Klaerenn
⌘K
Klaerenn
Tribunes

L'IA invisible : Le paradoxe de la cybersécurité moderne

Comités d'éthique pour ChatGPT, confiance aveugle pour l'IA du SOC. Nous utilisons depuis 10 ans des systèmes d'IA en cybersécurité sans appliquer les critères que nous définissons aujourd'hui.
L'IA invisible : Le paradoxe de la cybersécurité moderne

Le miroir ChatGPT

Depuis 2023, les organisations structurent leur gouvernance de l'IA avec une attention particulière : PSSI-IA, comités d'éthique, matrices de risques détaillées. Cette démarche révèle un paradoxe fascinant : ces mêmes organisations utilisent depuis plus de 10 ans des systèmes d'IA sophistiqués pour leur cybersécurité, sans avoir appliqué les critères qu'elles définissent aujourd'hui. Cette observation invite à comprendre pourquoi nous acceptons pour certaines IA ce que nous refusons pour d'autres.

Le paradoxe en action

Février 2024. Un comité de direction examine l'usage de ChatGPT dans l'entreprise.

Le RSSI s'inquiète : "Où partent nos données ? Qui y a accès ?" Le directeur de la conformité interroge : "Quelle transparence sur les algorithmes ?" Le risk manager alerte : "Quelle dépendance créons-nous ?" La direction générale tranche : "Trop de risques. Encadrement strict nécessaire."

Pendant cette même réunion, leur infrastructure envoie 100 millions d'événements par jour vers une plateforme EDR cloud : chaque processus exécuté, chaque connexion réseau, chaque modification de fichier, chaque comportement utilisateur.

Ces données - qui constituent une cartographie en temps réel de l'organisation - sont analysées par des modèles d'apprentissage automatique opaques, enrichis par l'intelligence collective accumulée auprès de milliers d'organisations clientes.

Les vendor assessments se sont généralement limités à vérifier la localisation des données et la conformité RGPD. Mais qui a vraiment interrogé le fonctionnement des algorithmes, l'usage de l'intelligence dérivée, ou la dépendance systémique créée ? Ces questions plus profondes n'ont jamais fait partie du questionnaire standard.

L'adoption silencieuse : Ce que nous avons accepté sans questionner

Depuis 2004, l'IA s'est installée progressivement dans notre cybersécurité. D'abord dans le filtrage anti-spam, puis dans la détection comportementale à partir de 2013, enfin dans les plateformes cloud analysant aujourd'hui des volumes de données sans précédent - les leaders du marché revendiquent des centaines de milliards, voire des trillions d'événements quotidiens.

L'intelligence organisationnelle externalisée

Ce qui part réellement vers ces plateformes dépasse largement les simples logs techniques.

C'est d'abord la cartographie opérationnelle complète de l'organisation qui est transmise en continu : l'architecture exacte de l'infrastructure IT, les processus métiers réels montrant qui fait quoi, quand et comment, les interdépendances entre systèmes critiques, et surtout les patterns d'activité qui révèlent l'organisation réelle, souvent bien différente de l'organigramme officiel.

S'y ajoutent les vulnérabilités en temps réel : chaque système non patché, chaque configuration faible, chaque compte à privilèges, chaque chemin d'attaque potentiel. Une radiographie permanente de nos faiblesses.

Plus subtil encore, c'est le graphe complet de nos relations d'affaires qui transparaît : les connexions avec partenaires et fournisseurs, les volumes et patterns d'échanges révélant l'intensité des collaborations, les dépendances externes critiques, jusqu'aux indicateurs d'activité économique déductibles des flux de données.

Enfin, et c'est peut-être le plus sensible, des secrets peuvent être inférés des comportements : les projets R&D se devinent dans les patterns d'accès aux fichiers, les réorganisations transparaissent dans les changements de comportements, les fusions-acquisitions se trahissent par des activités inhabituelles, les crises internes se manifestent par des anomalies comportementales.

Cette externalisation massive d'intelligence stratégique s'est faite avec un questionnement minimal, focalisé sur la conformité réglementaire plutôt que sur les implications stratégiques. Le contrat implicite reste simple : "Protégez-nous efficacement, et nous acceptons les conditions nécessaires à cette protection."

La valeur de l'agrégation ignorée

Au niveau individuel, ces données permettent une protection améliorée. Au niveau agrégé, elles constituent potentiellement la plus grande base d'intelligence économique jamais constituée.

Cette agrégation massive offre théoriquement une cartographie économique mondiale en temps réel, révélant qui travaille avec qui, quelles industries sont vulnérables, quels secteurs sont sous tension. Elle pourrait permettre de détecter les crises avant qu'elles n'éclatent, d'identifier des zero-days avant leur divulgation publique, de comprendre les mouvements économiques par l'analyse des flux numériques.

Cette intelligence potentielle vaut des sommes considérables. Une poignée d'acteurs dominants - représentant ensemble plus de 70% du marché selon les analystes - la contrôlent.

