L’intelligence artificielle transforme la cybersécurité selon une double dynamique. D’un côté, elle constitue un formidable levier de défense : face à des attaques de plus en plus rapides, automatisées et elles-mêmes « boostées » par l’IA, les entreprises doivent désormais utiliser l’IA pour détecter, corréler et réagir plus vite. De l’autre, l’essor de l’IA générative et de l’IA agentique ouvre de nouveaux environnements à protéger : agents autonomes, identités non humaines, nouveaux usages métiers, nouvelles surfaces d’attaque.
Pour Eric Antibi, Directeur technique France de Palo Alto Networks, le sujet n’est donc pas seulement de savoir comment se protéger contre l’IA, mais aussi comment sécuriser l’adoption massive de l’IA dans les organisations. Autrement dit : utiliser l’IA pour défendre les systèmes, tout en construisant des projets d’IA « secure by design » dès leur conception.
Juliette Haller : D’après les travaux de Unit 42, l’intelligence artificielle est en train de modifier profondément la temporalité des cyberattaques, en réduisant drastiquement le délai entre l’intrusion initiale et l’exfiltration de données. Comment expliquez-vous cette évolution et en quoi change-t-elle la manière dont les entreprises doivent penser leur défense ?
Eric Antibi : Il y a encore quelques années, lorsqu’un client faisait appel à nous pendant une attaque, nous constations souvent que les attaquants étaient présents dans le système d’information depuis plusieurs semaines, voire plusieurs mois. Une cyberattaque suit généralement plusieurs étapes : un premier accès, souvent via du phishing, puis une phase d’observation, des mouvements latéraux, une escalade de privilèges et enfin l’accès aux actifs critiques.
Ce qui change aujourd’hui, c’est la vitesse. Grâce à l’IA et à l’automatisation, les attaquants peuvent accélérer considérablement les phases de scan, d’identification des vulnérabilités et leur exploitation. Là où certaines opérations prenaient auparavant plusieurs jours ou plusieurs semaines, elles peuvent désormais être exécutées en quelques heures.
Cela oblige les entreprises à changer complètement leur approche défensive. On ne peut plus répondre à des attaques pilotées par l’IA avec des mécanismes purement humains ou réactifs. Il faut désormais utiliser l’IA pour détecter les comportements anormaux en temps réel, centraliser les signaux faibles et automatiser une partie de la réponse.
Palo Alto Networks défend de plus en plus l’idée que l’identité est devenue le nouveau périmètre de sécurité. Pourtant, les grandes réglementations européennes, qu’il s’agisse de NIS2, de l’AI Act ou du Cybersecurity Act, restent encore largement centrées sur les infrastructures et les systèmes. Pourquoi les enjeux d’identité et de gestion des accès occupent-ils aujourd’hui une place aussi centrale dans les stratégies de cybersécurité ?
Eric Antibi : Parce qu’à un moment ou à un autre, dans quasiment toutes les attaques, les hackers cherchent à récupérer une identité. Même lorsqu’une intrusion commence par une vulnérabilité technique, l’objectif est très souvent d’obtenir davantage de privilèges afin de progresser dans le système d’information.
Mais il y a surtout un phénomène majeur : l’explosion des identités non humaines. Aujourd’hui, dans une entreprise, il existe déjà beaucoup plus d’identités machines que d’identités humaines, on compte déjà environ 80 identités machines pour une identité humaine, et demain, avec l’IA agentique, cette volumétrie va littéralement exploser.
Nous allons devoir gérer des milliers, voire des centaines de milliers d’agents autonomes disposant de droits, d’autorisations et d’interactions propres dans les systèmes d’information. Cela change complètement la manière de penser la cybersécurité.
C’est précisément pour cela que Palo Alto Networks considère l’identité comme un axe stratégique majeur de cybersécurité, et a fait l’acquisition de CyberArk puis lancé sa plateforme Idira.
Dans les incidents que vous gérez aujourd’hui, voyez-vous davantage de compromissions liées à des vulnérabilités techniques classiques, ou à des abus de confiance dans les environnements SaaS, OAuth et cloud ?
Eric Antibi : Les deux existent évidemment, mais l’humain reste extrêmement ciblé dans les chaînes d’attaque. Le phishing demeure encore aujourd’hui l’un des premiers vecteurs d’intrusion.
D’après une étude de Unit 42, sur un échantillon d’un millier d’attaques, sur lesquelles Palo Alto a été impliqué,près de la moitié des incidents commencent par du Phishing (22%) / Social Engineering (11%) ou Software Vulnerabilities (22%).
Les attaquants exploitent avant tout la confiance : un email crédible, une situation d’urgence, une usurpation d’identité, une demande qui semble légitime. L’IA renforce encore ce phénomène en permettant de produire des contenus beaucoup plus crédibles, plus personnalisés et plus difficiles à détecter.
L’Europe parle beaucoup d’autonomie stratégique, notamment sur le cloud et l’IA. D’un point de vue opérationnel, une souveraineté numérique totale vous paraît-elle réellement atteignable ?
Eric Antibi : Je pense qu’il faut raisonner davantage en termes de dépendances maîtrisées qu’en termes de souveraineté absolue.
