.svg)
Cet article s'inspire du discours liminaire prononcé par notre PDG, Ismo Paananen, lors de l'événement Cyber Executive + CIO Nordic en mars 2026, intitulé : « Human-in-the-loop ».
La décision la plus importante concernant l'IA dans le domaine de la cybersécurité est celle qui détermine la répartition des tâches entre les humains et l'IA.
La cybersécurité a toujours été un domaine complexe et exigeant, mais aujourd’hui, l’IA commence à redéfinir non seulement la manière dont nous travaillons, mais aussi les rôles de chacun.
La question clé est donc la suivante :
Sur quoi les humains devraient-ils se concentrer, alors que l'IA assume de plus en plus de responsabilités ?
Différents niveaux de collaboration entre l'IA et l'humain
Niveau 1 : L'homme, créateur
Traditionnellement, la cybersécurité a toujours été entièrement mise en place par nous, les humains.
Nous mettons en place les mesures de protection, nous élaborons les stratégies et nous nous chargeons de tout ce qui touche à la cybersécurité.
Les professionnels conçoivent des dispositifs de protection, élaborent des politiques et mettent en place des systèmes. Il s'agit d'un rôle exigeant qui requiert une expertise approfondie, d'autant plus que la cybersécurité ne se limite pas aux aspects techniques, mais englobe l'ensemble du système.
À ce premier niveau, ce sont les humains qui s'occupent de tout.
Niveau 2 : L'humain en tant que rédacteur (l'IA en tant qu'assistant)
De nombreuses organisations franchissent désormais cette nouvelle étape.
Dans une configuration de niveau 2, l'IA génère des ébauches et des suggestions sur la manière dont les choses pourraient être réalisées. Le rôle de l'humain consiste alors à peaufiner, approuver et améliorer ce que l'IA produit.
Cela rend le travail plus accessible et plus évolutif. Les nouveaux membres de l'équipe peuvent apporter leur contribution plus facilement, grâce aux idées générées par l'IA. Cependant, à ce stade, c'est encore l'humain qui effectue l'essentiel du travail. L'IA apporte son aide, mais elle ne dirige pas les opérations.
Niveau 3 : l'humain en tant que validateur (l'IA en tant qu'acteur principal)
Nous pourrons alors aller encore plus loin.
Au troisième niveau, l'IA se charge en réalité de la majeure partie du travail initial. Elle prend en charge l'analyse, la structuration et la proposition de solutions. Le rôle de l'humain se concentre alors sur la supervision et la validation plutôt que sur l'exécution.
Cette évolution est déjà en cours et soulève des questions importantes.
Webinaire : Les agents IA dans le travail ISMS
Découvrez comment les agents IA peuvent accélérer les étapes les plus chronophages de votre processus de conformité, de la mise en place des fondements du SMSI à la gestion des risques, en passant par les audits, les questionnaires, la documentation et la formation, sans compromettre le contrôle, la cohérence ou l'auditabilité.
La question cruciale : est-ce trop de pouvoir pour l'IA ?
À ce stade, une question s'impose naturellement : est-ce déjà trop ? Sommes-nous en train de nous diriger vers une situation où l'IA « en sait plus » que les humains ?
Il y a deux préoccupations principales :
- Une dépendance excessive à l'égard de l'IA
- La perte progressive de l'expertise humaine
Et c'est là qu'il faut faire preuve de prudence, car si l'IA est très performante pour traiter et générer des informations, elle ne comprend pas le contexte de la même manière que les humains.
Pourquoi l'expertise humaine reste-t-elle importante ?
La cybersécurité n'est jamais uniquement technique ; elle est toujours liée à une organisation spécifique. Chaque entreprise fonctionne différemment, avec ses propres exigences, sa propre culture et ses propres méthodes de travail. Certains aspects peuvent être expliqués à l'IA, mais pas tous. Il y a toujours des petits détails et des nuances concrètes qui découlent de l'expérience. Ce sont souvent ces éléments qui déterminent si une solution fonctionne réellement dans la pratique.
C'est pourquoi l'expertise humaine reste essentielle. Il s'agit de s'assurer que tout s'imbrique bien, afin que le résultat ne soit pas seulement correct sur le papier, mais qu'il fonctionne aussi dans la pratique.
L'avenir idéal : la collaboration entre l'homme et l'IA
L'objectif est de tirer parti des atouts tant des humains que de l'IA.
Cela signifie que le rôle de l'humain doit évoluer : il ne s'agit plus de tout construire et de tout faire manuellement, mais plutôt de réfléchir, de valider et de prendre des décisions. L'IA se charge de l'exécution avec rapidité et efficacité. Les humains apportent le contexte, le jugement et une véritable compréhension du fonctionnement de l'entreprise.
Cela est important car les décisions en matière de cybersécurité ne se prennent pas en vase clos. Elles dépendent des priorités de l'entreprise, de la dynamique interne, de la tolérance au risque et d'une multitude de détails que l'IA ne peut pas appréhender pleinement par elle-même.
L'IA peut aider à accélérer le travail. Ce sont les humains qui décident de ce qui est réellement pertinent.
