La technologie érige les murs, mais ce sont les humains qui tournent la clé ou oublient de le faire. Christopher Fielder, Field CTO chez Arctic Wolf, plaide pour un changement de culture : passer des formations ponctuelles en sécurité à une éducation continue, et de la confiance aveugle en l’IA à un nouveau modèle de collaboration entre l’homme et la machine.
Mots de passe réutilisés, protocoles de sécurité non respectés : cela arrive sur le terrain, mais tout autant dans les salles de conseil. Fielder observe une tendance inquiétante au niveau de la direction (C-level).
« Nous constatons une tendance regrettable du “faites ce que je dis, pas ce que je fais” », constate M. Fielder. « Les dirigeants sont souvent ceux qui sont ciblés. Dans le cas du spear phishing, on ne s’attaque pas à tout le monde — on cible l’utilisateur à haute valeur ajoutée. »
La direction comme cible
Un danger concret est le business email compromise. M. Fielder esquisse le scénario : si un attaquant accède au compte du directeur financier, il peut envoyer un e-mail à l’équipe financière depuis ce compte pour demander un transfert de fonds vers un compte appartenant à l’attaquant. Comme le message semble légitime, il n’est pas remis en question.
« Nous devons dire à ces individus possédant des comptes privilégiés : c’est à vous de montrer l’exemple. Vous devez établir la norme sur la manière de mettre en œuvre la sécurité », souligne M. Fielder.
« Il ne s’agit pas seulement de tenir les gens pour responsables. Il s’agit d’empêcher qu’ils ne commettent ces mauvaises actions en premier lieu. »
Christopher Fielder, Field CTO chez Arctic Wolf
Les chiffres sont déconcertants. Arctic Wolf a mené une étude sur les erreurs humaines et les faiblesses en cybersécurité. « Ce que nous avons découvert, c’est qu’un pourcentage élevé de dirigeants avait cliqué sur des liens de phishing. Je crois que c’était de l’ordre de 80 %. Mais parmi ceux qui avaient cliqué, une immense majorité se disait tout à fait certaine que leur environnement ne serait pas compromis. »
C’est un paradoxe : les personnes ayant le plus d’accès et le profil de risque le plus élevé sont les moins enclines à suivre les règles, tout en étant les plus convaincues que tout est sous contrôle.
La responsabilité commence par l’éducation
Instaurer une culture de la responsabilité est réaliste, estime M. Fielder, mais il existe des pièges. Rédiger des politiques ne suffit pas ; les gens doivent comprendre ce qu’elles contiennent et pourquoi.
Un exemple actuel : la politique relative à l’IA. De nombreuses organisations rédigent des acceptable use policies pour l’utilisation d’outils comme ChatGPT, mais échouent dans la communication à ce sujet.
« Beaucoup d’organisations rédigent ces règles de politique d’IA, mais elles n’informent pas leurs employés de l’existence de cette politique. Elles ne disent pas ce qu’elle contient. Elles disent simplement : voici la politique, lisez-la, signez pour confirmer la lecture, et c’est tout », explique M. Fielder.
Le résultat ? Si quelqu’un saisit des données confidentielles de l’entreprise dans un modèle d’IA, vous pourrez peut-être tenir cette personne pour responsable après coup, mais le mal est déjà fait.
« Il ne s’agit pas seulement de tenir les gens pour responsables. Il s’agit d’empêcher qu’ils ne commettent ces mauvaises actions en premier lieu », déclare M. Fielder. « Et n’oubliez pas : si vous introduisez des données dans l’IA, vous avez entraîné le modèle avec celles-ci et vous ne pouvez plus les en extraire. Empêchez que cela n’arrive. »
L’IA ne peut se passer de l’humain
L’IA ne peut-elle pas simplement compenser les erreurs humaines ? M. Fielder est clair à ce sujet : l’IA ne peut jamais fonctionner dans un vide.
« L’IA n’est rien de plus qu’un marteau. Un marteau peut être utilisé pour construire un bâtiment ou pour briser une fenêtre. L’IA peut trouver des faiblesses, découvrir des vulnérabilités, identifier des portes dérobées ouvertes et détecter des mots de passe réutilisés. Mais c’est ensuite généralement à l’humain de prendre les mesures nécessaires pour corriger ces erreurs. »
« Si vous introduisez des données dans l’IA, vous avez entraîné le modèle avec celles-ci et vous ne pouvez plus les en extraire. »
Christopher Fielder, Field CTO chez Arctic Wolf
M. Fielder souligne également les limites inhérentes de l’IA : le modèle ne vaut que par les données sur lesquelles il a été entraîné. Il illustre cela par un exemple parlant.
