.jpeg){kind=logo}
Pendant la majeure partie des deux dernières décennies, la cybersécurité a été envisagée comme un problème consistant à empêcher les acteurs malveillants de s’introduire dans les systèmes. Les pare-feu, les terminaux, la sécurité des e-mails et les contrôles d’identité sont tous conçus autour d’une idée simple : si nous parvenons à empêcher les intrusions, nous pouvons gérer les risques. Lorsque des incidents se produisaient, nous regardions vers l’extérieur. Qui nous a piratés ? Comment sont-ils entrés ? La « menace interne toujours remis en cause cette vision des choses.
Les spécialistes nous rappellent que certaines des failles de sécurité les plus graves ne trouvent pas leur origine dans une intrusion. Elles trouvent leur origine dans un accès qui était déjà considéré comme fiable : un employé disposant des autorisations nécessaires, un système doté d’identifiants, ou encore un processus autorisé à s’exécuter.
Historiquement, nous envisagions le risque interne sous un angle humain. Un employé malveillant. Une erreur due à la négligence. Un utilisateur dont la sécurité a été compromise. Ces scénarios existent toujours et restent importants, mais ils ne reflètent plus pleinement la réalité du fonctionnement actuel des entreprises.
À mesure que l'IA s'intègre de plus en plus dans le fonctionnement des organisations — qu'il s'agisse de la prise de décision, de l'automatisation des tâches ou de l'interaction entre les systèmes —, une nouvelle forme de risque interne fait son apparition. Un risque qui n'est pas motivé par l'intention, l'émotion ou la négligence. Un risque qui opère en continu, de manière autonome et à la vitesse d'une machine.
C'est l'émergence de ce que j'appelle « l'initié artificiel ».
Repenser la notion d’« initié » dans le domaine de l’IA d’entreprise
Quand on entend l'expression « initié artificiel », cela peut sembler abstrait. Ce n'est pourtant pas le cas.
Un « initié artificiel » désigne toute entité non humaine ou pilotée par l’IA qui opère au sein de l’entreprise avec des identifiants légitimes, un accès autorisé et la capacité d’agir de manière autonome. Ces entités sont déjà présentes dans la plupart des organisations. Elles comprennent les agents IA agissant pour le compte d’utilisateurs ou d’équipes, les comptes de service et les API qui automatisent l’accès et la prise de décision, cloud et les intégrations SaaS, ainsi que, de plus en plus, des agents IA personnalisés développés par les employés pour les aider à gagner en rapidité.
Ce qui fait de ces entités des initiés, ce n'est pas une intention malveillante, mais la confiance.
- Ils s'authentifient de manière légitime.
- Ils accèdent aux systèmes auxquels ils sont autorisés à accéder.
- Ils transfèrent les données là où ils sont autorisés à le faire.
Du point de vue de la sécurité, c’est précisément là que le risque interne a toujours résidé : à l’intérieur du périmètre de confiance. Ce qui a changé, c’est l’ampleur, la rapidité et l’autonomie.
Lorsque les pirates ne s'introduisent pas dans le système, mais se connectent et se fondent dans la masse
L'un des changements les plus importants observés ces dernières années dans le comportement des pirates informatiques a été l'abandon des attaques par force brute au profit de l'abus de confiance. Les pirates modernes ont compris que la partie la plus difficile d'une intrusion consiste souvent à obtenir un accès initial. Une fois qu'ils disposent d'identifiants, qu'ils proviennent d'utilisateurs humains ou non, l'environnement lui-même fait une grande partie du travail à leur place.
L'IA accélère cette évolution.
Une fois à l’intérieur, les attaquants peuvent déployer des outils automatisés ou basés sur l’IA pour agir comme des initiés. Ces agents n’ont pas besoin de se précipiter. Ils n’ont pas besoin de faire de bruit. Ils peuvent explorer patiemment un environnement, recenser les identités et les autorisations, se déplacer latéralement d’un système à l’autre et s’adapter en fonction de ce qu’ils observent. Chaque action semble souvent légitime en soi. Une requête. Un appel d’API. Une connexion à un service autorisé. Les outils de sécurité traditionnels, qui ont tendance à analyser les événements de manière isolée, peinent à reconnaître la tendance générale avant qu’il ne soit trop tard. Il ne s’agit pas d’un nouveau type d’attaque. C’est un mode d’attaque bien connu — exécuté plus rapidement, plus discrètement et avec beaucoup moins de résistance.
