Cybersécurité : l’IA fait passer une analyse de 15 minutes à moins d’une minute, mais les experts alertent

La promesse est vertigineuse. Chez Accenture, l’analyse de sécurité d’un site internet prenait en moyenne 15 minutes ^[1]. Depuis le déploiement d’un agent IA baptisé Olivier ^[2], ce délai est tombé à moins d’une minute ^[3], soit une réduction de 93% de l’effort manuel ^[4], appliquée à plus de 100 000 sites ^[5]. Le chiffre figure dans le rapport AI and Cyber: Empowering Defenders publié en 2026 ^[6] par le Forum économique mondial et KPMG ^[7][8], deuxième édition annuelle ^[9] de l’inventaire le plus étendu sur le sujet, fondé sur 20 études de cas ^[10] et 105 représentants de 84 organisations dans 15 secteurs ^[11].

LES ENJEUX

Gains de productivité massifs documentés

Accenture passe de 15 minutes à moins d'une minute par analyse [1][3], avec 93% de réduction d'effort manuel [4]. IBM automatise 850 heures d'analystes par mois [16].

Confiance limitée des professionnels

Seuls 11% des professionnels du SOC se disent entièrement confiants envers l'IA [12], malgré une adoption massive (trois quarts des organisations [13]).

Risque de faux positifs structurels

Les algorithmes non supervisés produisent des faux positifs qui surchargent les analystes au lieu de les soulager [36][38].

Pression étatique sur la France

Deuxième pays le plus ciblé en Europe en 2025 avec 13% des attaques [48], pression continue d'acteurs liés aux services russes et chinois [57].

Horizon 2030 sous tension

L'ANSSI prépare la France à une augmentation massive d'attaques hybrides d'ici 2030 [100], avec un scénario de guerre de haute intensité [96].

Les retours d’expérience s’accumulent. La plateforme ATOM (Autonomous Threat Operations Machine) d’IBM ^[14] traite environ 95% ^[15] des investigations quotidiennes de manière autonome, automatise plus de 850 heures d’analystes par mois ^[16] et réduit de 37% le temps d’investigation ^[17]. Chez Check Point ^[18], le système multi-agents Universe a comprimé l’investigation des logiciels malveillants de trois semaines ^[19] à une heure ^[20]. Petronas ^[21], la compagnie pétrolière nationale malaisienne, fait état d’une réduction de 30 à 40% des temps de réponse aux incidents ^[22]. Google ^[23] a déployé deux agents: Big Sleep identifie les vulnérabilités inconnues, CodeMender a déjà corrigé plus de 100 problèmes de sécurité critiques ^[24].

À l’échelle macroéconomique, les chiffres du Forum économique mondial sont nets: 94% des responsables cyber identifient l’IA comme la principale force de transformation de leur domaine ^[25], les trois quarts des organisations l’ont intégrée à leurs opérations de sécurité ^[13]. L’usage intensif réduit le coût moyen d’une violation de données de 1,9 million de dollars ^[26], environ 1,75 million d’euros ^[27], et raccourcit le cycle de vie d’un incident d’environ 80 jours ^[28]. 88% des équipes ayant adopté l’IA rapportent des gains de temps significatifs ^[29].

L’angle mort: 11% de confiance

Ce que le rapport KPMG/FEM met moins en avant figure dans une autre étude du même cabinet, publiée en 2024 ^[30]: seuls 11% des professionnels interrogés se disent entièrement confiants envers l’IA dans le SOC ^[12]. Une étude Splunk d’avril 2025 ^[31] confirme cette défiance. Le paradoxe est total: 69% des mêmes professionnels estiment que l’automatisation par IA dans le SOC restera importante les deux prochaines années ^[32]. On adopte massivement un outil qu’on ne croit pas fiable.

Florence Mottay, RSSI de Zalando ^[33], résume la prudence ambiante: « Il faut conserver une supervision humaine rigoureuse de l’IA. C’est un outil d’appoint, pas un substitut » ^[34]. Jad Tabet, directeur du SOC de Karman Cyber Defence ^[35], pointe une faille: « les algorithmes utilisés pour le machine learning du SOC ne sont pas supervisés. Donc c’est celui-ci qui décide ce qui est vrai ou faux » ^[36]. Concrètement, un salarié qui uploade un fichier lourd pour une présentation est interprété comme une exfiltration de données ^[37]. Résultat: les faux positifs « obligent les analystes à travailler plus que prévu » ^[38].

Mick Baccio, global security advisor de l’équipe Surge chez Splunk ^[39], trace la ligne de partage: l’IA peut traiter les tâches de niveau 1 comme la classification ^[40], mais pour « les tâches devant mobiliser un processus de pensée critique comme celles relatives au renseignement, aux menaces et à leurs relations, l’IA n’est pas suffisante » ^[41]. Adrien Merveille, security engineer manager France chez CheckPoint ^[42], reconnaît la puissance de l’outil - « une vitesse et une profondeur inatteignable humainement » ^[43] - sans contredire ce constat.

