Cybersécurité augmentée

IA agentique : pourquoi les CISO veulent reprendre l'initiative avant que les usages ne les dépassent

Les experts en sécurité numérique sont pris dans une course effrénée pour adapter leurs pratiques à l’émergence de l’IA agentique. L’Excellence Sprint Cyber d’Alliancy organisé avec SCC, a permis d’identifier leurs leviers prioritaires.

Publié et mis à jour le 7 juillet 20266 min de lecture
IA agentique : pourquoi les CISO veulent reprendre l'initiative avant que les usages ne les dépassent

Les systèmes d'intelligence artificielle ne se contentent plus de produire du texte ou d'assister les utilisateurs. Avec l'émergence de l’IA agentique, ils commencent à agir, à enchaîner des tâches, à prendre des décisions intermédiaires et à interagir avec d'autres applications. Une évolution qui modifie profondément les hypothèses sur lesquelles les chief information security officers (CISO) ont construit les dispositifs de protection de l’information de leurs organisations.

C'est précisément autour de ces nouveaux enjeux qu'une vingtaine de CISO et de responsables cybersécurité se sont réunis dans les locaux d'Alliancy le 24 juin dernier, à l'occasion d'un Excellence Sprint Cyber, organisé en partenariat avec SCC. Animée par Michel Juvin (Ecosystem Advisor Alliancy), Marc Tournier (CISO d'Eramet), Stéphane Calé (administrateur du Clusif et ambassadeur ENISA) et Sylvain Fievet (CEO d'Alliancy), la soirée a permis une mise en perspective des évolutions récentes, mais aussi, et surtout, un temps de travail en ateliers d’intelligence collective.

Le ton a été donné dès l’introduction : les directions cyber ne peuvent plus raisonner uniquement à partir des menaces observées par le passé et aujourd'hui. Elles doivent anticiper celles que des systèmes autonomes pourraient rendre possibles demain. « Jusqu'à présent, nous cherchions surtout à comprendre ce que l'IA pouvait faire pour nous défendre. Désormais, il faut aussi réfléchir à la manière dont elle peut être contournée ou instrumentalisée contre nous », résume un participant à la soirée.

De nouvelles technologies... mais surtout de nouvelles responsabilités

Les différents ateliers ont mis en perspective des angles complémentaires. Une partie des participants s’est ainsi naturellement intéressée aux solutions de sécurité elles-mêmes. Alors que les éditeurs multiplient les annonces autour d'outils « augmentés par l'IA », capables de qualifier automatiquement des alertes, d'assister les analystes ou d'accélérer les investigations, quelles promesses sont réellement tenues ?

Toutefois, la plupart des invités ont convergé en estimant que la technologie elle-même n’est pas le cœur du sujet des remises en question en cours. « Acheter une solution n'a jamais suffi, même par le passé. Avec l'IA, c'est seulement encore un peu plus vrai. Si les processus ne suivent pas, on ne fait qu'automatiser de mauvaises pratiques », analyse un responsable cybersécurité.

Plusieurs participants ont ainsi expliqué expérimenter leurs propres mécanismes d'orchestration, combinant différents outils d'analyse tout en conservant une validation humaine avant toute action sensible. Le consensus est clair : les gains de productivité pour les équipes SSI existent, mais l'autonomie, qui est parfois un argument marketing fort, reste prématurée, d’autant plus dans des environnements critiques.

« Sur un marché qui bouge beaucoup et change à une vitesse assez étourdissante, il ne faut de toute façon pas attendre de trouver une sorte de "produit miracle" », a résumé Laure Oddos pour SCC France. À ce titre, elle a insisté sur le positionnement de l'ESN : partir des besoins du client avant de choisir les technologies, sans privilégier un éditeur en particulier. L'enjeu est en effet d'assembler la solution globale la plus adaptée plutôt que de promouvoir une plateforme en particulier. Avec une vigilance particulière de la part des experts de l'intégrateur, qui estiment qu'il est très important de tester au maximum les outils et de mettre en évidence leurs limites, au-delà des promesses émergentes.