En effet, les pirates apprennent à se faire passer pour des initiés, en recourant à l'automatisation pour effectuer des tâches que les humains réalisaient auparavant manuellement.
Le risque interne que nous créons nous-mêmes
Les agents artificiels ne sont pas tous introduits par des pirates. Beaucoup sont créés en interne, par des collaborateurs qui cherchent à résoudre des problèmes concrets. Dans toutes sortes d’organisations, des équipes développent des agents IA pour automatiser l’analyse, le reporting, l’engagement client, les processus opérationnels et l’aide à la décision. Elles connectent ces agents aux systèmes internes, aux API et aux sources de données, car l’entreprise exige rapidité et efficacité.
Dans la plupart des cas, ces initiatives partent d’une bonne intention. Il s’agit d’innovation à la périphérie de l’organisation. Ce sont des collaborateurs qui utilisent de nouveaux outils pour mieux faire leur travail. Mais du point de vue des risques, ces agents deviennent des acteurs internes dès l’instant où on leur accorde un accès et où on leur permet d’agir de manière autonome. Ils ne se contentent pas d’exister en tant qu’applications. Ils agissent. Ils prennent des décisions. Ils déclenchent des flux de travail. Ils transfèrent des données d’un environnement à l’autre. Et si l’un d’entre eux est mal configuré, mal géré ou compromis, il peut générer un risque identique, voire supérieur, à celui d’un acteur interne humain, sans que personne n’ait jamais eu l’intention d’introduire ce risque.
C'est l'un des aspects les plus complexes de l'ère de l'IA, car le risque ne nécessite pas nécessairement de mauvaise intention. Il suffit qu'un système automatisé, auquel on fait confiance, fonctionne hors de notre champ de vision.
Pourquoi le menace interne traditionnel de « menace interne » n'est plus valable
La conception traditionnelle que nous avons du risque lié aux initiés repose sur quelques hypothèses qui ne sont plus d'actualité.
Tout d'abord, cela suppose que les initiés sont des êtres humains. Or, les êtres humains agissent à un rythme humain. Ils hésitent. Ils passent d'une tâche à l'autre. Leur comportement est incohérent et souvent prévisible. Les initiés pilotés par l'IA ne se comportent pas ainsi. Ils agissent de manière cohérente, continue et sur l'ensemble des systèmes.
Deuxièmement, cette approche part du principe que le risque est lié à l'intention ou à la négligence. Or, les « initiés artificiels » ne présentent ni l'une ni l'autre. Ils disposent d'autorisations, d'instructions et d'un contexte opérationnel. Le risque apparaît lorsque ces facteurs ne correspondent plus à la réalité — souvent plus rapidement que les contrôles ne peuvent s'adapter.
Troisièmement, cela suppose que les défenseurs disposent de temps. Dans un environnement basé sur l'IA, les délais se raccourcissent. Ce qui prenait autrefois plusieurs jours, voire plusieurs semaines, peut désormais se dérouler en quelques minutes. Les processus de détection et d'intervention menés par des humains n'ont jamais été conçus pour un tel rythme.
Cela ne signifie pas que les défenseurs échouent. C'est simplement que la nature même du risque a changé.
Pourquoi cela est-il important au niveau de la direction ?
Cette évolution n'est pas seulement d'ordre technique. Elle est à la fois organisationnelle et stratégique.
L'IA est de plus en plus intégrée au sein des entreprises, car les dirigeants comptent sur elle pour stimuler la productivité, la croissance et la compétitivité. Cette confiance est indispensable. Mais sans visibilité ni vérification continues, cette confiance se transforme en vulnérabilité lorsque les systèmes agissent de manière autonome. Les conseils d'administration et les autorités de régulation posent des questions plus pointues que jamais. Sommes-nous en sécurité à l'heure actuelle ? Où se situent nos vulnérabilités ? Les contrôles dans lesquels nous avons investi fonctionnent-ils réellement ?