Le terme de souveraineté peut être trompeur. Une entreprise peut aujourd’hui être française ou européenne, puis dépendre demain de capitaux étrangers à la suite d’une levée de fonds ou d’un rachat. Le « drapeau » d’un acteur technologique n’est donc pas, à lui seul, une garantie suffisante.
Si l’on prend l’exemple des entreprises qui souhaitent éviter le cloud public pour conserver une maîtrise complète de leur infrastructure. Même dans ce cas, elles peuvent rester dépendantes d’un fournisseur étranger pour obtenir un correctif de sécurité critique en cas de vulnérabilité. L’absence de cloud ne supprime donc pas nécessairement la dépendance technologique.
L’enjeu est donc d’analyser ses dépendances, d’évaluer sa résilience et de prévoir des scénarios de continuité d’activité. Pour Palo Alto Networks, cela implique notamment des garanties de résilience en plus de celles apportées sur la localisation des données, l’opération des infrastructures par des équipes européennes ou françaises, et la maîtrise des responsabilités liées à la donnée.
Vous observez des organisations très matures en cybersécurité. Qu’est-ce qui distingue réellement celles qui transforment la conformité réglementaire en avantage compétitif, de celles qui la vivent uniquement comme une contrainte ?
Eric Antibi : La cybersécurité est devenue un sujet beaucoup plus présent dans les priorités des directions générales. Les comités exécutifs s’en saisissent davantage et les réglementations ont contribué à cette prise de conscience. L’adoption de l’IA générative et des agents et les risques cybers associés n’y sont d’ailleurs pas étrangers.
Mais même les organisations les plus matures restent dépendantes de leur écosystème : sous-traitants, partenaires, fournisseurs de logiciels ou petites structures interconnectées avec leurs systèmes. Une entreprise peut être très mature, tout en restant exposée par un partenaire moins avancé en cybersécurité.
Sur l’IA, la maturité se mesure surtout à la capacité d’intégrer la sécurité dès le début des projets métiers.
De nombreuses entreprises lancent des projets d’IA générative ou agentique, mais peu vont réellement jusqu’au passage à l’échelle. L’une des raisons est que les questions de sécurité, de données et de gouvernance sont parfois découvertes trop tard, au moment de la mise en production.
Les organisations les plus matures sont celles qui pensent la cybersécurité dès la conception du projet. Elles ne cherchent pas seulement à protéger leurs systèmes après coup : elles construisent leurs projets IA dans une logique secure by design.
Avec l’essor de l’IA agentique et des identités non humaines, les modèles traditionnels de gouvernance IAM deviennent-ils obsolètes ?
Eric Antibi : « Obsolètes » est probablement un mot un peu fort, mais ils doivent clairement évoluer.
La gestion des identités humaines ne peut pas être transposée telle quelle aux agents IA. Une entreprise ne pourra pas administrer manuellement les identités de centaines de milliers d’agents autonomes comme elle gérait celles de ses collaborateurs.
Il faudra donc automatiser beaucoup plus fortement la gestion des identités, des privilèges et des droits d’accès. C’est l’un des grands chantiers ouverts par l’IA agentique.
Lorsqu’une cyberattaque survient aujourd’hui, quel est généralement le facteur le plus déterminant dans l’ampleur des conséquences : la faille technologique elle-même, les choix d’organisation, ou les comportements humains ?
Eric Antibi : L’ampleur d’une cyberattaque dépend d’abord de l’objectif de l’attaquant.
Certains attaquants cherchent à gagner de l’argent, notamment via le ransomware ou l’extorsion de données. D’autres cherchent à déstabiliser une organisation pour des raisons idéologiques, politiques ou militantes. Enfin, certaines attaques relèvent de logiques étatiques.
Selon la nature de l’attaquant et son objectif, l’impact ne sera pas le même. Dans le cas d’un ransomware, la question du paiement de la rançon reste un sujet complexe : les autorités recommandent de ne pas payer, car cela alimente le modèle économique des attaquants. Mais dans la réalité, certaines organisations paient, d’autres non, selon leur situation et le niveau de criticité de l’incident.
L’ampleur des conséquences dépend donc à la fois du type d’attaque, du profil de l’attaquant, de la résilience de l’organisation et de sa capacité à réagir rapidement.
Finalement, l’intelligence artificielle représente-t-elle aujourd’hui davantage une menace ou une opportunité pour la cybersécurité ?
Eric Antibi : Les deux, très clairement.
L’IA constitue un formidable accélérateur pour les attaquants, mais elle devient également indispensable pour défendre les systèmes d’information modernes. Le volume d’événements, la vitesse des attaques et la complexité des infrastructures rendent aujourd’hui impossible une supervision purement humaine.
La vraie question n’est donc plus de savoir s’il faut utiliser l’IA en cybersécurité, mais comment l’utiliser correctement, de manière maîtrisée, consolidée sur des plateformes et sécurisée.
Et surtout, comment construire dès maintenant des environnements IA capables d’être sécurisés « by design ».
Master’s student in Digital Economy Law | M2 Droit de l’Économie Numérique