Mark Nicholson, responsable de la modernisation de la cybersécurité chez Deloitte aux États-Unis – Série d'entretiens : Retour sur la conversation

Marc Nicholson[Nom du responsable de la modernisation de la cybersécurité chez Deloitte aux États-Unis] est associé chez Deloitte et possède plus de vingt ans d'expérience à l'intersection de la cybersécurité, de l'intelligence artificielle et de la gestion des risques d'entreprise. Il pilote les initiatives en matière d'IA pour la cybersécurité et la stratégie commerciale du pôle cybersécurité de Deloitte, aidant ainsi les grandes organisations à moderniser leurs cadres de sécurité et à aligner leurs investissements en cybersécurité sur l'évolution des risques. Avant de rejoindre Deloitte, il a cofondé et dirigé les opérations de Vigilant, Inc., une société de conseil en sécurité de l'information spécialisée dans le renseignement sur les menaces et la surveillance des événements malveillants. Son expérience antérieure dans les ventes et le développement commercial au sein de plusieurs entreprises technologiques lui a permis d'acquérir une solide expertise des aspects techniques et commerciaux de la cybersécurité.

Deloitte est l'un des plus grands cabinets de services professionnels au monde, offrant des services d'audit, de conseil, de fiscalité et d'accompagnement aux organisations de presque tous les secteurs. Son expertise en cybersécurité vise à aider les entreprises à naviguer dans des environnements de menaces de plus en plus complexes tout en favorisant leur transformation numérique grâce à des technologies telles que l'intelligence artificielle. Le cabinet propose des services couvrant la stratégie cyber, la résilience, la gestion des risques et la sécurité d'entreprise, positionnant la cybersécurité à la fois comme une fonction de protection et un levier stratégique d'innovation et de croissance.

Cela fait suite à un interview précédente qui a été publié en 2025.

Vous êtes impliqué dans la cybersécurité depuis les débuts de la surveillance moderne des menaces, notamment en tant que cofondateur de Vigilant et en contribuant à la commercialisation des premières solutions de gestion des informations et des événements de sécurité (SIEM) et de renseignement sur les menaces. Comment l'évolution de ces premiers systèmes de surveillance aux plateformes de cyberdéfense actuelles, basées sur l'IA, a-t-elle transformé la manière dont les organisations détectent les menaces et y répondent ?

Lorsque nous avons commencé à développer des plateformes de surveillance aux débuts du SIEM, le principal défi consistait à centraliser les données et à les exploiter. Je me souviens que chaque matin, les analystes imprimaient les journaux de pare-feu et les examinaient manuellement pour y déceler des anomalies. Même avec la maturation du SIEM, un problème d'échelle persistait. La vitesse humaine était insuffisante face au nombre massif d'événements détectés. Malgré l'automatisation, les équipes de cybersécurité étaient toujours confrontées à des difficultés de corrélation et d'analyse des données, et devaient constamment élaborer de nouvelles règles, souvent en réaction à des défaillances de la surveillance.

L'un des espoirs est que l'IA transforme radicalement cette dynamique. Au-delà du déploiement de capacités d'agents pour automatiser les opérations de sécurité de niveau 1, l'IA promet de permettre une détection et une réponse plus réactives, en tirant parti du réglage dynamique des algorithmes de surveillance. Dans certains cas, les organisations de cybersécurité accepteront également que l'IA prenne l'initiative des actions correctives.

Mais la difficulté ne disparaît pas, elle se déplace. À mesure que les systèmes deviennent plus autonomes et complexes, la confiance et l'observabilité deviennent des enjeux cruciaux : que fait le système, pourquoi le fait-il, et comment savoir s'il n'a pas été manipulé ? Le potentiel de l'IA est immense, mais les enjeux sont d'autant plus importants que l'environnement fonctionne à la vitesse de la machine.

Vous avez constaté que l'IA permet aux adversaires d'automatiser la reconnaissance, de générer des exploits et d'accélérer les cycles d'attaque. Concrètement, dans quelle mesure l'IA a-t-elle réduit le délai entre la découverte d'une vulnérabilité et son exploitation ?

