L’automatisation des cyberattaques atteint aujourd’hui un seuil où les défenses héritées peinent à suivre. Bénéficiant de la finesse et de la volumétrie d’une ingénierie assistée par l’IA, les attaques atteignent un niveau de furtivité et de sophistications jamais atteint. Les entreprises sont contraintes de repenser leur modèle de sécurité, non seulement sous l’angle technologique mais aussi sous celui de la gouvernance, des compétences et de la coordination écosystémique. Bonne nouvelle : la combinaison entre intelligence artificielle générative, traitement en continu des données et coopération européenne ouvre de nouvelles perspectives, à condition que les fondations soient établies avec rigueur.
Les attaques qui ont récemment frappé France Travail ou perturbé le trafic aérien européen illustrent un changement d’échelle. Les rançongiciels pilotés par scripts d’IA, les identités numériques fabriquées à la volée ou les comportements simulés pour tromper les contrôles humains rendent caduc tout dispositif centré sur l’analyse a posteriori. L’enjeu se déplace vers la capacité à détecter plus tôt, à comprendre les signaux faibles, y compris comportementaux, et à enclencher des actions automatisées lorsque la situation l’exige. Ce basculement impose une révision profonde des architectures, car le temps réel suppose des chaînes de données capables d’ingérer, de corréler et de décider en continu. Sans cette continuité, les signaux critiques disparaissent dans le bruit et les équipes réagissent toujours trop tard.
Dans ce champ de bataille feutré, le traitement en continu constitue un élément structurant. Une attaque n’est jamais annoncée et se manifeste souvent par une séquence anodine en apparence, comme une consommation anormale de ressources, un accès en dehors des horaires attendus ou un pic soudain de sollicitations réseau. Interpréter ces signaux au fil de l’eau permet d’agir avant l’escalade. Certaines organisations parviennent déjà à analyser des volumes massifs d’événements en quelques secondes, mais cette capacité repose sur une infrastructure distribuée, des pipelines rationalisés et une synchronisation étroite entre données, modèles et supervision humaine. Ce niveau d’intégration reste encore réservé à une minorité d’acteurs, faute de maturité, de ressources et de référentiels communs.
L’analyse comportementale joue ici un rôle essentiel. En construisant une connaissance stable des usages et des trajectoires d’activité, les entreprises peuvent repérer des écarts subtils qui échappent aux approches conventionnelles. Cette méthode s’applique aussi bien aux systèmes d’information qu’aux environnements industriels ou IoT, où un simple décalage de profil peut indiquer une compromission. Toutefois, cette approche exige des données nombreuses, une mise à jour continue des modèles et un encadrement strict pour éviter l’excès de confiance dans l’automatisation. L’IA peut accélérer l’analyse, mais la validité des décisions dépend encore de l’expertise humaine et de la qualité des procédures.
Ici aussi, la dimension collective devient tout aussi déterminante. Une attaque sophistiquée traverse inévitablement les frontières de l’organisation. Elle exploite les relations fournisseurs, rebondit entre réseaux et mobilise des vulnérabilités partagées. C’est pourquoi la coopération transfrontalière soutenue par l’ENISA et les CERT nationaux gagne en importance. Les règlements européens, de NIS2 au Cyber Resilience Act, cherchent à instaurer une cohérence dans la détection, le partage et la remédiation. Le traitement en flux et l’IA peuvent soutenir cette dynamique, mais seulement si les formats, les protocoles et les responsabilités sont mieux harmonisés. La souveraineté numérique ne se résume pas à l’emplacement des données. Elle repose sur la capacité à orchestrer une réponse commune dans un environnement fragmenté.
Ainsi, un appareillage mixte, IA générative et traitement en continu, offre un levier puissant pour réduire la fenêtre d’exposition, automatiser la réponse initiale et anticiper les mouvements d’adversaires de plus en plus agiles. Pourtant, aucun de ces éléments ne constitue une solution autonome. Leur valeur réelle dépend de leur articulation avec la gouvernance, les compétences internes, la qualité des jeux de données et la capacité à maintenir des chaînes d’information fiables. Le risque serait de considérer ces technologies comme un rempart auto-suffisant alors qu’elles nécessitent une discipline organisationnelle accrue.
En prenant de la hauteur, il s’avère que la résilience numérique ne se jouera pas seulement sur la vitesse de réaction. Elle reposera sur une architecture intégrée, en apportant la cohérence entre données, modèles, infrastructures et collaboration inter-organisations. Les attaquants analysent méticuleusement cette chaîne à la recherche de discontinuités exploitables. Désormais, il incombe aux entreprises de construire la leur, sans surestimer la technologie et sans sous-estimer la gouvernance qui l’accompagne.
Par Niki Hubaut, Country Manager France, Confluent
