelles sont ses limites, ou comment il améliore le travail des équipes de sécurité en termes mesurables.
Cela crée un risque pour les acheteurs.
Un responsable de la sécurité n'a pas besoin d'un nouveau tableau de bord portant l'étiquette « IA ». Il a besoin d'être assuré que son organisation est capable de détecter les menaces, d'enquêter sur les incidents, de hiérarchiser les risques, de protéger les actifs critiques et de se remettre d'un incident. Si l'IA aide à atteindre ces objectifs, elle a de la valeur. Si elle n'est qu'une fonctionnalité enrobée de discours marketing, elle devient une distraction de plus.
Qu'est-ce que l'« AI-washing » en cybersécurité ?
On parle d’« AI-washing » lorsqu’un produit, un service ou une fonctionnalité est commercialisé comme étant basé sur l’IA alors que la composante IA est limitée, floue ou n’est pas au cœur de la valeur apportée. Cela peut également se produire lorsque des capacités d’automatisation, d’analyse basée sur des règles ou d’apprentissage automatique existantes depuis longtemps sont présentées comme plus avancées qu’elles ne le sont réellement.
Il ne s'agit pas seulement d'un problème de marketing. Cela a des conséquences pratiques.
Si les organisations achètent des outils sur la base d’allégations exagérées, elles risquent de surestimer leur niveau de protection. Elles peuvent supposer que l’IA prend des décisions qui nécessitent encore une vérification humaine. Elles peuvent croire que la technologie peut réduire la charge de travail des analystes alors qu’en réalité, elle génère davantage d’alertes à valider. Elles peuvent également déployer des systèmes basés sur l’IA sans en comprendre les implications en matière de gouvernance, de données et de contrôle d’accès.
C'est un problème grave, car l'IA ne supprime pas les principes fondamentaux de la sécurité. Elle en renforce l'importance.
Les systèmes d'IA ont besoin d'accéder aux données. Ils peuvent se connecter à des applications métier, des systèmes d'identité, des dossiers clients et des flux de travail opérationnels. Ils peuvent résumer des informations sensibles, automatiser des décisions ou recommander des actions. S'ils sont mal gérés, ils peuvent élargir la surface d'attaque et créer de nouvelles opportunités de fuite de données, d'abus de privilèges et de non-conformité.
L'IA peut-elle remplacer les principes fondamentaux d'une bonne cybersécurité ?
Non. L'IA ne peut pas remplacer les principes fondamentaux d'une cybersécurité solide.
Une organisation présentant une mauvaise visibilité des actifs, des contrôles d'identité faibles, une journalisation limitée, des terminaux non gérés, des processus de réponse aux incidents sous-développés et une gestion des correctifs incohérente ne deviendra pas plus sûre simplement parce qu'elle achète un outil basé sur l'IA. Elle peut gagner en capacités, mais ces capacités viendront s'ajouter aux mêmes faiblesses sous-jacentes.
L'IA peut aider les équipes de sécurité à agir plus rapidement, mais la rapidité n'a d'importance que si les processus et contrôles appropriés sont déjà en place. Un triage plus rapide des alertes est utile. Une enquête plus rapide est utile. Une recherche plus rapide des menaces est utile. Mais rien de tout cela ne supprime la nécessité d'une gouvernance, d'une gestion des risques, de tests, d'une planification de la résilience et d'une supervision humaine qualifiée.
À bien des égards, l'IA rend les fondamentaux plus importants.
Plus les organisations automatisent leurs processus, plus elles doivent comprendre qui a accès à quoi. Plus elles intègrent l'IA à leurs flux de travail, plus elles doivent contrôler les mouvements de données. Plus elles s'appuient sur les résultats générés par l'IA, plus elles doivent valider l'exactitude, le contexte et la prise de décision. Plus les attaquants utilisent l'IA pour intensifier le phishing, la reconnaissance et l'ingénierie sociale, plus les organisations ont besoin de défenses multicouches et résilientes.
L'IA devrait renforcer la cybersécurité. Elle ne devrait pas la remplacer.
Que se passera-t-il lorsque le marché de l'IA changera de cap ?
Si la bulle de l'IA éclate, ou même se dégonfle progressivement, les entreprises de cybersécurité seront confrontées à un test de crédibilité.
Les fournisseurs disposant de capacités d'IA véritablement utiles seront en mesure de présenter des résultats concrets. Ils démontreront comment leurs outils améliorent la précision de la détection, réduisent les temps de réponse, assistent les analystes, hiérarchisent les risques, filtrent le bruit ou renforcent la résilience. Leurs affirmations seront spécifiques, mesurables et ancrées dans la réalité opérationnelle.
Ceux qui se sont trop appuyés sur l'IA comme simple stratégie de positionnement risquent d'éprouver des difficultés.
Les clients seront moins impressionnés par les promesses générales. Les équipes d'achat poseront des questions plus pointues. Les responsables de la sécurité voudront savoir si les fonctionnalités d'IA sont matures, explicables et correctement gouvernées. Les conseils d'administration voudront savoir si l'investissement réduit le risque cyber ou s'il s'agit simplement de suivre une tendance.
Cela pourrait être salutaire pour le secteur.
Une correction du marché ne signifierait pas que l'IA a échoué. Elle obligerait le débat à gagner en maturité. Elle permettrait de distinguer les capacités réelles du bruit. Elle pousserait les fournisseurs à expliquer comment l'IA contribue aux résultats en matière de sécurité, plutôt que de supposer que le mot lui-même suffit.
Questions clés à poser aux fournisseurs de solutions de cybersécurité basées sur l'IA
Les organisations qui évaluent des produits de cybersécurité basés sur l'IA devraient aller au-delà de l'étiquette et poser des questions concrètes :
- Quel problème la capacité IA résout-elle ?
- Améliore-t-elle la détection, l'investigation, la hiérarchisation, le reporting, la réponse ou la productivité des utilisateurs ?
- Comment les performances sont-elles mesurées ?
- Quelles données le système d'IA utilise-t-il, et où vont ces données ?
- Les décisions ou recommandations peuvent-elles être expliquées ?
- Quel niveau de supervision humaine est nécessaire ?
- Comment l'outil gère-t-il les faux positifs, les faux négatifs et les résultats erronés ?
- S'intègre-t-il aux workflows de sécurité existants ?
- Que se passe-t-il si le système d'IA tombe en panne, produit une recommandation erronée ou est manipulé par un attaquant ?
Ces questions ne visent pas à rejeter l'IA. Elles la prennent au sérieux.
Cette distinction est importante. Une adoption sérieuse nécessite un examen minutieux. Les organisations qui tireront le meilleur parti de l'IA seront celles qui en comprennent à la fois les atouts et les limites.
La véritable opportunité pour les entreprises de cybersécurité
Le secteur de la cybersécurité ne doit pas abandonner l'IA, mais il doit faire preuve de plus de rigueur dans la manière dont il en parle.
La véritable opportunité ne consiste pas à affirmer que l'IA change tout. Elle consiste à montrer où l'IA peut améliorer des fonctions de sécurité spécifiques lorsqu'elle est combinée à l'expertise humaine, à des processus éprouvés et à une gouvernance solide.
L'IA peut aider les analystes à traiter de grands volumes de données télémétriques. Elle peut permettre une synthèse plus rapide des incidents. Elle peut faciliter l'analyse des renseignements sur les menaces. Elle peut aider à identifier des schémas de comportement suspects. Elle peut favoriser la sensibilisation à la sécurité en rendant les simulations de phishing et les formations plus adaptatives. Elle peut aider les organisations à comprendre les risques dans des environnements complexes.
Mais elle doit être déployée de manière responsable.
Cela signifie qu’il faut définir clairement où l’IA est utilisée, ce qu’elle peut et ne peut pas faire, et comment elle est contrôlée. Cela signifie également reconnaître que de nombreux défis en matière de sécurité ne sont pas uniquement des problèmes technologiques. Ce sont des problèmes de visibilité, de responsabilité, de maturité des processus, de ressources et de prise de décision.
L'IA peut améliorer ces domaines. Elle ne peut pas les résoudre comme par magie.
Qu'y a-t-il au-delà de l'engouement pour l'IA ?
La bulle de l'IA va éclater dans le sens où l'engouement actuel ne peut pas durer éternellement. Les attentes vont se normaliser. Les investissements deviendront plus sélectifs. Les acheteurs deviendront plus exigeants. Certaines promesses vieilliront mal.
Les entreprises de cybersécurité doivent se préparer dès maintenant à ce moment.
Les entreprises qui réussiront seront celles qui pourront prouver leur valeur au-delà du simple effet de mode. Elles seront capables d'expliquer comment l'IA contribue à améliorer la sécurité, où l'expertise humaine reste essentielle, et comment les organisations peuvent adopter l'IA sans affaiblir la gouvernance ni augmenter les risques.
Les entreprises qui se sont contentées de suivre le mouvement pourraient bien découvrir que le marché devient bien moins indulgent.
L'IA restera partie intégrante de la cybersécurité. Dans certains domaines, elle sera profondément ancrée. Mais l'avenir n'appartiendra pas aux entreprises qui clament le plus fort leur utilisation de l'IA. Il appartiendra à celles qui l'utilisent de manière responsable, l'expliquent clairement et apportent des améliorations mesurables en matière de résilience.
Lorsque la bulle éclatera, le message de sécurité le plus fort ne sera pas « nous utilisons l'IA ».
Ce sera « nous vous aidons à réduire les risques, et nous pouvons le prouver ».