Historiquement, il existait souvent un laps de temps entre la découverte d'une vulnérabilité et son exploitation. L'urgence était certes présente, mais généralement, sauf en cas de faille zero-day, on disposait du temps nécessaire pour comprendre la menace, corriger le problème et mettre en place des mesures d'atténuation avant qu'un attaquant puisse déployer des exploits à grande échelle. L'IA a quasiment éliminé ce laps de temps.

Les adversaires peuvent automatiser la reconnaissance, surveiller en continu les vulnérabilités et utiliser des outils d'IA pour accélérer le développement et le ciblage des exploits. Dans de nombreux cas, ce qui prenait des semaines peut désormais se faire en quelques heures, et dans les scénarios hautement automatisés, plus rapidement que la plupart des programmes de sécurité ne peuvent le gérer.

La conclusion est simple : les équipes de sécurité ont besoin d’automatisation et d’IA côté défense, associées à des contrôles rigoureux, si elles veulent rester compétitives.

Les équipes de sécurité passent de plus en plus d'un modèle de supervision où l'humain est présent dans la boucle à un modèle où l'humain est davantage impliqué. Comment cette évolution se traduit-elle concrètement au sein d'un centre d'opérations de sécurité (SOC) moderne ? Et comment les organisations doivent-elles repenser le rôle des analystes à mesure que l'IA prend en charge des tâches de plus en plus autonomes ?

Dans un SOC traditionnel, les analystes sont au cœur de chaque décision. Ils reçoivent des alertes, les trient, les examinent et déterminent les actions à entreprendre. Cette approche fonctionnait lorsque le volume d'alertes et le rythme des attaques étaient gérables. Mais aujourd'hui, l'ampleur de l'activité est tout simplement trop importante pour que des humains puissent contrôler chaque décision.

Le passage à une approche centrée sur l'humain signifie que les systèmes d'IA peuvent désormais effectuer de nombreuses tâches routinières auparavant dévolues aux analystes, telles que le tri des alertes, la collecte de contexte, la corrélation des données et la mise en œuvre de certaines actions correctives. Le rôle de l'humain se limite alors à la supervision et à la validation, plutôt qu'à l'exécution manuelle.

Sur le plan opérationnel, cela permet aux analystes de consacrer moins de temps au traitement des alertes et davantage à des tâches à plus forte valeur ajoutée telles que la recherche de menaces, l'ingénierie de la détection, la simulation d'attaques et l'amélioration de l'architecture défensive. L'intervention humaine demeure essentielle, mais son rôle évolue vers la supervision, le jugement et la stratégie, plutôt que vers le traitement principal des données de sécurité.

On entend beaucoup parler de « sécurité de l’IA dès la conception ». Selon vous, pourquoi ce concept doit-il s’étendre au-delà de la sécurité des modèles pour inclure les systèmes d’identité, l’architecture des autorisations et les couches d’orchestration ?

De nombreux débats sur la sécurité de l'IA se concentrent principalement sur le modèle lui-même, notamment la protection des données d'entraînement, la prévention de l'empoisonnement du modèle ou la défense contre les attaques par injection de code. Ce sont des problèmes réels, mais ils ne représentent qu'une partie du risque.

En pratique, les systèmes d'IA fonctionnent au sein d'écosystèmes numériques beaucoup plus vastes. Ils accèdent aux données, interagissent avec les API, déclenchent des flux de travail et opèrent de plus en plus par l'intermédiaire d'agents capables d'agir avec un certain degré d'autonomie.

Dans ce cas, l'identité et les autorisations deviennent le point de contrôle. Les agents d'IA constituent de nouvelles identités numériques au sein de l'entreprise. Si ces identités ne sont pas correctement gérées, elles peuvent engendrer des risques importants.

La sécurité de l'IA dès sa conception doit donc s'étendre à la gouvernance des identités, aux contrôles d'accès, aux couches d'orchestration et aux systèmes de surveillance permettant de suivre l'activité de ces agents. Les organisations doivent traiter les agents d'IA comme des utilisateurs humains, avec des autorisations définies, des audits et une supervision, faute de quoi la surface d'attaque s'étend rapidement.

De nombreuses entreprises superposent des outils d'IA à leurs processus de sécurité traditionnels, conçus pour une exécution humaine. Quels sont les principaux changements architecturaux que les organisations doivent opérer pour tirer pleinement parti de l'IA en matière de cyberdéfense ?

