RiskInsight

Le blog cybersécurité des consultants Wavestone

AI4Cyb : comment l’IA va améliorer les capacités cyber de votre entreprise ?

L’IA va-t-elle aussi révolutionner la cybersécurité ?

Aujourd’hui tout porte à le croire !

Après une décennie d’investissement massif dans la cybersécurité, nous rentrons dans une période de consolidation. L’optimisation devient le maître-mot : automatiser les tâches répétitives, rationaliser les ressources, détecter toujours plus vite et répondre toujours mieux.

L’IA, entre autres, est une réponse à ces objectifs.

Mais concrètement, quels changements apporte-t-elle déjà ? Quels cas d’usage transforment le quotidien des équipes cyber ? Et jusqu’où peut-on aller ?

Explorons ensemble comment l’IA va révolutionner la cybersécurité.

 

Sensibilisation des collaborateurs : l’IA change la donne !

En un chiffre : 20 % des cyber incidents sont liés au phishing et à l’utilisation de comptes volés. (Selon le rapport CERT-Wavestone 2024 : tendances, analyses et enseignements pour 2025)

Former les équipes est donc essentiel. Mais c’est une tâche lourde, qui demande du temps, des ressources et une approche adaptée pour capter l’attention et garantir un réel impact. L’IA change la donne en automatisant les campagnes de sensibilisation les rendant plus interactives et engageantes.

Plus d’excuse pour exclure une entité de votre campagne car ils ne parlent pas anglais, ou pour ne pas personnaliser vos communications aux problématiques des différents pôles (RH, Finance, IT…).

Avec un peu de contexte sur les différentes équipes visées et une version initiale de votre campagne de sensibilisation, les modèles de GenAI1 peuvent rapidement décliner vos campagnes en exemplaires personnalisés à chaque groupe visé. L’IA permet de créer, à moindre effort, un contenu adapté aux enjeux des cibles du programme de sensibilisation, augmentant l’engagement des collaborateurs et leur intérêt grâce à un message qui leur est pleinement adressé et qui traite de leurs propres enjeux. C’est un gain temps, de performance et de qualité, qui vous permet de transformer les campagnes de sensibilisation massives et génériques, en des campagnes ciblées et personnalisées indéniablement plus pertinentes.

Deux possibilités émergentes aujourd’hui pour mettre en application ce cas d’usage :

  • Utiliser les modèles GenAI de confiance de votre entreprise pour vous aider à générer les éléments de votre campagne. L’avantage réside ici bien sûr dans les faibles dépenses à engager.
  • Passer par un fournisseur externe. De nombreux prestataires qui accompagnent les entreprises pour des campagnes de phishing standards utilisent en internes la GenAI pour vous délivrer une solution personnalisée rapidement.

En résumé, l’IA permettra de réduire les coûts et les délais de déploiement des programmes de sensibilisation, tout en améliorant leur adhésion et leur efficacité pour faire de la sécurité une responsabilité partagée par tous.

Ces mêmes modèles d’IA peuvent d’ailleurs être personnalisés et utilisés par les équipes cybersécurité pour d’autres actions : faciliter l’accès aux référentiels Cybersécurité.

 

CISO GPT : un accès simplifié au référentiel cyber pour le métier

Les documents et réglementations internes en cybersécurité sont généralement étendus et bien maîtrisés par les équipes ayant participé à leur élaboration. Cependant, ils restent peu connus des autres services de l’entreprise.

Ces documents regorgent pourtant d’informations utiles pour le métier mais faute de visibilité, les politiques ne sont pas appliquées. Les équipes cyber sont sollicitées pour des demandes d’information récurrentes pourtant bien documentées.

Avec des chatbots IA, ces informations deviennent facilement accessibles. Plus besoin de parcourir des pages entières : une simple question permet d’obtenir des réponses claires et instantanées, facilitant ainsi l’application des bonnes pratiques et la réactivité en cas d’incident.

De plus en plus d’entreprises adoptent des chatbots basés sur l’IA générative pour répondre aux questions des utilisateurs et les guider vers la bonne information. Ces outils, alimentés par des modèles comme ChatGPT, Gemini ou LLaMA, accèdent à des données internes à jour et de qualité.

