Les systèmes d’IA autonomes remodèlent la sécurité des entreprises, créant une expansion des risques sans précédent, au moment même où les dirigeants d’entreprise pourraient enfin être prêts à payer pour des défenses plus solides.
Depuis près de deux décennies, les responsables de la cybersécurité sont confrontés à la même réalité : aussi catastrophique que soit la dernière violation, attaque de ransomware ou intrusion d’un État-nation, les dépenses de sécurité ont souvent du mal à rivaliser avec toutes les autres priorités commerciales.
L’IA pourrait enfin changer cette équation.
L’émergence rapide de systèmes d’IA d’avant-garde capables de cyber-opérations autonomes – combinée à la diffusion de l’IA agentique au sein des entreprises – a créé quelque chose que les responsables de la sécurité apprécient rarement : l’urgence au niveau du conseil d’administration.
Cette urgence était évidente lors du récent SANS AI Cyber Summit à Washington, DC, où l’ancienne conseillère adjointe à la sécurité nationale, Anne Neuberger, a exhorté les responsables de la sécurité à tirer profit du moment présent.
« Nous vivons un moment dans le temps où la connaissance de la manière dont les LLM permettent les attaques… (signifie) changeons la culture, opérons avec rapidité », a déclaré Neuberger lors d’un discours d’ouverture.
Ses commentaires interviennent quelques jours seulement après que Bain & Co. a averti que de nombreuses organisations pourraient devoir doubler, voire tripler leurs investissements en cybersécurité pour se préparer aux défis opérationnels créés par les systèmes d’IA avancés tels que Mythos d’Anthropic.
« Au cours des deux dernières années, nous avons vu ces budgets consacrer l’entreprise et l’informatique à adopter l’IA… pour stimuler les activités génératrices de revenus », a-t-il noté. « À cause de Mythos et de Glasswing, on s’est rendu compte que nous n’avions pas activé l’IA autant que nécessaire en matière de sécurité. » En conséquence, « nous constatons une adhésion du haut vers le bas pour dire : « Écoutez, nous devons augmenter une partie du budget afin de pouvoir utiliser l’IA dans le cadre de la sécurité en réponse aux menaces de l’IA ».
Pour de nombreux RSSI, la convergence ressemble moins à un nouveau cycle de battage médiatique qu’à un changement structurel, d’autant plus que les organisations déploient rapidement des systèmes autonomes que les équipes de sécurité comprennent à peine comment gouverner.
Comment l’IA accroît les risques pour les entreprises
Avec l’adoption rapide des agents d’IA, les organisations créent une nouvelle couche opérationnelle au sein de leur entreprise. Ces systèmes sont de plus en plus capables de prendre des décisions, d’initier des actions, d’accéder à des systèmes sensibles et d’interagir avec d’autres logiciels à la vitesse d’une machine avec une surveillance humaine minimale.
« J’ai un seul agent potentiel qui peut interagir avec les 50 interfaces disponibles dans l’entreprise en une fraction de seconde », dit-il. « Maintenant, nous devons réfléchir à l’ampleur et à l’ampleur de sa prolifération. »
« Si nous disons que chaque personne dans l’entreprise dispose désormais de trois agents, nous sommes désormais trois fois plus grands dans le paysage que nous devons sécuriser », ajoute Brantley.
Les architectures de sécurité existantes ont été conçues pour des systèmes pilotés par des humains, et non pour des agents autonomes fonctionnant en permanence à la vitesse d’une machine, obligeant les organisations à repenser la gestion des identités, la surveillance, les contrôles comportementaux et les limites autour des systèmes d’IA.
Les responsables de la sécurité affirment que l’un des plus grands défis émergents est la visibilité. De nombreuses organisations manquent encore de moyens fiables pour surveiller ce à quoi les agents d’IA accèdent, les décisions qu’ils prennent, les systèmes avec lesquels ils interagissent et si ces actions restent alignées sur la politique de l’entreprise au fil du temps.
Contrairement aux logiciels traditionnels, les agents autonomes peuvent enchaîner dynamiquement des actions sur plusieurs systèmes d’entreprise, ce qui rend beaucoup plus difficile pour les équipes de sécurité de prédire le comportement ou de restreindre l’accès à l’aide de modèles de privilèges conventionnels.
Lai affirme que les organisations reconnaissent de plus en plus que les agents d’IA nécessitent les mêmes contrôles d’identité, de journalisation, d’audit et de comportement que ceux appliqués historiquement aux employés et aux utilisateurs privilégiés.
Dans le même temps, l’IA accélère les risques opérationnels ailleurs au sein des entreprises. Les systèmes de codage assistés par l’IA, par exemple, permettent aux développeurs de générer rapidement d’énormes quantités de logiciels, mais souvent sans en comprendre pleinement les implications en matière de sécurité.
Le risque s’accélère plus vite que les équipes de sécurité ne peuvent s’adapter
Les responsables de la sécurité affirment que les systèmes de codage génératif compriment les cycles de développement plus rapidement que les processus d’examen de sécurité existants de nombreuses organisations ne peuvent raisonnablement suivre le rythme.
Les développeurs déploient de plus en plus de code généré par l’IA qu’ils ne comprennent peut-être pas entièrement, introduisant potentiellement des vulnérabilités, des dépendances non sécurisées, des failles d’authentification et des erreurs de configuration dans les environnements de production à grande échelle.