Ce que nous exigeons maintenant

L'arrivée de l'IA générative fin 2022 a marqué un tournant dans notre approche de la gouvernance de l'IA. ChatGPT et les outils similaires ont suscité une attention particulière et des exigences nouvelles.

Pour ChatGPT et l'IA générative, nous demandons une transparence algorithmique complète : comment le modèle prend-il ses décisions, quelle explicabilité pouvons-nous obtenir, sur quelles données a-t-il été entraîné ? Nous exigeons un contrôle strict des données : où sont stockées nos conversations, qui peut y accéder, comment sont-elles utilisées pour l'entraînement ? Nous mettons en place une gouvernance stricte avec comités d'éthique IA, PSSI-IA détaillées, matrices de risques, processus de validation.

Pour l'IA de cybersécurité, dans la même entreprise et au même moment, nous acceptons une transparence limitée : modèles largement opaques, algorithmes propriétaires rarement audités, décisions automatisées peu expliquées. Nous tolérons une externalisation massive avec télémétrie intégrale vers des clouds majoritairement non-européens, offrant potentiellement à l'éditeur une intelligence économique globale sur l'ensemble du marché. Bien sûr, des vendor assessments existent, mais combien interrogent spécifiquement l'IA sous-jacente, son fonctionnement, ses données d'entraînement ? La gouvernance reste généralement limitée aux aspects contractuels et opérationnels, sans traiter les spécificités de l'IA : pas de comité de supervision dédié à ces aspects, pas d'analyse de risques sur l'intelligence externalisée, pas de processus de contrôle adapté.

Pourquoi ce paradoxe existe-t-il ?

La visibilité fait la différence

ChatGPT est visible. On voit les questions posées, les réponses obtenues. L'interaction est explicite, consciente. L'IA de cybersécurité est invisible. Elle analyse en permanence, en arrière-plan. On ne voit que ses alertes, pas son fonctionnement.

L'intelligence économique externalisée : L'impensé majeur

Nous avons des gouvernances pour les données personnelles (RGPD), la sécurité informatique (PSSI), les risques opérationnels (risk management). Mais aucune pour l'intelligence organisationnelle externalisée. Elle n'est simplement pas identifiée comme un risque distinct : trop technique pour la direction générale, trop stratégique pour les équipes opérationnelles, elle n'entre dans aucune case préétablie.

Le piège de la dépendance acceptée

Après 10 ans d'utilisation, la migration est devenue complexe et coûteuse. Le coût de sortie est significatif - les professionnels du secteur l'estiment entre plusieurs centaines de milliers et plusieurs millions d'euros selon la taille de l'organisation, avec des projets s'étalant sur 12 à 24 mois.

Au-delà du coût direct, il y a une asymétrie fondamentale : pendant ces années, nos données ont contribué à entraîner et améliorer les modèles globaux de l'éditeur. Cette contribution à l'intelligence collective - nos patterns spécifiques qui ont enrichi la détection pour tous - ne nous appartient plus. En migrant, nous perdons le bénéfice de cette intelligence collective à laquelle nous avons pourtant contribué, créant un handicap opérationnel durant la transition vers une solution potentiellement moins mature.

Plus fondamentalement, les alternatives européennes peinent à émerger, non pas tant par retard technologique que par désavantage structurel. Les acteurs dominants, avec leurs millions d'endpoints surveillés, accumulent une intelligence collective qu'aucun nouveau entrant ne peut répliquer rapidement. Chaque nouveau client enrichit leur capacité de détection, creusant l'écart avec les challengers. C'est un marché où la concentration crée un avantage cumulatif : sans masse critique de données, la détection reste limitée ; sans détection efficace, difficile d'attirer des clients ; sans clients, pas de données.

Nos compétences internes, entièrement formées sur ces outils spécifiques, ajoutent une dernière couche de friction. Nous avons créé une dépendance qui n'est pas seulement technique ou économique, mais systémique. La migration reste théoriquement possible, mais pratiquement, le rapport coût-bénéfice-risque et l'absence d'alternatives vraiment comparables la rendent difficile à justifier.

Les questions qui demeurent

Sur la nature de ce que nous externalisons

Ce n'est pas une question de finalité de traitement ou de base légale. La cybersécurité justifie effectivement la collecte. C'est une question d'intelligence stratégique. Savons-nous vraiment ce que représente l'agrégation de toutes ces données ? Qui peut en dériver quelle intelligence ? À quelles fins au-delà de la protection immédiate ?

Sur les standards à double vitesse

Pourquoi exigeons-nous pour ChatGPT ce que nous n'avons jamais demandé pour nos EDR ? Est-ce parce que l'un est nouveau et l'autre installé ? Parce que l'un est visible et l'autre invisible ? Ou parce que nous n'avons jamais vraiment compris ce que nous avions accepté ?

Sur l'articulation des réglementations

Comment l'AI Act va-t-il classifier ces systèmes ? La réponse n'est pas univoque. Un même EDR pourrait être considéré différemment selon qu'il protège une infrastructure critique ou une entreprise standard. Cette classification héritée de la sensibilité de ce qui est protégé soulève des questions : qui détermine le niveau de risque quand un même produit sert des contextes variés ? Comment un éditeur global gère-t-il des obligations potentiellement différentes selon l'usage de sa solution ?

Face à cette complexité réglementaire, l'ISO 42001 sur les systèmes de management de l'IA pourrait-elle devenir le standard de facto ? Contrairement aux réglementations, cette norme internationale offre un cadre uniforme, applicable mondialement. Mais combien d'éditeurs de solutions de cybersécurité sont aujourd'hui certifiés ou même engagés dans cette démarche ? Et si nous l'exigions dans nos appels d'offres, aurions-nous encore des répondants ?

Plus fondamentalement, cette accumulation réglementaire (AI Act, CRA) résoudra-t-elle vraiment notre paradoxe ? Ou risque-t-elle paradoxalement de renforcer l'oligopole existant ? Les coûts de conformité créent des barrières à l'entrée que seuls les acteurs établis peuvent facilement absorber. Les startups européennes que nous appelons de nos vœux pourraient se retrouver écrasées sous des exigences que les géants du marché, avec leurs équipes juridiques étoffées et leurs ressources importantes, intégreront sans difficulté majeure. La régulation, censée équilibrer le marché, pourrait finalement le verrouiller davantage au profit de ceux-là mêmes dont nous voulions réduire la dépendance.

Conclusion : Ce que le miroir révèle

Le paradoxe de l'IA en cybersécurité n'est pas une anomalie technique à corriger. C'est le révélateur d'une transformation que nous n'avons pas vue venir : nous avons externalisé notre capacité à nous protéger, et avec elle, notre intelligence organisationnelle complète.

Depuis plus de 10 ans, nous confions à des plateformes cloud l'intégralité de notre télémétrie, acceptant une transparence limitée et une agrégation massive de notre intelligence stratégique. Ces mêmes critères de transparence, de contrôle et de gouvernance que nous exigeons aujourd'hui pour ChatGPT, nous ne les avons jamais demandés pour les systèmes qui analysent en permanence les entrailles de nos organisations.

Ce paradoxe révèle moins une hypocrisie qu'un impensé collectif. L'IA visible nous inquiète. L'IA invisible nous protège. Nous scrutons l'une et ignorons l'autre.

L'enjeu n'est pas de revenir en arrière - la dépendance est systémique. Ni de tout accepter - l'intelligence externalisée pose des questions stratégiques majeures. L'enjeu est de reconnaître ce paradoxe pour ce qu'il est : le symptôme d'une gouvernance de l'IA qui distingue arbitrairement entre le nouveau et l'ancien, le visible et l'invisible.

Les vraies questions sont posées. Les réglementations arrivent, avec leurs promesses mais aussi leurs risques de consolider l'existant. L'oligopole se renforce. Notre intelligence organisationnelle continue de s'externaliser, 100 millions d'événements à la fois.

Nous pensions maîtriser l'IA. En réalité, nous découvrons qu'elle gouverne déjà notre sécurité - et nous commençons seulement à nous demander qui gouverne cette IA.

Initialement publié sur LinkedIn le 2025-10-02

More like this

Les faucons du numérique

Les faucons du numérique

Une vulnérabilité, c'est une faille à corriger. C'est ce qu'on nous apprend. Un rapport de l'Atlantic Council dit l'inverse : c'est un actif stratégique à exploiter. Et ses auteurs savent de quoi ils parlent — leurs financeurs fabriquent les armes qui en dépendent.
Lord of Cyber War

Lord of Cyber War

La dernière lettre de marque américaine remonte à 1812. Deux siècles plus tard, le Congrès envisage de ressusciter l'instrument. Pour lutter contre le cybercrime, dit-on. L'explication ne tient pas. Quelque chose d'autre se prépare.
Le dernier canal

Le dernier canal

« Le renseignement était authentique. C'était là toute sa beauté. » Le 7 janvier, les États-Unis se sont retirés de trois forums de coopération cyber. Le 9 janvier, la CISA a clôturé dix Emergency Directives. Moins une maturation qu'un arbitrage contraint.
I Am Altering the Deal

I Am Altering the Deal

On January 7, 2026, the United States withdrew from the Hybrid CoE, the Freedom Online Coalition and the GFCE. Three Western cyber forums abandoned. European dependencies remain intact.
I Am Altering the Deal

I Am Altering the Deal

Le 7 janvier 2026, les États-Unis ont quitté le Hybrid CoE, la Freedom Online Coalition et le GFCE. Trois forums cyber occidentaux abandonnés. Les dépendances européennes, elles, restent intactes.
Final report, 2026. Third officer reporting.

Final report, 2026. Third officer reporting.

600 millions de données exposées. 50 organisations majeures compromises. EDR en place, SOC opérationnel, conformité respectée. Elles ont quand même été compromises. Bilan 2025.