Résultat : les utilisateurs trouvent rapidement les réponses dont ils ont besoin.

Chez Wavestone, nous avons développé CISO GPT. Ce chatbot, connecté aux référentiels de sécurité internes, devient un véritable assistant cybersécurité. Il répond aux questions courantes, facilite l’accès aux bonnes pratiques et soulage les équipes cyber des demandes répétitives.

Répondre avec l’IA aux questions des métiers, c’est bien. Mais il est possible de faire bien plus !

Au-delà de l’accès rapide à l’information, l’IA permet aussi d’automatiser des tâches chronophages. Gestion des incidents, analyse des alertes, reporting… autant de processus qui mobilisent du temps et des ressources. Et si l’IA pouvait les accélérer, voire les prendre en charge ?

 

Gagnez du temps avec l’IA : automatisez les tâches chronophages

Le quotidien en entreprise est rempli de tâches chronophages. L’IA peut certainement en automatiser beaucoup, mais sur lesquelles faut-il se concentrer en priorité pour un maximum de valeur ?

Automatiser la classification de données avec l’IA

Voici une première réponse avec un autre chiffre : 77% des cyber-attaques enregistrées ont engendré un vol de données. (Selon le rapport CERT-Wavestone 2024 : tendances, analyses et enseignements pour 2025)

Et cette tendance ne risque pas de ralentir. L’explosion des volumes de données, accélérée par l’essor de l’IA, complexifie leur sécurisation.

Face à ce défi, la Data Classification reste un pilier essentiel pour construire des règles de DLP (Data Loss Prevention) efficaces. L’objectif : identifier et catégoriser les données selon leur sensibilité pour appliquer les mesures de protection adaptées.

Mais classifier les données à la main est impossible à grande échelle. Heureusement, le machine learning, permet d’automatiser ce processus. Pas besoin de GenAI ici : des algorithmes spécialisés peuvent analyser d’immenses volumes de documents, comprendre leur nature et prédire leur niveau de sensibilité.

Ces modèles s’appuient sur plusieurs critères :

  • La présence d’indicateurs sensibles (numéros bancaires, données personnelles, informations stratégiques…).
  • Le comportement des utilisateurs pour détecter des anomalies et signaler des fichiers anormalement exposé

En combinant Data Classification et IA les entreprises se donnent enfin les moyens de reprendre le contrôle sur leurs données et de réduire drastiquement le risque de fuite.

C’est ici qu’interviennent les DSPM (Data Security Posture Management). Ces solutions vont plus loin que la simple classification en offrant une visibilité complète sur l’exposition des données dans les environnements cloud et hybrides. Elles permettent de détecter les données mal protégées, surveiller les accès et automatiser la mise en conformité.

D’ailleurs la mise en conformité, c’est un autre processus très chronophage !

 

Simplifiez la mise en conformité : automatisez-la avec l’IA

Se conformer aux normes et réglementations est une tâche fastidieuse. A chaque nouvelle norme, une nouvelle mise en conformité !

Pour un acteur international, sujet à plusieurs autorités de réglementation, c’est une boucle interminable.

Bonne nouvelle : l’IA peut automatiser une grande partie du travail. Des solutions basées sur la GenAI permettent de vérifier et d’anticiper les écarts de conformité.

L’IA excelle dans l’analyse et la comparaison de données structurées. Par exemple, un modèle de GenAI peut comparer un document à un référentiel interne ou externe pour valider sa conformité. Besoin de vérifier une PSSI par rapport aux recommandations du NIST ? L’IA repère les écarts et propose des ajustements.

 

Simplifiez la gestion des vulnérabilités

L’IA n’est pas à court de solution lorsqu’il s‘agit de gestion de vulnérabilité. Elle peut automatiser plusieurs tâches clés :

  • Vérification des règles de pare-feu : la GenAI peut analyser une matrice de flux et la comparer aux règles réellement implémentées. Elle détecte les incohérences et peut même anticiper l’impact d’un changement de règle.
  • Revue de code : l’IA scanne le code à la recherche de failles de sécurité et propose des optimisations. Avec ces outils, les équipes réduisent les risques d’erreur, accélèrent les processus et libèrent du temps pour se concentrer sur des tâches à plus forte valeur ajoutée.

