Alors que la directive NIS2 n’est toujours pas transposée en droit français, les entreprises doivent déjà faire face à une transformation plus profonde. L’essor de l’IA, et en particulier des capacités d’automatisation qu’elle permet, modifie en profondeur la nature des menaces. Pour Laurent Gelu, Cybersecurity & Resilience Leader chez Kyndryl, le sujet dépasse désormais la seule conformité pour s’ancrer dans une logique plus structurelle de résilience.
Une industrialisation des attaques portée par l’IA
L’un des premiers changements tient à l’industrialisation des attaques. L’accès à des outils d’automatisation, notamment issus de l’écosystème open source, permet aujourd’hui de mener des offensives à une échelle inédite. « Aujourd’hui, on a des frameworks publics pour automatiser des tests d’intrusion. Il faut encore moins de moyens pour attaquer une entreprise, et on peut aller plus en profondeur », explique-t-il. Cette évolution change le rapport de force. Là où une attaque mobilisait auparavant du temps et des ressources humaines, elle peut désormais être multipliée à grande échelle. « On peut attaquer 10 entreprises en parallèle là où avant on en attaquait une ou deux », poursuit-il.
Se préparer à l’inévitable plutôt que tout empêcher
Face à cette accélération, les approches défensives traditionnelles montrent leurs limites. La question n’est plus uniquement d’empêcher l’attaque, mais de s’y préparer. « Les organisations doivent se préparer à l’inévitable. Il faut être prêt à redémarrer rapidement après une attaque », insiste Laurent Gelu. Cette notion de résilience, déjà présente dans les textes européens, prend ici une dimension opérationnelle très concrète. Il ne s’agit plus seulement de sécuriser, mais d’anticiper la défaillance et d’organiser la continuité d’activité.
Deepfakes et IA générative : la confiance fragilisée
L’IA générative introduit une rupture sur un autre plan, celui de la confiance. Les deepfakes et les capacités de manipulation en temps réel rendent certaines interactions beaucoup plus difficiles à authentifier. « Le deepfake est devenu très accessible. On peut modifier une voix, une image en temps réel », observe-t-il. Dans ce contexte, les mécanismes de validation classiques, fondés sur l’apparence ou la reconnaissance vocale, deviennent insuffisants. Pourtant, la réponse ne peut pas être uniquement technologique. « On peut mettre toutes les mesures techniques possibles, mais l’humain reste essentiel », rappelle-t-il. La sensibilisation des collaborateurs s’impose alors comme un levier central, à condition d’éviter une approche anxiogène ou contre-productive.
La cybersécurité s’impose dans la gouvernance de l’IA
Dans le même temps, le rôle des équipes cybersécurité évolue. Elles ne se contentent plus de protéger les systèmes, mais interviennent désormais dans la gouvernance des usages de l’IA. « Les équipes cyber ont une vision des risques et des chemins d’attaque que d’autres équipes n’ont pas forcément », souligne Laurent Gelu. Avec la multiplication des initiatives portées directement par les métiers, la priorité devient la visibilité. « Il faut d’abord faire un inventaire des usages de l’IA dans l’entreprise, puis cartographier les risques », précise-t-il. Cette extension du périmètre ne signifie pas pour autant un travail en silo. Les équipes cybersécurité doivent composer avec les directions IT, data et métiers, dans une logique d’orchestration.
Une adoption rapide, mais encore encadrée
Sur le terrain, l’adoption de l’IA, et notamment de l’IA agentique, s’accélère nettement, même si les déploiements restent encadrés dans les grandes organisations. « Les six derniers mois ont été extrêmement accélérés. On voit une vraie adoption démarrer », constate-t-il. Les usages se concentrent pour l’instant sur l’automatisation de processus ciblés, plus que sur des transformations radicales. « On est plutôt dans l’automatisation ciblée que dans des transformations radicales », ajoute-t-il. Les contraintes de conformité et de gouvernance continuent de freiner certaines initiatives, en particulier dans les environnements les plus régulés.
Le quantique, un risque déjà à anticiper
Enfin, un autre risque, plus discret mais déjà à l’œuvre, commence à émerger dans les réflexions des organisations : celui du quantique. « Des attaquants peuvent collecter des données aujourd’hui pour les déchiffrer plus tard », alerte Laurent Gelu. Cette logique, connue sous le nom de « harvest now, decrypt later », impose de repenser la protection des données sur le long terme. « Si une donnée a encore de la valeur dans 5 ou 10 ans, il faut la protéger dès maintenant », insiste-t-il. Si certains secteurs comme la finance ou la défense ont déjà engagé cette réflexion, la majorité des entreprises reste encore en phase d’observation.
Garder la maîtrise face à l’accélération
Au-delà de ces évolutions, un point de vigilance s’impose. L’enthousiasme autour de l’IA ne doit pas conduire à un déséquilibre entre innovation et maîtrise des risques. « Il faut faire attention à ce que les projets IA n’aillent pas plus vite que la capacité des équipes sécurité à les gouverner », prévient-il. Le développement d’usages hors cadre, déjà observable dans certaines organisations, renforce ce besoin de pilotage.
Dans un environnement où les attaques se multiplient et où les repères traditionnels s’effacent, la cybersécurité change de nature. Elle ne repose plus uniquement sur la capacité à empêcher, mais sur celle à encaisser, comprendre et rebondir. Et malgré la sophistication croissante des outils, une constante demeure. « À chaque fois qu’il y a un problème, il y a toujours quelque part un humain au milieu », conclut Laurent Gelu.