« L’IA génère beaucoup de code », explique Lai. « Si vous ne gérez pas les vulnérabilités générées par l’IA, cela va créer davantage de problèmes, car vous créez désormais toutes ces vulnérabilités. »
Les implications opérationnelles obligent de nombreuses organisations à repenser la cybersécurité moins comme une fonction informatique défensive que comme une couche de gouvernance pour les systèmes d’entreprise autonomes.
Ce changement contribue à élever les discussions sur la cybersécurité dans des conversations plus larges autour de l’adoption de l’IA, de la résilience opérationnelle, de l’automatisation de la main-d’œuvre et des risques commerciaux.
Les dirigeants d’entreprise écoutent comme ils l’ont rarement fait auparavant
L’IA modifie également le comportement des dirigeants et des conseils d’administration.
Pendant des années, de nombreux responsables de la sécurité ont eu du mal à convaincre les conseils d’administration que les cyber-risques représentaient un problème stratégique plutôt qu’une simple dépense informatique.
« Nous parlons souvent de la culture comme d’un mécanisme de défense contre le changement », a déclaré Neuberger lors du sommet SANS. « Ce que nous constatons également, c’est que tout à coup, les PDG parlent de LLM, parlent de projets et s’inquiètent de la cybersécurité. C’est un changement énorme. »
Cette attention est importante car les dépenses de sécurité n’ont historiquement augmenté que lorsque les cyber-risques sont liés à une transformation plus large de l’entreprise.
L’IA est désormais au centre des discussions des conseils d’administration sur la compétitivité, l’automatisation, la productivité de la main-d’œuvre et la stratégie numérique, offrant aux RSSI une rare opportunité de considérer la cybersécurité comme une condition préalable opérationnelle pour une adoption sûre de l’IA.
Cependant, Brantley estime que les responsables de la sécurité devraient résister aux messages fondés sur la peur et plutôt positionner la cybersécurité comme un outil commercial. « L’augmentation du cyber-budget devrait en réalité être orientée vers la création de valeur commerciale par rapport à l’objectif actuel ou stratégique de l’IA », dit-il. « Il n’y a aucun moyen d’aborder les choses à la vitesse de l’IA sans utiliser l’IA. »
Et cela signifie souvent dépenser davantage en IA pour relever les défis de l’IA. « Je pense que (l’augmentation des dépenses) sera un mélange, disons, de 10 nouvelles personnes qui connaissent bien ce problème d’IA et potentiellement d’un entrepreneur ou d’un fournisseur qui a une solution à ce problème, et ensuite je dépenserai de l’argent en jetons d’IA pour arriver à cette réponse. »
Le discours le plus efficace au niveau des dirigeants pourrait être que la cybersécurité est en train de devenir le fondement opérationnel qui permet aux organisations de faire évoluer l’IA en toute sécurité sans perdre en visibilité, en gouvernance ou en contrôle.
« L’empoisonnement des données, l’injection indirecte rapide, les agents qui entreprennent des actions malveillantes : tout cela fait partie de la conversation sur les risques au sein d’une organisation », explique Kelley. « Il s’agit d’une conversation sur les risques concernant la manière dont l’entreprise prend ses décisions. »
Les demandes de budget nécessitent une analyse de rentabilisation
Tout le monde ne croit pas que l’IA déclenchera un boom des cyber-dépenses.
Ian Thornton-Trump, RSSI chez Inversion6, prévient que certaines organisations risquent de traiter l’IA comme une justification fourre-tout des dépenses sans articuler clairement les risques commerciaux sous-jacents.
« Je pense qu’agiter le drapeau de l’IA n’est pas la bonne réponse », déclare Thornton-Trump. « En tant que dirigeant d’une entreprise, je rirais si quelqu’un venait me voir et me disait : « Je veux dépenser une tonne d’argent en IA pour le cyberespace ».
Thornton-Trump affirme que les conseils d’administration continuent de trouver un équilibre entre la cybersécurité et une longue liste de préoccupations stratégiques concurrentes, notamment l’instabilité géopolitique, le risque climatique, la fraude, la perturbation de la chaîne d’approvisionnement et la hausse des coûts opérationnels.
« Demandez plus d’argent, mais ayez un plan », dit-il. « Surtout un plan qui intègre le fait que vous n’obtiendrez pas tout ce que vous demandez. »
En d’autres termes, le débat ne porte pas vraiment sur l’opportunité de dépenser, mais plutôt sur la capacité des responsables de la sécurité à expliquer pourquoi de manière suffisamment claire pour être entendus.
Que l’avènement de l’IA soit suffisant pour augmenter les budgets, il est clair que l’IA de pointe, les systèmes d’entreprise autonomes et la peur des dirigeants de prendre du retard sur leurs concurrents ont soudainement aligné la cybersécurité sur la stratégie commerciale de base.
Il en résulterait le changement le plus important dans les dépenses de sécurité des entreprises depuis l’essor du cloud computing – non pas parce que les dirigeants craignent soudainement davantage les cyberattaques, mais parce qu’ils considèrent de plus en plus la cybersécurité comme le fondement opérationnel qui rend possible l’adoption à grande échelle de l’IA.