Les fondamentaux restent... mais changent d'échelle

Au fil des discussions, un autre constat est revenu régulièrement : l'IA ne remet pas en cause les fondamentaux de la cybersécurité, mais elle appelle, en revanche, à beaucoup plus d’exigence dans leur mise en œuvre. Réduction de la surface d'exposition, contrôle des accès, revue de code, journalisation, formation des utilisateurs... toutes ces pratiques restent indispensables. Mais elles doivent désormais intégrer des systèmes capables de produire eux-mêmes du code, de manipuler des données ou de dialoguer avec plusieurs applications.

Un participant identifie ainsi une nuance à apporter au récit de la « vague d’attaques IA » : « On ne bloquera jamais toutes les attaques amenées par l’IA. En revanche, on peut réduire énormément notre surface d'exposition si on accepte de remettre en question nos habitudes. » Cette évolution concerne également les développeurs, désormais largement équipés d'assistants de génération de code. « Notre inquiétude n'est pas seulement la faille involontaire. C'est aussi l'introduction de code produit par une IA sans que personne n'en maîtrise réellement le fonctionnement », souligne un autre CISO.

La confiance dans la supply chain devient un sujet de gouvernance

Les débats ont également abordé un autre angle complexe : celui de la relation avec les fournisseurs et les sous-traitants. Comment évaluer le niveau de maîtrise d'un prestataire qui déploie lui-même des agents IA ? Quelles garanties demander ? Quels contrôles mettre en place ?

Pour plusieurs participants, les questionnaires classiques d'évaluation des fournisseurs doivent aujourd’hui rapidement évoluer afin d'intégrer ces nouveaux usages. Mais une autre réalité apparaît également : une partie du tissu économique ne dispose pas encore des moyens nécessaires pour suivre ce rythme et ces nouvelles exigences. « Si nos partenaires les plus critiques ne montent pas en maturité avec nous, c'est toute la chaîne qui restera vulnérable », souligne malgré tout un participant.

Dans un contexte où la réglementation, avec NIS2, a remis le sujet au cœur des préoccupations depuis plusieurs années, plusieurs voix plaident ainsi pour des logiques d'accompagnement plutôt que pour un simple renforcement des exigences contractuelles. Le sujet est d’autant plus clé que de nombreuses PME spécialisées occupent des positions stratégiques dans certaines filières industrielles et constituent donc des points de fragilité notables.

Les équipes cyber devront apprendre à piloter des agents

Un atelier s’est pris au jeu d’aller sur le terrain de discussions plus prospectives. L'IA agentique modifiera-t-elle les effectifs des équipes cyber ? Les avis divergent, mais tous s'accordent sur un point : les métiers évolueront rapidement. Pour l’un des invités, la réalité des compétences attendues évolue vite : « Nous ne cherchons plus seulement des experts techniques. Nous cherchons des personnes capables de piloter des IA, d'en comprendre les limites et de garder le contrôle. » C’est donc une toute autre posture qui devra se diffuser auprès des experts cyber.

Plusieurs organisations font d’ailleurs déjà évoluer leurs critères de recrutement. La maîtrise d’outils d'IA variés devient progressivement un prérequis pour certains profils techniques. Mais d'autres participants expliquent, au contraire, élargir leurs recrutements à des profils issus de la géopolitique, des sciences politiques ou de la gouvernance, afin d'apporter une lecture plus globale des nouveaux risques. Dans tous les cas, il est clair que l'IA ne supprimera probablement pas le besoin de compétences humaines : elle déplacera ce qui en fait la valeur. « Le vrai sujet n'est pas de remplacer les analystes. C'est de faire évoluer leur rôle vers davantage de supervision, de gouvernance et d'analyse du risque », synthétise un CISO.

Les inscriptions pour participer au prochain Excellence Sprint Cyber d'Alliancy (17 novembre 2026) sont ouvertes !
Rejoignez-nous pour venir co-construire les 10 actions prioritaires autour de notre thème : "Un nouveau leadership cyber : comment mieux accompagner les métiers face aux risques IA ?"