« Supposons que je montre à un nouveau modèle d’IA une série de photos de chats. Tous avec quatre pattes, tous gris, bruns ou blancs. Et puis je montre un chat orange avec trois pattes. Le modèle ne sait pas ce que c’est, car il n’a pas vu cela dans les données d’entraînement. »
Cette même limitation s’applique à la cybersécurité : si un nouveau type d’attaque apparaît et qu’il ne figure pas dans les données d’entraînement, l’IA ne pourra pas le reconnaître. Elle a alors besoin d’un analyste humain qui dise : ceci est inhabituel, quelque chose ne va pas.
De « l’humain dans la boucle » à « l’humain sur la boucle »
Arctic Wolf utilise désormais un nouveau concept qui va au-delà du célèbre principe de « l’humain dans la boucle » (human in the loop). M. Fielder l’appelle « l’humain sur la boucle » (human on the loop) : des personnes impliquées en permanence dans tous les aspects de l’IA, non pas comme un simple rouage de l’ensemble, mais comme un partenaire.
« Nous dépassons le concept de l’humain dans la boucle pour celui de l’humain sur la boucle. Cela signifie que les humains sont impliqués en permanence dans tous les aspects de l’IA, au lieu d’être seulement une pièce du puzzle. C’est une collaboration avec l’IA à tous les niveaux de l’environnement. »
C’est particulièrement pertinent avec l’émergence de l’IA agentique : une IA qui ne se contente pas de générer une réponse, mais qui fait aussi une recommandation et prend ensuite elle-même des mesures.
« Avec l’IA agentique, le système peut dire : j’ai vu quelque chose de suspect, l’attaque a été rapide, je dois réagir vite. Et il prend alors lui-même la mesure de réponse. Mais nous avons au moins besoin d’humains qui observent et disent : cette action était-elle correcte ? Aurait-il dû faire cela ? »
M. Fielder compare le rôle de l’humain à celui d’un mentor ou d’un enseignant. L’humain entraîne, corrige et ajuste — tout comme un manager qui encadre son équipe.
Préserver les compétences de base
Un grand danger que voit M. Fielder est que les professionnels de la sécurité laissent s’étioler leurs compétences fondamentales parce qu’ils se fient trop à l’IA. Il met expressément en garde contre cela.
« Je le dis toujours aux analystes : conservez vos compétences de base. Vous devez être capable de détecter les menaces, de prendre les bonnes décisions sur la manière de réagir et de connaître les bases de votre environnement. Sinon, vous ne saurez pas si l’IA vous donne les bonnes réponses. »
Il fait la comparaison avec un manager qui dirait : « Je n’ai pas besoin de savoir cela, puisque c’est vous qui me le dites. » Le problème : vous ne savez alors pas non plus si quelqu’un vous ment.
« Ne pensez pas que l’IA va simplement faire votre travail à votre place. Il est de votre responsabilité d’être le manager de l’IA. »
Christopher Fielder, Field CTO chez Arctic Wolf
« Ne pensez pas que l’IA va simplement faire votre travail à votre place. Elle peut faciliter certains aspects, mais il est de votre responsabilité d’être le manager de l’IA. Celui qui dit : as-tu fait cela correctement ? Te trompes-tu ? Et comment allons-nous résoudre le problème ? »
Humains et IA : indissociablement liés
L’image que dépeint M. Fielder n’est pas celle d’une IA de remplacement, mais d’une IA de renforcement. Les analystes humains peuvent remarquer des choses que l’IA manque, et réinjecter ces découvertes dans le modèle pour que le système s’améliore sans cesse.
« Nos chasseurs de menaces parcourent l’environnement et cherchent des choses qui auraient pu passer inaperçues avec les méthodes de détection actuelles. Ce qu’ils trouvent, ils le réinjectent dans le modèle : maintenant, tu vas chercher ceci, et nous, nous allons chercher quelque chose de nouveau. »
C’est ainsi qu’apparaît un cycle d’amélioration continue, où l’homme et la machine se complètent. L’humain n’a pas à le faire seul, et l’IA ne peut pas le faire seule. La clé est la collaboration.
Le message de M. Fielder est clair : n’investissez pas seulement dans la technologie, mais aussi dans vos collaborateurs. Ne vous contentez pas de rédiger des politiques, assurez-vous que tout le monde les comprenne. Ne faites pas aveuglément confiance à l’IA, faites-en un partenaire. Dans la cybersécurité de demain, l’humain n’est pas devenu superflu. Au contraire, l’humain est plus important que jamais.
Ceci est un article rédactionnel en collaboration avec Arctic Wolf. Vous souhaitez en savoir plus sur leurs solutions ? Rendez-vous sur cette page pour recevoir l’intégralité de l’interview vidéo.