KPMG juge et partie: le double discours du cabinet

La double posture de KPMG mérite l’arrêt sur image. Le cabinet est co-auteur, aux côtés du Forum économique mondial, du rapport AI and Cyber: Empowering Defenders ^[7][8] qui agrège les chiffres les plus spectaculaires de l’industrie - 93% de gains chez Accenture ^[4], 95% d’investigations autonomes chez IBM ^[15], 25% d’efficacité supplémentaire dans les activités de renseignement de KPMG lui-même ^[45]. C’est ce même cabinet qui, en 2024, publiait l’étude révélant que 11% seulement des professionnels du SOC font entièrement confiance à l’IA ^[12]. Laurent Gobbi, associé et responsable mondial Cyber Tech Risk chez KPMG, plaide pour « l’IA comme multiplicateur de force pour la défense cyber » ^[46] - un argumentaire qui sert directement les missions de conseil et d’audit que le cabinet vend à ses clients.

Le conflit n’est pas anecdotique: il fragilise la valeur probante des chiffres de productivité agrégés dans le rapport FEM. Aucune méthodologie indépendante n’a contre-expertisé les déclarations des 84 organisations interrogées ^[11], lesquelles sont, dans leur grande majorité, soit fournisseuses, soit clientes d’une solution IA dont la promotion alimente leur chiffre d’affaires. On se souvient que les éditeurs de SIEM (Security Information and Event Management) avaient, par le passé, vanté des gains de productivité comparables avant que la communauté des analystes ne documente une alert fatigue chronique, devenue depuis un sujet d’étude récurrent dans le secteur. Le précédent invite à la prudence devant des courbes de productivité jamais auditées par un tiers neutre.

Pression étatique: qui presse, avec quoi

Le débat sur la fiabilité de l’IA défensive n’est pas théorique. La France est, selon le rapport annuel de Check Point publié en février 2026 ^[47], l’un des pays les plus ciblés en Europe avec 13% des attaques ^[48], derrière le Royaume-Uni (17%) ^[49]. L’ANSSI ^[50] a, de son côté, traité 3 586 événements de sécurité en 2025 ^[51], en baisse de 18% ^[52] sur l’effet de base des Jeux Olympiques de Paris 2024 ^[53], mais a confirmé 1 366 incidents avérés ^[54], stable par rapport aux 1 361 de 2024 ^[55].

La pression sur la France s’exerce sur deux registres distincts qu’il faut distinguer. D’un côté, une pression offensive documentée par l’ANSSI: des modes opératoires liés « aux services de renseignement russes ou chinois » ^[56][57] visent les réseaux diplomatiques ^[58] pour la collecte stratégique, et les infrastructures critiques - télécoms, énergie - avec « la poursuite des tentatives de sabotage » ^[59][60]. Les Échos rappellent qu’en 2025, des fuites ont touché les ministères de l’Intérieur, de la Santé et des Sports ^[61]. Vincent Strubel, directeur général de l’ANSSI ^[62], a prononcé l’avertissement le plus dur: « L’année 2025 s’est terminée de manière alarmante sur une série d’attaques informatiques contre les infrastructures électriques polonaises, attaques coordonnées et à visée destructive. Cet évènement dresse le spectre du scénario redouté, auquel la France se prépare. » ^[63]

De l’autre, une pression normative assumée par l’exécutif. Le Premier ministre Sébastien Lecornu a récemment annoncé un plan d’action pour renforcer la protection numérique de l’État, avec des responsabilités clarifiées pour chaque service. À cela s’ajoute l’effort de formation porté par l’ANSSI: Hugo Mania, chef de projet IA à l’agence ^[64], a annoncé qu’une formation de « sensibilisation aux enjeux de cybersécurité liés à l’IA » serait dispensée au Centre de formation à la sécurité des systèmes d’information (CFSSI) ^[65][66]. La directive NIS 2, transposée dans le droit français, étend les obligations de notification d’incident à plusieurs milliers de nouvelles entités. C’est cette articulation entre pression géopolitique externe et structuration réglementaire interne qui définit l’environnement dans lequel l’IA défensive est massivement déployée.

Les attaquants accélèrent aussi: deux panoramas, deux grilles de lecture

Les attaquants évoluent à mesure que les défenseurs s’équipent. Deux panoramas coexistent et ne mesurent pas la même chose, ce qui explique des écarts considérables entre chiffres apparemment comparables. Côté Check Point, qui catégorise les incidents recensés par type d’opération, les attaques par déni de service (DDoS) représentent désormais 47% des incidents en France ^[67], contre 27% en 2024 ^[68]; les attaques par defacement pèsent 22% ^[69], les ransomwares chutent de 35% à 16% ^[70][71], les intrusions avec vol de données de 37% à 12% ^[72][73]. Côté sectoriel toujours chez Check Point, les services aux entreprises concentrent 18% des attaques ^[74] et le retail 15% ^[75], avec un pic de près de 25% des incidents enregistrés sur le seul mois de décembre 2025 ^[76].