Une pratique courante consiste à intégrer l'IA aux processus et flux de travail existants, conçus pour des opérations manuelles. Cette approche est pertinente dans un premier temps, d'autant plus que la vision par ordinateur est devenue une réalité. Par exemple, Deloitte a créé un agent capable de remplacer l'humain dans le processus de gouvernance et d'administration des identités, sans pour autant abandonner les solutions logicielles dédiées existantes, dont la migration serait complexe. Cette approche peut générer des économies considérables.

L'avantage futur réside toutefois dans le fait que les entreprises commenceront probablement à repenser leurs flux de travail de sécurité de bout en bout : moderniser l'infrastructure de données afin que les outils de sécurité puissent accéder de manière fiable à une télémétrie de haute qualité et bien structurée ; mettre en place une orchestration afin que les fonctions de détection, de réponse et d'identité fonctionnent comme un système coordonné, et non comme des outils déconnectés.

L'identité demeure l'un des mécanismes de contrôle les plus critiques. Avec l'essor de l'automatisation et des agents d'IA, le nombre d'identités non humaines augmente considérablement. La gestion efficace de ces identités devient donc essentielle au maintien du contrôle.

La sécurité native de l'IA est en fin de compte un mélange de meilleures données, d'une meilleure orchestration et d'une gouvernance qui prend en compte à la fois les acteurs humains et les machines.

À mesure que les systèmes d'IA gagnent en autonomie, leur surface d'attaque s'étend à des domaines tels que l'orchestration des agents, les chaînes d'API et les pipelines de décision automatisés. Laquelle de ces surfaces émergentes vous inquiète le plus ?

S'il fallait choisir un domaine qui mérite une attention immédiate, ce serait celui des autorisations d'accès à l'identité et aux données au sein des systèmes pilotés par agents.

À mesure que les organisations déploient davantage d'IA agentielle, elles créent une population croissante d'acteurs autonomes opérant en interne. Ces agents peuvent avoir accès à des données, des API et des flux de travail extrêmement puissants, ce qui en fait une cible de choix pour les attaquants si les permissions ne sont pas conçues, surveillées et auditées rigoureusement. Il est essentiel de traiter chaque agent comme un nouvel employé : le nommer, définir son périmètre d'action, le surveiller et permettre sa déconnexion rapide en cas de besoin.

Les chaînes d'API et les pipelines de décision automatisés présentent également des risques, mais la gouvernance des identités constitue souvent le contrôle fondamental. Si vous ne pouvez pas répondre clairement à la question de l'identité d'un agent, de ses droits d'accès et de ses actions, vous ne le contrôlez pas réellement.

Du point de vue du conseil d'administration, comment les dirigeants et les administrateurs perçoivent-ils actuellement les cyber-risques liés à l'IA, et où constatez-vous le plus grand écart entre la réalité technique et la compréhension au niveau du conseil d'administration ?

Les conseils d'administration sont de plus en plus conscients que si l'IA offre d'immenses opportunités, elle peut aussi engendrer des risques importants. La plupart des administrateurs comprennent que l'IA façonnera la transformation des entreprises et commencent à s'interroger sur la gouvernance, la sécurité et la résilience.

Le problème réside souvent dans la rapidité et la complexité. De nombreuses discussions au sein des conseils d'administration s'appuient encore sur des cadres de cybersécurité traditionnels – qui restent importants – mais ils ne reflètent pas toujours la rapidité avec laquelle les menaces alimentées par l'IA peuvent évoluer et se propager.

L'autre difficulté réside dans le fait que la question « Notre IA est-elle sécurisée ? » semble simple, mais la réponse englobe la gouvernance des données, l'intégrité des modèles, la gestion des identités et l'orchestration au sein de multiples systèmes. Les conseils d'administration qui s'efforcent de combler cet écart privilégient un reporting basé sur le contrôle, permettant de rendre ces éléments interdépendants visibles et vérifiables, et investissent du temps dans la formation des administrateurs afin que la supervision suive l'évolution technologique.

L'IA est de plus en plus utilisée des deux côtés du champ de bataille. Sommes-nous en train d'entrer dans une course permanente aux armements en matière de cybersécurité entre IA ? Et si oui, quels avantages les défenseurs possèdent-ils que les attaquants auront du mal à reproduire ?