Automatiser la mise en conformité et la gestion des vulnérabilités, c’est renforcer la sécurité en amont et anticiper les menaces. Mais parfois il est déjà trop tard !

Face à des attaquants toujours plus innovants, comment l’IA peut-elle aider à mieux détecter et répondre aux incidents ?

 

Détection et réponse aux incidents : l’IA en première ligne

Pour commencer un constat clair : Les cybermenaces évoluent constamment !

Les attaquants s’adaptent, innovent et il est impératif de réagir rapidement et efficacement face à des incidents toujours plus sophistiqués. Les Security Operations Centers (SOC), sont à l’avant-garde de la gestion de ces incidents.

Avec l’IA à leur côté, ils ont maintenant un nouvel allié !

 

L’IA au cœur du SOC : détecter plus vite….

L’un des vecteurs d’attaque les plus utilisés et qui fait le plus de dégâts ces dernières années est l’hameçonnage, et les tentatives sont non seulement plus récurrentes, mais aussi plus élaborées qu’autrefois : QR-Code, BEC (Business Email Compromise) …

Comme dit plus haut, les campagnes de sensibilisation sont indispensables pour faire face à cette menace, mais il est aujourd’hui possible de renforcer les premières lignes de défenses contre ce type d’attaques grâce au deep learning.

Les algorithmes de traitement du langage NLP, ne se limitent pas à analyser le contenu brut des émails. Ils détectent aussi des signaux subtils comme un ton alarmiste, une demande urgente ou un style inhabituel. En comparant chaque message aux schémas habituels, l’IA repère plus efficacement les tentatives de fraude. Ces solutions vont bien plus loin que les traditionnelles solutions anti-spam souvent uniquement basées sur des indicateurs de compromission.

En dehors de ce cas très précis, l’IA va devenir indispensable pour la détection des comportements déviant (UEBA). L’accroissement continue de la taille et de la diversité des SI rend impossible la construction de règles individuelles pour détecter les anomalies. Grâce au machine learning, on peut analyser en continu les activités des utilisateurs et des systèmes pour repérer des écarts significatifs par rapport aux comportements habituels. Cela permet de détecter des menaces difficiles à identifier avec des règles statiques, comme un compte compromis accédant soudainement à des ressources sensibles ou un utilisateur adoptant un comportement inhabituel en dehors de ses horaires classiques.

Ces solutions ne sont pas nouvelles, des éditeurs de solutions proposaient dès 2015 l’incorporation d’algorithme d’analyse comportementale dans leurs solutions !

L’IA joue aussi un rôle clé dans l’accélération et l’automatisation de la réponse. Face à des attaques toujours plus rapides et sophistiquées, voyons comment l’IA permet aux équipes SOC de réagir avec plus d’efficacité et de précision.

 

… répondre plus fort

Les analystes SOC, submergés par un volume croissant d’alertes, doivent en traiter toujours plus avec des équipes qui, elles, ne s’agrandissent pas. Pour les aider, de nouveaux assistants GenAI dédiés au SOC émergent sur le marché, optimisant l’ensemble de la chaîne de traitement des incidents. L’objectif : faire mieux avec autant, voire moins, en réorientant les analystes vers des tâches à plus forte valeur ajoutée et en limitant le syndrome bien connu de la « fatigue des alertes ».

En commençant par la priorisation, les équipes opérationnelles croulent sous les alertes, et doivent constamment décerner le vrai du faux, le prioritaire du moins prioritaire. Sur une liste de 20 alertes sous mes yeux, lesquelles représentent une attaque réellement en cours sur mon SI ? La force de l’IA est justement d’assurer un meilleur traitement des alertes en corrélant les événements en cours. En un instant, l’IA exclue les faux positifs et renvoi la liste d’incidents prioritaires à investiguer.

L’analyste peut alors se reposer sur ce retour pour lancer son investigation. Et là encore l’IA l’appui dans ses recherches. L’assistant GenAI est capable de générer des requêtes à partir de langage naturel permettant d’interroger facilement l’ensemble des équipements du réseau. A partir de ses connaissances, l’IA peut également suggérer les étapes à suivre pour l’investigation, qui dois-je interroger ? Que dois-je vérifier ?