Il est difficile de répondre à ces questions dans des environnements où les entités non humaines et les agents d’IA modifient constamment leur comportement, souvent en dehors du champ d’application des contrôles traditionnels. Et même si les acteurs sont nouveaux, la responsabilité reste la même. Lorsqu’un système piloté par l’IA provoque une faille de sécurité, un manquement à la conformité ou une perturbation de l’activité, la responsabilité incombe toujours à la direction.
La réalité du RSSI à l'ère de l'IA
Les RSSI traversent l'une des périodes les plus complexes que leur fonction ait jamais connues.
Elles doivent permettre l’adoption de l’IA, soutenir l’innovation, réduire les frictions et garantir la sécurité et la conformité — tout en protégeant des environnements où les identités non humaines sont plus nombreuses que les personnes et où l’automatisation évolue plus rapidement que la supervision humaine. Il ne s’agit pas d’un échec des outils ou des équipes. C’est un décalage entre la manière dont la sécurité a traditionnellement été mise en œuvre et le mode de fonctionnement actuel des entreprises modernes. Le défi ne consiste plus simplement à empêcher les actions malveillantes. Il s’agit de comprendre les comportements suffisamment rapidement pour prendre des décisions éclairées.
Pourquoi la prévention à elle seule ne suffit pas
La gouvernance, les politiques et les contrôles préventifs restent essentiels. Mais ils ne peuvent, à eux seuls, résoudre le problème des « insiders » artificiels. Ces entités opèrent une fois l’accès accordé. Une fois authentifiées, leurs actions sont présumées légitimes. La visibilité est fragmentée entre les différents systèmes. Le risque se cache dans les connexions entre les domaines. Il s’agit là du même angle mort qui a toujours existé en matière de menaces internes — aujourd’hui amplifié par l’automatisation, l’échelle et la vitesse. Tenter d’empêcher chaque action à risque ralentirait considérablement l’activité. Ce n’est pas une voie viable pour l’avenir. Au contraire, la résilience doit reposer sur une compréhension continue des comportements, et non sur une confiance statique.
De l'identité au comportement
Le changement le plus important que les organisations doivent opérer consiste à passer de la question de savoir qui a accompli une action à celle de comprendre comment le comportement évolue au fil du temps.
Les responsables de la sécurité doivent être en mesure d'identifier quelles identités humaines et non humaines sont actives, comment elles se comportent au sein des différents systèmes, à quel rythme l'activité évolue et quel pourrait être l'impact potentiel si elle se poursuivait. Il s'agit là de questions opérationnelles. Elles ne peuvent trouver de réponse dans des données télémétriques cloisonnées, des évaluations ponctuelles ou des bilans trimestriels.
Elles nécessitent une visibilité à la hauteur de la rapidité et de l'interconnexion de l'entreprise moderne.
Le véritable risque, ce n'est pas l'IA, mais la confiance aveugle à la vitesse des machines
L'IA n'est pas une technologie dont les organisations peuvent se passer. Elle est en train de devenir le modèle opérationnel de l'entreprise moderne. Des « agents artificiels » sont déjà présents au sein de nos environnements. Certains ont été déployés délibérément. D'autres ont été créés en toute discrétion. Certains pourraient déjà agir pour le compte de pirates informatiques.
La question à laquelle les dirigeants doivent répondre n'est pas de savoir si ces personnes de confiance existent, mais s'ils sont capables de les observer, de les comprendre et de bien encadrer leur comportement, au point de pouvoir leur confier des responsabilités en toute confiance.
À l’ère de l’IA, la menace interne disparu. Elle a évolué. Elle s’est automatisée. Et elle évolue désormais à la vitesse d’une machine. Prendre conscience de cette réalité — et adapter notre façon d’envisager la confiance et le risque — constitue l’un des défis les plus importants auxquels les dirigeants devront faire face à l’avenir.
Vous pouvez lire d'autres articles de Mark Wojtasiak, ici sur le Vectra AI .