Côté ANSSI, la grille est radicalement différente: l’agence ventile les incidents non par modalité d’attaque mais par secteur victime, et son périmètre se limite aux incidents qu’elle a elle-même traités. Selon cette comptabilité, 76% des cas se concentrent sur quatre verticales ^[77]: éducation et recherche (34%) ^[78][79], ministères et collectivités (24%) ^[80][81], santé (10%) ^[82][83], télécoms (9%) ^[84][85] - la somme arrondie des composantes diffère légèrement du chiffre de synthèse publié par l’agence. Les deux grilles - l’une par modalité d’attaque sur un large échantillon privé, l’autre par cible sectorielle sur les incidents remontés à l’agence nationale - ne sont donc pas substituables et illustrent la difficulté à agréger des panoramas hétérogènes. Un autre indicateur de l’ANSSI évalue à 42% la part des fuites de données confirmées comme associées à des compromissions avérées en 2025 ^[86]. « Les opérations axées sur la perturbation sont plus rapides à exécuter et plus faciles à déployer à grande échelle que les intrusions prolongées » ^[87], note le rapport Check Point. Le collectif pro-russe Noname057(16) ^[88] a multiplié ses attaques par 411% ^[89], Keymous+ ^[90] de 2 120% ^[91], le groupe ransomware Qilin ^[92] a frappé 51 fois en France (+750%) ^[93][94].

Horizon 2030: un calendrier sous tension

Aux Assises de la cybersécurité d’octobre 2025 ^[95], Vincent Strubel avait fixé l’horizon: la France doit être « prête à faire face à une guerre de haute intensité » ^[96] d’ici 2030, avec le risque « d’être submergé » par les attaques, « d’en subir tellement à la fois qu’on ne pourra plus rien faire » ^[97]. Le directeur général de l’ANSSI le répétait dans l’édito du rapport d’activité 2025: il faut « se préparer à un scénario d’attaques informatiques beaucoup plus massives » ^[98], scénario qui « n’est pas une fatalité » ^[99]. L’agence anticipe ainsi une augmentation massive des attaques hybrides d’ici 2030 ^[100], horizon qui structure désormais la doctrine cyber française au-delà de la seule défense civile - Strubel parle explicitement d’un « engagement de nos armées » ^[96].

Le problème, c’est que le calendrier technologique avance plus vite que le calendrier géopolitique. Selon Gartner, 15% des décisions quotidiennes en entreprise seront prises par des agents IA d’ici 2028 ^[101]. Deux ans avant l’échéance 2030 fixée par l’ANSSI, une part significative de la posture défensive française sera donc, dans les faits, déléguée à des systèmes autonomes que leurs propres utilisateurs jugent peu fiables. Le rapport KPMG/FEM cite lui-même un obstacle massif: 54% des organisations citent le manque de talents qualifiés comme principal frein à l’adoption ^[102]. Sans analystes capables de challenger les décisions des agents, on transfère la responsabilité vers une boîte noire au moment précis où la menace étatique devient la plus aiguë. L’annonce du Premier ministre Lecornu sur la répartition des responsabilités cyber par service de l’État tente de répondre à ce risque par la gouvernance, mais ne dit rien des effectifs ni des budgets associés.

Ce que les sources ne disent pas

Le paradoxe central reste impensé dans les rapports promotionnels. Les chiffres de gain de productivité - 93% chez Accenture ^[4], 92% de réduction du temps de réaction avec les SOAR IA ^[103] - proviennent presque tous des fournisseurs ou cabinets ayant intérêt à vendre la solution. Aucune source consultée ne fournit d’estimation indépendante du coût caché des faux positifs sur le temps réel des analystes - exactement la critique soulevée par Jad Tabet ^[38]. Le précédent des SOAR de première génération est instructif: déployés avec des promesses de réduction des faux positifs comparables à celles vantées aujourd’hui pour l’IA agentique, ils ont surtout généré une alert fatigue documentée par la suite dans les retours d’expérience du secteur. Rien ne garantit que la nouvelle génération échappe au même biais d’évaluation.

L’autre angle absent: la course offensive. Les attaques de phishing sont passées de 210 000 en 2022 à 550 000 en 2024 ^[104][105] selon Martin J Kraemer (KnowBe4) ^[106], 45% des entreprises ont déjà subi une attaque par deepfake selon Capgemini ^[107], et les malwares à IA modifient leur code pour échapper aux antivirus ^[108]. Si l’IA défensive gagne 80 jours sur le cycle d’un incident ^[28], l’IA offensive industrialise des attaques que rien n’industrialisait avant. Le rapport FEM affirme que l’IA peut « faire basculer l’équilibre en faveur des défenseurs » ^[109] selon Akshay Joshi ^[44]. Aucun chiffre indépendant ne le démontre. Pour l’instant, ce qui est documenté, c’est que les deux camps accélèrent en même temps.