Les résultats renvoyés ne seront pas comparables à l’analyse d’un ingénieur SOC expert. En revanche, ils permettront à des analystes plus débutants de commencer leur investigation avant de l’escalader en cas de difficultés.

Mais le travail ne s’arrête pas là : il faut pouvoir prendre les actions de remédiations nécessaires à la suite de la découverte d’une attaque. Encore une fois, l’assistant IA permet de rester focaliser sur le processus de prise de décisions, et de fournir rapidement à l’utilisateur un ensemble d’actions à réaliser pour contenir la menace : hôtes à isoler, IP à bloquer…

La puissance de ces cas d’usage réside également dans la capacité des assistants IA à fournir un retour structuré, qui facilite bien non seulement la compréhension des analystes, mais également l’archivage et l’explication des incidents à un tiers.

Ce ne sont bien évidemment pas les seuls cas d’usage existant à date, et de nombreux verront le jour dans les années à venir. La prochaine étape est toute tracée pour les équipes de réponse à incident : l’automatisation des actions de remédiation et de protection. Nous observons déjà cela pour nos clients les plus matures, et l’arrivée des agents IA2 ne fera qu’accélérer cette tendance.

Les prochains cas d’usages sont clairs : donner à l’IA des droit actifs sur les ressources de l’entreprises pour permettre une réponse en temps réel pour bloquer la propagation d’une menace. L’IA, à la suite d’une investigation réalisée en autonomie, pourra prendre seule la décision d’adapter les règles d’un pare-feu, révoquer les accès d’un utilisateur à la volée, ou encore initier une nouvelle demande d’authentification forte. Evidemment une autonomie aussi avancée n’est pas pour aujourd’hui, mais le constat est là, nous nous dirigeons dans cette direction…

Enfin, l’intégration de ces cas d’usages soulève un autre défi de taille : le prix. Ajouter ces cas d’usage à un coût. Dans un contexte économique tendu, le budget des équipes sécurité n’est pas revue à la hausse, bien au contraire. La prochaine étape sera de trouver le compromis entre gain de sécurité et coût financier.  

 

Conclusion

Les équipes cybersécurité font face à une offre pléthorique en matière d’IA, rendant le choix complexe. Pour avancer efficacement, il est essentiel d’adopter une approche pragmatique et structurée. Nos recommendations:

  • Se former à l’IA pour mieux évaluer la valeur ajoutée de certains produits, et éviter les solutions ‘gadgets’.
  • Choisir les bons cas d’usage en fonction de leur valeur ajoutée (optimisation des ressources, économies d’échelle, amélioration de la couverture des risques) et de leur complexité (socle technologique, gestion des données, coûts RH et financiers).
  • Définir la bonne stratégie de développement, en arbitrant entre une approche interne ou l’appui sur des solutions existantes du marché.
  • Se concentrer sur l’impact plutôt que sur l’exhaustivité, en visant un déploiement efficace des cas d’usage
  • Anticiper les enjeux de sécurisation de l’IA, notamment la robustesse des modèles, la gestion des biais et la résistance aux attaques adversariales.

Il y a 10 ans, la DARPA lançait un défi sur les voitures autonomes. Ce qui relevait alors de la science-fiction est aujourd’hui une réalité. En 2025, l’IA transforme à son tour la cybersécurité. Nous n’en sommes qu’au début : jusqu’où iront les agents IA dans 10 ans ?

 

1 : GenAI (Intelligence Artificielle Générative) : désigne une branche de l’IA capable de créer du contenu original (texte, image, code, etc.) en s’appuyant sur des modèles entraînés sur de vastes ensembles de données.
2 : Agent IA : désigne une intelligence artificielle capable d’agir de manière autonome pour accomplir des objectifs complexes, en planifiant, en prenant des décisions et en interagissant avec son environnement sans supervision humaine constante.

Article précédent Ordinateur quantique et cryptographie post-quantique : quelle stratégie les entreprises doivent-elles adopter sur ces éléments ?
Article suivant Red Teaming IA : État des lieux des risques IA en 2025  

Sur le même thème

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Back to top