artificial intelligence ai robot hands

Deux façons dont le battage médiatique de l’IA aggrave la crise des compétences en cybersécurité

Lucas Morel

Devrait faciliter les charges de travail des équipes de sécurité, l’IA ajoute une pression, les forçant à gouverner et à l’adopter tout en gérant les responsabilités existantes, souvent sans formation appropriée.

L’IA était censée rendre les équipes de sécurité plus efficaces, mais à la place, cela rend leur travail plus difficile. Les professionnels de la sécurité sont tirés dans deux directions: on s’attend à ce qu’ils régissent l’utilisation de l’IA de leur organisation tout en déterminant comment intégrer la technologie dans leurs propres flux de travail, souvent sans formation appropriée. Le résultat? Des équipes trop étendues, une pression de montage et un écart de compétences en constante évolution.

Cette adoption, cependant, ajoute une nouvelle couche de responsabilité pour les professionnels de la cybersécurité, qui doivent superviser la gouvernance de l’IA lors de l’utilisation de l’IA elles-mêmes. «En tant que fonction de sécurité, où des choses comme la rentabilité, la productivité des opérations, la continuité opérationnelle et les pénuries de talents ont déjà un impact, il est également tout à fait approprié que ces équipes regardent:« Comment puis-je utiliser l’IA à partir d’un avantage de la fonction de sécurité, qu’il s’agisse d’améliorer l’efficacité de l’opération, la rentabilité ou la rentabilité ou la possibilité de faire plus d’opportunité de faire plus avec le même niveau de ressources », explique Addiscott.

Le fardeau de sécurité qui vient avec l’IA

Un défi clé est que de nombreux professionnels de la cybersécurité devraient déployer et superviser les outils d’IA, souvent sans formation formelle. Un rapport O’Reilly, les tendances technologiques de 2025, souligne à quel point l’intérêt pour les compétences liées à l’IA augmente. De 2023 à 2024, l’intérêt pour l’intelligence artificielle a augmenté de 190%, tandis que l’IA génératrice a grimpé en flèche de 289%. Mais l’augmentation la plus révélatrice a été les principes de l’IA, en hausse de 386%, et l’ingénierie rapide, qui a bondi de 456%.

«C’est bien bien de vouloir adopter les ambitions de l’IA de l’organisation, mais si personne dans l’équipe ne comprend des opérations de modèle de grande langue ou une ingénierie rapide… alors ça va être vraiment difficile», explique Addiscott. «Votre mélange de capacités et de capacités doit changer, ce qui a un impact fondamental sur votre plan de main-d’œuvre stratégique… et tout un tas d’autres impacts en aval auxquels nous devons penser d’un point de vue opérationnel stratégique en matière de sécurité.»

Anil Appayanna, CISO chez India International Insurance et fondatrice de Nexiscyber, est d’accord, notant que les organisations se précipitent souvent pour mettre en œuvre l’IA sans s’assurer que leurs équipes sont préparées. «Il y a une peur de manquer parce que tout le monde dans le monde aujourd’hui parle de l’IA», dit-il. « Franchement, si je parle lors d’un séminaire et que je dis aux gens que je fais cela et que je fais ça, il y a beaucoup de pression sur les autres pour retourner dans leurs entreprises et dire: » Hé, ils l’utilisent, pourquoi ne pouvons-nous pas l’utiliser?  »

«Mais la préparation est très importante», explique Appayanna. «Il ne s’agit pas de simplement mettre les choses en place, mais comprenez-vous où vous vous dirigez? Qu’est-ce que vous recherchez? Et puis, avez-vous le bon type de compétences et de personnes en place pour la mettre en œuvre?»

Au-delà des compétences techniques, l’IA nécessite également un changement de mentalité. Au lieu de faire des recommandations aveuglément de l’IA, Appayanna insiste sur le fait que la surveillance humaine est maintenue pour vérifier tout résultat généré par l’AI.

«Je n’automatiserai jamais ou trop sur l’IA», dit-il.

«Il devra toujours y avoir une interface humaine quelque part là-bas. Cela pourrait être aussi simple que ce« voir, oublier, pas de problème », mais je ne veux pas que cela devienne` `simplement parce que AI m’a dit que c’est une chose, je devrais avoir à croire sur parole». Vous devez faire inclure une sorte d’intervention humaine, pour regarder ce qui se passe exactement. »

Mais avec tout le battage médiatique, un certain niveau de désillusion est inévitable, le rapport O’Reilly avertit que de nombreuses organisations adoptant l’IA peuvent ne pas comprendre pleinement ses capacités ou ses limites, en particulier dans les domaines émergents comme l’ingénierie rapide. Alors que les recherches d’ingénierie rapide ont augmenté fortement en 2023, le rapport a indiqué les premiers signes de déclin au début de 2024. Il se demande également s’il s’agit simplement de bruit ou de la première indication de la fatigue de l’IA, ce qui suggère que si l’excitation autour de l’ingénierie rapide s’estompe, un enthousiasme plus large de l’apprentissage automatique et de l’IA pourrait suivre.

Appayanna compare la précipitation à adopter l’IA à la vague de transformation numérique de la dernière décennie lorsque les entreprises se sont senties pressées de passer au cloud, d’automatiser les flux de travail et d’embrasser les technologies numériques, mais beaucoup n’ont pas examiné si ces changements s’alignaient réellement avec les besoins commerciaux.