Nous sommes clairement entrés dans une ère où l'IA est utilisée aussi bien par les attaquants que par les défenseurs. Les adversaires ont déjà recours à l'IA pour accélérer la reconnaissance, identifier les vulnérabilités et automatiser certaines étapes du cycle de vie d'une attaque. Mais les défenseurs conservent des avantages considérables s'ils choisissent de l'exploiter.

Les équipes de défense bénéficient d'une visibilité complète sur leur environnement, d'un accès aux données télémétriques internes et de la capacité de concevoir des architectures multicouches que les attaquants doivent contourner. L'IA peut les aider à analyser d'énormes volumes de données provenant des réseaux, des terminaux et des identités, leur permettant ainsi de détecter les comportements anormaux beaucoup plus tôt.

Le hic, c'est l'adoption. Si les défenseurs restent cantonnés à des processus manuels tandis que les attaquants automatisent, le déséquilibre devient criant. La course à l'armement est bien réelle, et les vainqueurs seront ceux qui déploieront une IA dotée d'une gouvernance solide, et non ceux qui se contenteront de la tester.

Dans le cadre de votre travail de conseil auprès de grandes entreprises, quelles sont les erreurs les plus fréquentes commises par les organisations lorsqu'elles tentent d'intégrer l'IA à leur stratégie de cybersécurité ?

L'une des erreurs les plus fréquentes consiste à considérer l'IA comme un outil isolé plutôt que comme une transformation architecturale. Les équipes mènent des expériences isolées sans moderniser l'infrastructure de données, le modèle de gouvernance ni les processus opérationnels nécessaires pour pérenniser l'impact, ce qui entraîne une stagnation des résultats.

Une autre erreur consiste à déployer des capacités d'IA sans tenir pleinement compte des nouveaux risques : nouvelles identités, nouveaux flux de données et processus de décision automatisés qui élargissent la surface d'attaque. Si ces éléments sont ajoutés sans les contrôles adéquats, l'IA peut engendrer de la fragilité au lieu de la résilience.

Enfin, de nombreuses organisations sous-estiment l'importance de l'implication des employés. Les professionnels qui gèrent les opérations de sécurité au quotidien savent où se situent les points de friction et ce qu'est un fonctionnement optimal. Les transformations les plus réussies intègrent ces équipes dès le début afin que la technologie renforce leur jugement au lieu de le perturber.

Dans un avenir de trois à cinq ans, à quoi ressemblera le centre d'opérations de sécurité natif de l'IA par rapport aux environnements SOC actuels ?

Eh bien, il y a fort à parier que ce sera très différent, et ce, à bien des égards que je ne peux prédire. Selon toute vraisemblance, le SOC du futur fonctionnera avec une main-d'œuvre hybride, composée d'humains et de solutions numériques. Les systèmes d'IA prendront en charge une grande partie du traitement des données, de leur corrélation et des premières interventions. Les systèmes d'agents contribueront à automatiser les flux de travail liés à la gestion des vulnérabilités, à la gouvernance des identités, à la réponse aux incidents et à la surveillance continue.

Les analystes humains restent essentiels, mais le centre de gravité se déplace : il s’agit désormais de superviser les systèmes d’IA, de valider les cas d’utilisation de la détection (plutôt que de les rédiger), d’enquêter sur les menaces complexes et d’améliorer l’architecture défensive.
L'objectif n'est pas de supprimer l'humain, mais plutôt de valoriser son rôle. Au lieu de passer du temps à trier les alertes et à compiler manuellement les données, les analystes se concentreront sur les aspects stratégiques de la cybersécurité. La question sera : « Comment former la prochaine génération de professionnels de la sécurité lorsque les niveaux 1 et 2 seront entièrement automatisés ? » La réponse réside peut-être dans l'amélioration spectaculaire des technologies de simulation et de formation que l'IA peut nous aider à développer.

Les organisations qui réussissent à constituer une main-d'œuvre hybride performante, combinant l'expertise humaine et l'automatisation pilotée par l'IA, seront probablement les mieux placées pour opérer au rythme requis par l'environnement de menaces actuel.

Merci pour cette excellente interview, les lecteurs qui souhaitent en savoir plus devraient visiter Deloitte ou lire notre interview précédente.