L’intelligence artificielle est souvent présentée comme un levier puissant pour renforcer la cybersécurité. Cette lecture est en partie juste. Mais elle devient problématique lorsqu’elle occulte une réalité plus inconfortable : l’IA n’est pas seulement un outil de défense, elle est aussi un nouvel objet de risque.

Pour un RSSI, ignorer cette dimension revient à traiter la sécurité de manière asymétrique. On se focalise sur ce que l’IA permet de détecter ou d’automatiser, sans toujours questionner ce qu’elle introduit en termes de dépendance, d’opacité ou de fragilité. Or, toute technologie qui modifie la manière dont une organisation perçoit, analyse ou décide transforme mécaniquement son profil de risque.

L’un des premiers défis posés par l’IA concerne la compréhension du système lui-même. Beaucoup de solutions reposent sur des modèles complexes, parfois difficiles à expliquer de manière simple. Cette opacité n’est pas nécessairement un défaut technique, mais elle devient un problème de gouvernance dès lors qu’elle empêche d’expliquer pourquoi une alerte a été générée, pourquoi une priorité a été modifiée ou pourquoi une action a été déclenchée. En matière de sécurité, l’incapacité à expliquer une décision est souvent plus risquée que la décision elle-même.

Un autre aspect souvent sous-estimé est la qualité des données sur lesquelles reposent ces systèmes. Les modèles d’IA apprennent à partir de données historiques, de comportements observés, de signaux parfois imparfaits. Si ces données sont biaisées, incomplètes ou obsolètes, les décisions qui en découlent le seront également. Le risque n’est pas toujours visible immédiatement. Il s’installe progressivement, à mesure que l’organisation fait confiance à des analyses dont les fondations ne sont plus interrogées.

L’IA introduit également de nouvelles surfaces d’attaque. Les modèles peuvent être manipulés, volontairement ou non. Des techniques visant à perturber l’apprentissage, à influencer les résultats ou à contourner les mécanismes de détection existent déjà et continueront d’évoluer. Pour le RSSI, cela signifie que l’IA ne peut pas être considérée comme une “boîte noire” fiable par défaut. Elle doit être intégrée dans le périmètre classique de la gestion du risque, au même titre que les systèmes qu’elle est censée protéger.

Ces enjeux ont conduit certains organismes de référence, comme le NIST, à proposer des cadres spécifiques de gestion des risques liés à l’IA. Leur intérêt ne réside pas dans la prescription technique, mais dans le rappel de principes fondamentaux : responsabilité humaine, transparence, supervision et alignement avec les objectifs de l’organisation. Autrement dit, l’IA doit rester gouvernée, et non gouvernante.

Pour un DSI/RSSI, la question centrale n’est donc pas de savoir si l’IA est “sûre” ou “dangereuse”. Elle est de savoir dans quelles conditions elle est maîtrisée. Qui comprend son fonctionnement ? Qui est responsable en cas d’erreur ? Quels sont les mécanismes de contrôle et de remise en question ? Ces questions sont rarement posées au moment de l’achat ou du déploiement, alors qu’elles devraient structurer la décision dès l’origine.

Il est également essentiel de distinguer l’automatisation de l’IA. Automatiser une tâche répétitive, comme la corrélation d’événements ou le tri d’alertes, est une chose. Confier à un système intelligent la capacité de prioriser des incidents ou d’influencer des décisions à impact métier en est une autre. La gouvernance consiste précisément à définir ces frontières et à s’assurer qu’elles restent compréhensibles et acceptées.

Intégrer les risques liés à l’IA dans une démarche de cybersécurité mature ne signifie pas freiner l’innovation. Cela signifie l’inscrire dans un cadre responsable. Une organisation qui comprend les limites de ses outils est souvent mieux protégée qu’une organisation qui leur fait une confiance aveugle. Cette lucidité est une force, pas une faiblesse.

Pour le RSSI, l’enjeu est donc d’élargir son champ de vigilance. Il ne s’agit plus seulement de protéger des systèmes contre des attaques externes, mais aussi de s’assurer que les mécanismes internes de décision restent maîtrisés, explicables et alignés avec les valeurs et les objectifs de l’organisation. L’IA, dans ce contexte, devient un sujet de gouvernance à part entière.

Dans le prochain article, je proposerai une réflexion complémentaire : comment parler d’intelligence artificielle et de cybersécurité à un comité de direction, sans céder ni au discours anxiogène ni à la promesse technologique excessive. Un exercice de pédagogie devenu indispensable pour le RSSI d’aujourd’hui.