Cybersécurité et IA: vers une nouvelle approche centrée sur l'humain

L'adoption rapide de l'intelligence artificielle (IA) transforme en profondeur les processus métier et les modes de décision des entreprises. Si cette évolution offre des leviers importants de performance, elle introduit également des risques nouveaux, souvent insuffisamment appréhendés par les dispositifs de cybersécurité traditionnels.

En particulier, les organisations doivent désormais faire face à des menaces qui ne ciblent plus uniquement les systèmes d'information mais exploitent directement les mécanismes cognitifs des collaborateurs. Cette nouvelle réalité appelle une révision des approches classiques de sécurité, au profit des stratégies intégrant pleinement la dimension humaine.

Les systèmes d'IA, notamment générative, permettent aujourd'hui de produire des contenus réalistes en quelques secondes : voix synthétiques, vidéos truquées, recommandations personnalisées, etc. Cette capacité ouvre la voie à des usages malveillants particulièrement sophistiqués, qui peuvent contourner les barrières techniques traditionnelles en s'attaquant directement à la vigilance humaine.

Trois types de scénarios commencent à émerger dans les entreprises :

• L'usurpation par deepfake : un employé reçoit une demande urgente d'un dirigeant via visioconférence pour valider une transaction. Le visage, la voix et les gestes sont réalistes mais la demande provient d'un clone généré par IA;
• La désinformation ciblée : des documents apparemment fiables (analyses de marché, études sectorielles, avis d'experts) orientent les décideurs vers un choix stratégique biaisé, sur la base d'informations synthétiques trompeuses;
• La falsification réglementaire : un assistant IA utilisé par un service conformité propose des recommandations faussement argumentées, basées sur des réglementations inventées, induisant en erreur la prise de décision.

Ces exemples illustrent un phénomène de plus en plus étudié : le fossé de sécurité cognitive, soit le risque lié à la manipulation de la perception, du jugement et de la confiance humaine.

Notre expert vous décrypte les nouveaux enjeux de cybersécurité induits par l'IA, en mettant en lumière les leviers d'action pour replacer l'humain au cœur des dispositifs de défense.

Un enjeu de gouvernance: rééquilibrer l'humain et technique

Jusqu'à présent, la cybersécurité a principalement reposé sur des mesures techniques (firewalls, antivirus, surveillance des accès) et des formations générales de sensibilisation. Mais face aux risques cognitifs liés à l'IA, ces outils ne suffisent plus.

Les cadres de référence évoluent en ce sens. L'AI Risk Management Framework est un cadre développé par le National Institute of Standards and Technology (NIST) pour aider les organisations à évaluer, gérer et réduire les risques liés à l'utilisation de l'intelligence artificielle de manière fiable, transparente et centrée sur l'humain.

Par exemple, le NIST insiste sur l'importance d'une supervision humaine tout au long du cycle de vie des systèmes d'IA. Il invite à articuler les contrôles techniques avec une gouvernance éthique et une responsabilisation renforcée des utilisateurs.

De nombreuses organisations s'interrogent aujourd'hui sur la meilleure façon d'intégrer ces considérations dans leur stratégie de cybersécurité. 5 leviers prioritaires ont été identifiés pour y parvenir :

1. Renforcer la sensibilisation cognitive
   Il s'agit de compléter les formations classiques par des modules spécifiquement orientés sur les risques liés à l'IA : détection de contenus synthétiques, signaux faibles de manipulation, « hallucinations d'autorité » générées par l'IA. Cette montée en compétence permet de doter les collaborateurs de réflexes nouveaux face à des menaces plus subtiles.
   
2. Mettre en place des protocoles de vérifications
   Face aux contenus ou recommandations issus de systèmes d'IA, il est essentiel d'instituer des points de contrôles : double validation humaine, traçabilité des décisions, procédures d'escalade en cas de doute. Ces garde-fous doivent être proportionnés aux risques et adaptés à chaque contexte métier.
   
3. Encadrer les usages de l'IA dans les processus internes
   Les politiques internes doivent clarifier les conditions d'usage des outils d'IA (notamment générative), les types d'informations pouvant y transiter et les responsabilités associées. Cela permet de sécuriser les pratiques sans freiner l'innovation.
   
4. Intégrer les risques cognitifs dans la cartographie des risques
   Les points de contact entre IA et processus critiques (finance, achats, RH, conformité, etc.) doivent faire l'objet d'une évaluation spécifique. L'enjeu est d'identifier les décisions sensibles potentiellement influençables par IA et de définir des dispositifs de mitigation adaptés.
   
5. Préparer les équipes à réagir à des incidents IA
   Les cellules de réponse aux incidents doivent pouvoir identifier, qualifier et traiter des attaques d'un nouveau genre : deepfakes, fuites d'information via IA, désinformation interne, etc. Des exercices réguliers (type « table-top ») permettent de renforcer leur réactivité et leur coordination.
   

Un enjeu de formation pour les équipes

La transformation des menaces impose une montée en compétence continue des équipes cybersécurité. Au-delà de la veille technologique, il devient nécessaire de se former aux mécaniques de manipulation cognitive, à l'analyse comportementale et aux nouvelles formes d'ingénierie sociale permise par l'IA.

Cette montée en compétence passe par :

• Des formation spécialisées sur les attaques IA (deepfakes, contexte biaisé, génération trompeuse de contenu);
• Des exercices immersifs reproduisant des scénarios réalistes;
• Une veille interdisciplinaire intégrant les apports des sciences cognitives, de l'éthique et du droit.
  

Un enjeu d'acculturation à l'échelle de l'entreprise

Enfin, l'acculturation à ces nouveaux risques doit concerner l'ensemble de l'entreprise, y compris les fonctions RH. Dans les environnements sensibles (finance, juridique, direction générale), les processus de recrutement peuvent intégrer une évaluation des capacités de discernement face à des contenus générés par l'IA.

En parallèle, l'affichage clair des attentes en matière de cybersécurité dès l'intégration permet de poser un cadre partagé. Cette démarche contribue à diffuser une culture proactive et responsable autour des usages de l'IA.

Les entreprises doivent faire de l'humain un acteur clé de la cybersécurité IA. La transformation numérique accélérée par l'IA impose une redéfinition des priorités en matière de cybersécurité. Les organisations les plus résilientes seront celles qui sauront combiner innovation technologique et renforcement des capacités humaines en traitant la sécurité cognitive comme un axe stratégique à part entière.

À travers l'adoption de bonnes pratiques, la mise en place de formations ciblées et l'adaptation des processus internes, il est possible de construire une approche intégrée de la cybersécurité, où l'humain n'est plus un facteur de risque passif, mais un acteur engagé de la défense de l'entreprise face aux menaces de demain.