L’intelligence artificielle transforme profondément la cybersécurité : elle ouvre de nouvelles surfaces d’attaque, accélère les menaces et oblige à repenser gouvernance et responsabilité. Open source, open weight, régulation et sécurité des modèles sont autant d’enjeux stratégiques pour protéger les entreprises demain.

‍

La menace a changé de visage : l’IA au cœur de la transformation cyber

‍

Un outil ambivalent devenu une nouvelle surface d’exposition

‍

L’intelligence artificielle n’est plus un simple levier d’efficacité. Elle s’impose comme un espace d’exposition inédit, capable d’accélérer les attaques aussi bien que de renforcer les défenses. Cette ambivalence soulève des enjeux techniques, éthiques et stratégiques majeurs pour les organisations qui doivent apprendre à sécuriser et encadrer son utilisation.

‍

IA et usages quotidiens : entre efficacité et dérives possibles

‍

Quand l’éthique devient un enjeu central

‍

Olivier Tillier, RSSI chez Bouygues Construction, met l’accent sur la question de la vie privée :

« Le véritable enjeu, ce n’est pas la technologie en elle-même, mais ce qu’on fait des données personnelles qu’elle absorbe. »

Il cite notamment l’exemple des véhicules connectés : certains constructeurs, grâce à l’IA, peuvent déterminer avec précision les trajets de leurs utilisateurs. Derrière cette commodité, des dérives systémiques peuvent apparaître.

‍

‍

Sécuriser le cycle de vie complet des modèles

‍

Pour Olivier Tillier, la sécurité de l’IA doit être pensée comme un cycle de vie complet : collecte, entraînement, inférence et obsolescence. À chaque étape, des risques distincts peuvent émerger : sabotage de données, biais non détectés ou dérives comportementales.

« Il faut arrêter de regarder l’IA comme un bloc. C’est un cycle de vie, et chaque phase peut être attaquée. »

‍

Open source, open weight : un débat stratégique mais souvent mal compris

‍

Une nuance essentielle pour comprendre les enjeux de confiance

‍

Le débat autour de l’ouverture des modèles IA occupe une place centrale. Thibaut Roynette, CISO/RSSI France chez Danone, insiste :

« Il est crucial de distinguer open source et open weight. Dans le premier cas, tout le code et la méthodologie sont accessibles, dans le second, seuls les poids sont publiés. Cette différence change tout pour la sécurité et la fiabilité des modèles. »

‍

Innovation ouverte vs prudence opérationnelle

‍

Pour Thibaut Roynette :

« Ce sont des gens qui savent contourner les systèmes. Les empêcher d’accéder à un modèle ne changera rien. »

Olivier Tillier nuance :

« Je ne ferais jamais reposer un usage sensible sur un modèle gratuit dont je ne connais ni les origines ni les garanties. La confiance, ça ne se décrète pas. »

‍

Encadrer l’IA sans la freiner : vers une gouvernance responsable

‍

Réguler les usages plutôt que la technologie

‍

Pierrick Conord, Directeur d’Agence Adjoint chez Sopra Steria, souligne :

« On a de la fraude sur internet. Ce n’est pas pour autant qu’on interdit internet. »

Il défend un encadrement pragmatique : labellisation, certification, critères de confiance, avec une gouvernance incluant technique, juridique, conformité, RH et métiers.

‍

Un cadre encore immature et des limites structurelles

‍

Olivier Tillier rappelle :

« Est-ce qu’on a vraiment réussi à réguler internet ? Les réseaux sociaux ? Chaque sujet mérite sa propre approche. »

‍

Innovation vs régulation : un équilibre encore instable

‍

La question de la sanction au cœur du débat

‍

Thibaut Roynette pointe :

« Tant qu’on n’arrive pas à la sanction, rien ne se passe. »

L’IA Act européen s’applique aux fournisseurs et entreprises, mais pas aux usages individuels, laissant de nombreuses zones grises.

‍

Régulations sectorielles : une fragmentation problématique

‍

Olivier Tillier ajoute :

« Quel est l’avantage à respecter une règle si votre concurrent ne le fait pas ? »

‍

Une technologie ambivalente à apprivoiser collectivement

‍

Les trois experts s’accordent sur un point : l’IA est à la fois un outil de productivité, un vecteur d’attaque et une cible potentielle. Tant que la responsabilité juridique et les mécanismes de sanction ne seront pas clairement définis, aucune régulation ne pourra être pleinement efficace. De nouveaux vecteurs d’attaque (empoisonnement de modèles, model inversion, prompt injection) transforment déjà les pratiques offensives et imposent aux organisations de repenser leurs stratégies de défense.

La véritable conclusion est claire : maîtriser l’IA ne se limite pas à sécuriser des modèles ou encadrer leur usage. Il s’agit de construire collectivement des processus, des gouvernances et des pratiques qui permettent d’intégrer cette technologie de manière sûre, responsable et durable, tout en conservant la capacité d’innover face à des menaces en constante évolution.

‍