L’intelligence artificielle déplace le centre de gravité du risque cyber vers l’humain. Pour Jean-Baptiste Artignan, CEO et directeur commercial de BlueSecure, la généralisation des agents automatisés, la progression du spear phishing industrialisé et l’essor du shadow AI obligent les entreprises à repenser leur gouvernance. Entre pression réglementaire, exigences des assureurs et transformation des pratiques managériales, la sensibilisation change d’échelle et de nature.
La cybersécurité s’est longtemps concentrée sur les couches techniques. Pare-feu, authentification multifacteur, segmentation réseau et modèles Zero Trust ont structuré les investissements des DSI et des RSSI. Pourtant, dans la majorité des incidents documentés, un facteur humain intervient à un moment de la chaîne d’attaque. L’irruption massive de l’IA modifie profondément cet équilibre. Elle renforce la capacité offensive des attaquants et introduit, dans le même temps, de nouveaux usages internes non encadrés. Entretien.
IT Social: Avant d’aborder l’IA et la gouvernance, pouvez-vous présenter BlueSecure et votre positionnement sur le marché ?
Jean-Baptiste Artignan: « BlueSecure existe depuis 2017. Nous sommes spécialisés dans la sensibilisation des collaborateurs au risque cyber. Nous proposons une plateforme en ligne qui permet aux RSSI de piloter leur programme de sensibilisation de A à Z. Nous couvrons la simulation d’attaques, notamment le phishing, mais avec une particularité forte : nous adressons tous les canaux utilisés aujourd’hui par les attaquants. Cela inclut le courriel, le SMS, le QR code, le téléphone, les clés USB piégées ou encore les messageries instantanées. L’objectif est de refléter le niveau réel de la menace, qui est désormais multicanale. »
« Nous avons également développé un éditeur de scénarios intégrant de l’IA afin de créer des simulations réalistes et contextualisées. Mais la simulation n’est qu’une partie du dispositif. Le cœur de notre activité repose sur la formation immersive : des formats interactifs, gamifiés, des escape games en ligne, des aventures scénarisées où l’utilisateur est mis en situation. Nous voulons sortir du modèle classique de la formation descendante pour travailler sur la mémorisation et la compréhension des enjeux. Notre modèle est celui d’une plateforme par abonnement annuel, avec un catalogue qui évolue en permanence. La menace change, les usages changent, donc la sensibilisation doit évoluer en continu. »
En quoi l’IA modifie-t-elle la nature du risque cyber côté humain ?
« Il y a les deux aspects. Il y a l’IA utilisée dans les attaques et l’IA utilisée par les utilisateurs en tant qu’outil. Sur la partie attaque, ce qui change, c’est l’automatisation. Avant, pour mener un spear phishing ciblé, il fallait un humain derrière, qui fasse des recherches sur la personne visée et qui construise un scénario. Aujourd’hui, on peut programmer un agent qui va collecter des informations en sources ouvertes, agréger des données issues de fuites et générer automatiquement des messages personnalisés. »
« On se dirige vers un spear phishing généralisé. Là où, auparavant, seules certaines fonctions ou certains secteurs sensibles étaient ciblés, l’automatisation permet d’élargir le spectre. Le pilotage devient un tableau de bord. Les scénarios partent, et l’intervention humaine se limite à exploiter les résultats. »
Le risque ne vient pas uniquement des attaquants, l’usage en interne de l’IA pose aussi question.
« Exactement. On parle de shadow AI, comme on parlait de shadow IT. Les collaborateurs utilisent des outils non validés parce qu’ils y voient un gain immédiat de productivité. Une assistante peut enregistrer une réunion stratégique, la faire transcrire et résumer par un service externe sans se rendre compte qu’elle transfère des données sensibles. Les utilisateurs ne perçoivent pas toujours qu’ils exposent des informations confidentielles. Même reformuler un courriel peut impliquer des données personnelles ou des éléments stratégiques. Les données personnelles ne peuvent pas être transférées sans base légale. Les données confidentielles sont protégées par le contrat de travail. Injecter ces informations dans une IA publique pose des questions de conformité et de responsabilité. »
IT Social : Qui doit porter cette transformation : la DSI, la RSSI, la DRH, les managers ?
« La priorité, ce sont les équipes techniques. Elles doivent proposer des outils encadrés. Sinon, les utilisateurs iront vers des solutions publiques. Mais au milieu, il y a le management. Vous avez raison : le manager de proximité est clé. Envoyer un document à signer ne garantit pas l’appropriation. Pour appliquer une règle, il faut en comprendre les enjeux. Le manager peut contextualiser les risques en fonction des usages métiers de son équipe et rappeler les bonnes pratiques au quotidien. Sur l’IA, on entre progressivement dans la formation métier. Le prompting, par exemple, devient une compétence. Nous développons des modules spécifiques sur l’art de formuler des requêtes, car cela conditionne la qualité des résultats et la maîtrise des données exposées. »
Le marché de la formation cyber et IA est en effervescence, une consolidation est-elle inévitable ?
« Le marché est encore en phase d’exploration. Beaucoup d’acteurs proposent des approches classiques. D’autres, comme nous, investissent dans des formats interactifs, des scénarios immersifs, de la gamification. La sensibilisation devient une plateforme avec un abonnement annuel, proche du modèle logiciel. Former une fois ne suffit pas. Les menaces évoluent, les usages aussi. Il faut renouveler les formats pour maintenir l’attention. Si on répète exactement le même module chaque année, le message ne passe plus. Les outils changent toutes les semaines. Nous testons en continu les nouvelles solutions. Il faut identifier les dénominateurs communs, comme le prompting, pour construire des formations durables malgré la volatilité technologique. »
« La sensibilisation, ce n’est plus éviter un clic malheureux. Elle devient un levier de gouvernance, d’employabilité et de compétitivité. L’IA, accessible instantanément à l’échelle mondiale, impose une adaptation plus rapide que les révolutions technologiques précédentes. La maîtrise du risque humain constitue désormais un enjeu stratégique partagé entre la technique, le management et la direction générale. »