« La question est: oui, vous pouvez introduire l’IA, mais à quel contexte? Vous devez définir le contexte et vous assurer de répondre aux besoins de votre entreprise. Ce n’est qu’alors que l’IA peut apporter de la valeur. »

L’approche personnelle d’Appayanna en matière d’IA a été méthodique, où il explique comment il a introduit l’IA à son équipe pour gérer les tâches répétitives et de bas niveau avant d’étendre progressivement son utilisation dans des domaines plus complexes comme une équipe rouge automatisée. « Si je présente une technologie d’IA, la première chose que je regarde est: » Ai-je les bons ensembles de compétences et que les gens de mon équipe ont même les compétences pour le regarder?  » Parce que je m’assure toujours que la formation est avant tout. »

Les attaquants utilisent l’IA, mais les défenseurs sont-ils prêts?

L’IA n’augmente pas simplement les charges de travail; Cela augmente également les attentes. De nombreuses équipes de sécurité sont déjà étirées et la poussée pour intégrer l’IA ajoute une pression supplémentaire. « Si vous avez une équipe très maigre qui a à peine assez de temps pour regarder au-dessus du parapet tel qu’il est et vous êtes déjà derrière le huit balles en ce qui concerne les affaires comme d’habitude, et avec l’IA, c’est un défi », souligne Addiscott.

Un autre facteur critique dans la discussion sur la pénurie de skills de l’IA est que les attaquants tirent également parti de l’IA, mettant les défenseurs dans un désavantage encore plus grand. Les cybercriminels utilisent l’IA pour générer des e-mails de phishing plus convaincants, automatiser la reconnaissance et développer des logiciels malveillants qui peuvent échapper à la détection. Pendant ce temps, les équipes de sécurité ont du mal à suivre.

«L’IA exacerbe ce qui se passe déjà à un rythme accéléré», explique Rona Spiegel, conseillère de cyber-risque chez l’alite et l’ancien chef de la gouvernance du cloud chez Wells Fargo et Cisco. «En cybersécurité, les défenseurs doivent avoir raison tout le temps, tandis que les attaquants ne doivent avoir raison.

Sans une formation appropriée sur l’IA, les professionnels de la sécurité peuvent même ne pas se rendre compte qu’ils ont affaire à des menaces générées par l’IA. «Nous avons un environnement de menace qui veut tirer parti (IA) au nième degré… généralement, (les attaquants) ont beaucoup plus de temps et d’argent à leurs mains pour pouvoir jouer avec ce genre de choses», explique Addiscott.

L’IA peut-elle réparer la pénurie de compétences?

Cependant, tout le monde ne considère pas l’IA comme une force purement négative dans le paysage des talents de cybersécurité. Spiegel reconnaît la complexité de l’adoption de l’IA, mais soutient que la question concerne davantage la façon dont le leadership se fait pour acquérir. Elle suggère que les équipes de cybersécurité ont besoin d’un ensemble diversifié de compétences et d’expériences bien équilibrées.

«Je ne pense pas que nous ayons une pénurie de compétences en cybersécurité – je pense que nous avons une pénurie de compréhension du leadership», fait valoir Spiegel. «Les dirigeants sont pressés d’adopter l’IA à la vitesse de la foudre, et ils se concentrent sur l’efficacité qui peut être acquise grâce à l’automatisation de l’IA, mais ils regardent comment ils font partie d’une vue très étroite de ce qu’est la cybersécurité.»

Elle pense que l’IA pourrait finalement aider à atténuer une partie de la pénurie de compétences.

«Les CISO devront être plus tactiques dans leur approche», explique-t-elle. «Il y a tellement de pression pour leur automatiser, automatiser, automatiser. Je pense qu’il serait préférable qu’ils puissent s’associer à la transfonction et se concentrer sur des choses comme la politique et exhorter l’unification et la simplification de la façon dont les politiques sont adaptées… et assurez-vous de la façon dont nous éduquons l’environnement entier, de l’ensemble de la main-d’œuvre, pas seulement de la cybersécurité.»

Appayanna fait écho à ce sentiment, arguant que lorsqu’il est utilisé correctement, l’IA peut atténuer les pénuries de talents plutôt que de les exacerber. Il pense que l’IA libère des professionnels de la sécurité pour développer des compétences de niveau supérieur plutôt que d’être coincés dans des tâches banales et répétitives.

«Si mes analystes de sécurité L1 passent deux ou trois heures à regarder les journaux, ce que mon IA peut faire en cinq minutes, je veux y utiliser AI – pas en remplacement, mais en augmentant», explique-t-il.

Malgré le potentiel de l’IA, la réalité à court terme reste difficile. Addiscott estime que l’IA se situe au sommet des responsabilités de sécurité existantes plutôt que de les remplacer dans un avenir prévisible. «Nous avons toujours besoin de surveillance de la sécurité, de sécurité des applications, de sécurité des infrastructures, de sécurité du cloud, de sécurité des politiques, de sensibilisation à la sécurité – toutes ces choses sont toujours requises», dit-il.

« Ce qui va se passer à court et moyen terme, l’IA sera assise sur toutes ces choses. Et jusqu’à ce que nous commencions à voir l’incorporation – ce qui va probablement prendre un changement générationnel – cela va être longtemps avant que nous puissions avec plaisir de regarder en arrière et de réfléchir et de dire: » Je pense que nous avons atterri sur les meilleures pratiques « . »

Appayanna met en garde contre l’idée fausse selon laquelle l’IA seule peut résoudre les défis de sécurité. Il pense que les organisations qui investissent dans une formation structurée d’IA et une mise en œuvre réfléchie seront mieux placées pour réussir.

«Les outils d’IA ne peuvent automatiser. Ils peuvent vous aider; ils peuvent vous soutenir, mais ils ne remplaceront jamais une expertise humaine et les organisations doivent gérer leurs attentes par leurs conseils ou leurs équipes que nous reconnaissons l’IA comme un outil augmenté, mais pas en remplacement.»

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission