L’IA a été un véritable Gamechanger pour la productivité et l’automatisation, mais à mesure que la technologie évolue, les attentes qui y sont placées augmentent rapidement – en particulier dans le domaine de la cybersécurité.
Des salles de conférence aux équipes SOC, la promesse est convaincante: l’IA réduira les faux positifs, accélérera la détection, automatisera les réponses et les analystes fatigués sans relâche. Mais bien que ces capacités ne soient certainement pas hors de portée, l’IA n’est pas la solution de «plug-and-play» que certains pourraient espérer. Sans les bonnes données, le contexte et la surveillance, l’objectif offert par l’IA est au mieux flou.
Selon un rapport de 2024 d’IBM, environ les deux tiers des organisations disent qu’ils déploient maintenant des outils d’IA et de l’automatisation dans leur environnement SOC. Cependant, une enquête en 2025 de Darktrace révèle que moins de la moitié (42%) des CISO ont confiance dans leur déploiement d’IA et comprennent pleinement comment l’IA s’intègre dans leur pile de sécurité. Cet écart entre le déploiement de l’IA et la compréhension de la façon d’extraire de la valeur n’est pas durable à long terme.
Des toiles d’interconnectivité tentaculaires
Les réseaux étaient petits, contenus et relativement faciles à protéger – souvent confinés à un environnement de bureau ou de cloud computing unique. Aujourd’hui, ce sont des réseaux étendus d’interconnectivité couvrant plusieurs nuages et dispositifs de point de terminaison. En d’autres termes, la cybersécurité est devenue plus complexe.
Il y a une hypothèse croissante selon laquelle l’IA peut faire la lumière sur cette complexité – que si vous jetez suffisamment de données sur un modèle, il séparera le signal du bruit, même sans intégration profonde dans votre environnement. Mais les menaces n’existent pas dans le vide. Ils se déplacent dans les systèmes, exploitent les angles morts et s’adaptent aux modèles. Et à moins qu’un système d’IA ne comprenne la base opérationnelle – ce qui est normal, ce qui est sanctionné, ce qui est vraiment anormal – c’est probablement juste la meilleure. Parfois, il suppose correctement, mais quand ce n’est pas le cas, les conséquences peuvent être coûteuses.
Rien de tout cela ne veut dire que l’IA n’est pas une force pour de bon. C’est un outil incroyablement puissant lorsqu’il est exercé de la bonne manière, mais les entreprises doivent se rythmer et créer le bon environnement avant de pouvoir vraiment tenir ses promesses.
Les entreprises sont-elles préparées pour l’IA?
L’excitation autour de l’IA n’est pas nouvelle ou exclusive à la cybersécurité. Selon le plus récent cycle de battage médiatique de Gartner, les services génératifs de l’IA et de l’IA basés sur le cloud sont actuellement dans la phase «pic des attentes gonflées». Ce qui vient ensuite, avec toute nouvelle technologie, c’est le «creux de la désillusion» – c’est là que le battage médiatique rencontre la réalité et les industries se rendent compte que certaines leçons doivent être apprises avant que la technologie puisse monter dans la dernière partie du cycle, «le plateau de la productivité».
C’est le modèle même dans lequel les équipes de sécurité se trouvent maintenant avec l’IA. Les déploiements précoces ont révélé à quel point l’IA peut être fragile lorsqu’il est retiré des conditions contrôlées des tests en laboratoire. Les modèles sophistiqués qui semblaient impeccables dans les démos peuvent vaciller dans le contexte complexe et imprévisible d’un environnement d’entreprise en direct.
Les faux positifs sont un problème. Les analystes connaissent la fatigue des alertes de chasse qui ne mènent nulle part – et l’IA, lorsqu’elles sont mal appliquées, peuvent en fait amplifier ce bruit plutôt que de la réduire. Mais le plus grand risque est ce que l’IA manque. Les algorithmes formés sur les données de menace généralisés pourraient complètement ignorer les anomalies subtiles et spécifiques à l’organisation, telles qu’un mouvement latéral qui se déplaçait sur un outil interne rarement utilisé, ou l’exfiltration de données masquée par une intégration tierce légitime. Ce sont les types de menaces qui se déroulent lorsque les efforts de détection manquent de contexte environnemental spécifique.
Une autre cause d’hésitation est que de nombreuses solutions alimentées par l’IA fonctionnent comme des boîtes noires, qui vont à l’encontre du grain de l’open source et de la réaction des menaces axée sur la communauté vers laquelle l’industrie s’oriente à juste titre. Leur logique n’est pas exposée, leurs données de formation ne sont pas transparentes et leurs résultats sont souvent invérifiables. Pour les CISO, c’est une proposition risquée.
Il est assez difficile d’expliquer les risques de cybersécurité au conseil d’administration; Essayez d’expliquer pourquoi un modèle opaque a signalé – ou n’a pas réussi à signaler – un incident critique. L’efficacité de l’IA est une chose, mais la confiance dans l’IA et ses processus est quelque chose qui doit être planifié et cultivé au fil du temps.
Mettre les choses en contexte
En cybersécurité, le contexte est tout. L’IA pourrait détecter une anomalie, mais peut-elle dire si cette anomalie est bénigne, malveillante ou même attendue? Cela nécessite plus que la reconnaissance des modèles. Il nécessite une compréhension approfondie des lignes de base du système, du comportement des utilisateurs, de la topologie du réseau et des rythmes opérationnels.
Sans cette fondation, les outils d’IA sont inévitablement sujets à une mauvaise interprétation: signaler les scripts administratifs de routine comme des menaces, ou pire, surplombant des indicateurs subtils de compromis qui ne sont pas conformes aux modèles d’attaque connus. Cela crée un travail plus trivial pour les équipes de sécurité, car il leur est de comprendre ce qui est réel et ce qui ne l’est pas.
C’est là que la visibilité du réseau entre en jeu. L’IA a besoin de télémétrie à partir de chaque couche de l’environnement: points de terminaison, serveurs, charges de travail cloud, flux d’authentification, trafic réseau, etc. Et il a besoin que ces données soient corrélées, pas cloisonnées. Une alerte d’un point de terminaison n’a de sens que lorsqu’elle est vue aux côtés de ce qui se passe à travers le système.
Une connexion d’un emplacement inhabituel peut être suspecte, à moins qu’elle ne provienne d’une voie de voyage connue pour un cadre supérieur ou une nouvelle location à distance basée dans un autre fuseau horaire. L’IA ne peut pas porter ces jugements seuls. Sans contexte unifié, même les algorithmes les plus avancés sont deviner. Et en cybersécurité, deviner est toujours une responsabilité.
Le cas d’unification
Si l’IA veut jouer un rôle significatif dans la cybersécurité, il a d’abord besoin d’une fondation en laquelle il peut faire confiance, tout comme les gens qui s’y fient. Cela commence par la visibilité, mais cela s’étend à l’architecture. Outils fragmentés avec des vues partielles et une logique d’alerte de source fermée et fermée n’en entourant que les efforts de cybersécurité.
Ce dont les CISO ont besoin, c’est d’une couche cohérente de détection et de réponse où la télémétrie est unifiée, la logique est transparente et l’automatisation est étroitement alignée sur le contexte opérationnel. C’est là que la convergence architecturale – par exemple, la fusion de la visibilité au niveau SIEM avec les capacités d’orchestration de la détection et de la réponse prolongées (XDR) – devient critique. Cette ligne de base transformera l’IA en un multiplicateur de force pour les équipes de sécurité lorsqu’elle est correctement déployée.
Il est tout aussi important de l’explication. Si un système d’IA signale une menace potentielle, les équipes de sécurité doivent comprendre pourquoi. Non seulement pour valider l’alerte, mais pour en tirer des leçons, adapter les processus et communiquer les risques pour les dirigeants et les parties prenantes. Les modèles Black-Box peuvent sembler impressionnants, mais en sécurité, l’opacité est un vecteur de menace en soi.
Les cisos n’ont pas besoin de magie; Ils ont besoin de clarté. Et les meilleures implémentations d’IA sont celles qui mettent les humains dans la boucle – améliorer la prise de décision, accélérer le triage et faire surface les idées qui comptent le plus sans les équipes de noyade dans le bruit.
Nous avons compilé une liste des meilleurs logiciels de gestion de l’identité.
Cet article a été produit dans le cadre de la chaîne Insights Expert de Techradarpro où nous présentons les meilleurs esprits les plus brillants de l’industrie de la technologie aujourd’hui. Les opinions exprimées ici sont celles de l’auteur et ne sont pas nécessairement celles de Techradarpro ou Future PLC. Si vous êtes intéressé à contribuer en savoir plus ici:
