Mark Nicholson, leader de la modernisation de la cybersécurité de Deloitte aux États-Unis – Série d’entretiens : Une conversation de retour

Mark Nicholson, leader de la modernisation de la cybersécurité de Deloitte aux États-Unis, est un associé de Deloitte avec plus de deux décennies d’expérience à l’intersection de la cybersécurité, de l’intelligence artificielle et du risque d’entreprise. Il dirige les initiatives Cyber AI et la stratégie commerciale de la pratique de cybersécurité de Deloitte, aidant les grandes organisations à moderniser leurs cadres de sécurité et à aligner les investissements en cybersécurité sur les paysages de risque en évolution. Avant Deloitte, il a co-fondé et occupé le poste de directeur des opérations de Vigilant, Inc., une société de conseil en sécurité de l’information axée sur l’intelligence sur les menaces et la surveillance des événements malveillants. Sa carrière précédente dans les rôles de vente et de développement commercial dans plusieurs sociétés de technologie a fourni une solide base à la fois dans les aspects techniques et commerciaux de la cybersécurité.

Deloitte est l’une des plus grandes sociétés de services professionnels au monde, offrant des services d’audit, de conseil, de fiscalité et de conseil aux organisations de presque toutes les industries. Sa pratique de cybersécurité se concentre sur l’aide aux entreprises à naviguer dans des environnements de menaces de plus en plus complexes tout en permettant la transformation numérique grâce à des technologies telles que l’intelligence artificielle. La société fournit des services allant de la stratégie de cybersécurité à la résilience, à la gestion des risques et à la sécurité d’entreprise, positionnant la cybersécurité à la fois comme une fonction de protection et comme un facteur stratégique d’innovation et de croissance.

Ceci fait suite à un entretien précédent qui a été publié en 2025.

Vous avez été impliqué dans la cybersécurité depuis les premiers jours de la surveillance des menaces modernes, y compris la co-fondation de Vigilant et l’introduction de capacités de gestion de l’information et des événements de sécurité (SIEM) et d’intelligence sur les menaces. Comment l’évolution de ces premiers systèmes de surveillance à ces plateformes de défense cybernétique alimentées par l’IA a-t-elle changé la façon dont les organisations détectent et répondent aux menaces ?

Quand nous avons commencé à construire des plateformes de surveillance au début de l’ère SIEM, le défi principal était d’obtenir les données en un seul endroit et de leur donner un sens. Je me souviens que les analystes imprimaient les journaux des pare-feu chaque matin et les examinaient manuellement pour essayer de trouver des anomalies. Même lorsque le SIEM a mûri, il y avait un problème d’échelle. La vitesse humaine n’était pas à la hauteur du nombre massif d’événements détectés. Malgré l’utilisation de l’automatisation, les défenseurs de la cybersécurité avaient toujours un problème de corrélation des données et d’analyse, travaillant constamment à établir de nouvelles règles, souvent en réponse à des défaillances de surveillance.

L’un des espoirs est que l’IA changera cette dynamique de manière fondamentale. Au-delà du déploiement de capacités d’agent pour automatiser les opérations de sécurité de niveau 1, l’IA promet d’aider à passer de la détection et de la réponse de « après les faits » à « pendant qu’il se passe » en exploitant l’ajustement dynamique des algorithmes de surveillance par la machine. Dans certains cas, les organisations de cybersécurité seront également à l’aise pour laisser l’IA initier des actions de remédiation.

Mais la partie difficile ne disparaît pas, elle se déplace. À mesure que les systèmes deviennent plus autonomes et complexes, la confiance et l’observabilité deviennent un champ de bataille : Qu’est-ce que le système fait, pourquoi le fait-il et comment savons-nous qu’il n’a pas été manipulé ? L’opportunité avec l’IA est énorme, mais elle augmente également les enjeux lorsque l’environnement fonctionne à la vitesse de la machine.

Vous avez noté que l’IA permet aux adversaires d’automatiser la reconnaissance, de générer des exploits et d’accélérer les cycles d’attaque. En termes pratiques, à quel point l’IA a-t-elle compressé le temps entre la découverte d’une vulnérabilité et son exploitation ?

Historiquement, il y avait souvent une fenêtre entre la découverte d’une vulnérabilité et son exploitation. Il y avait certainement une urgence, mais généralement, à moins que vous n’ayez été touché par une faille de sécurité zero day, il y avait du temps pour comprendre la menace, corriger et atténuer avant qu’un attaquant ne puisse déployer des exploits à grande échelle. L’IA a pratiquement éliminé cette fenêtre.

Les adversaires peuvent automatiser la reconnaissance, scanner en continu pour détecter les vulnérabilités et utiliser des outils alimentés par l’IA pour accélérer certaines parties du cycle d’attaque. Dans de nombreux cas, ce qui se déroulait auparavant sur des semaines peut maintenant se compresser en quelques heures, et dans des scénarios hautement automatisés, cela peut être plus rapide que la plupart des programmes de sécurité sont conçus pour gérer.

La conclusion est simple : les équipes de sécurité ont besoin d’automatisation et d’IA du côté de la défense, couplées à des contrôles solides, s’ils veulent rester à la même vitesse.

Les équipes de sécurité passent de plus en plus d’un modèle de supervision « humain dans la boucle » à un modèle de supervision « humain sur la boucle ». Quelle est l’apparence opérationnelle de ce changement à l’intérieur d’un centre d’opérations de sécurité (SOC) moderne, et comment les organisations devraient-elles repenser les rôles d’analyste à mesure que l’IA prend en charge des tâches plus autonomes ?

Dans un SOC traditionnel, les analystes sont au centre de chaque point de décision. Les alertes arrivent, les analystes les trient, les examinent et déterminent les actions à prendre. Cette approche fonctionnait lorsque le volume d’alertes et le rythme des attaques étaient gérables. Mais dans l’environnement actuel, l’échelle de l’activité est simplement trop grande pour que les humains agissent comme gardiens de chaque décision.

Le passage à un modèle de supervision humain sur la boucle signifie que les systèmes d’IA peuvent effectuer de nombreuses tâches routinières que les analystes traitaient précédemment, telles que le tri des alertes, la collecte de contexte, la corrélation des données et l’exécution de certaines actions de remédiation. Le rôle humain devient celui de supervision et de validation plutôt que d’exécution manuelle.

Sur le plan opérationnel, cela déplace le temps des analystes loin de la « mouture d’alertes » et vers des travaux à plus forte valeur tels que la chasse aux menaces, l’ingénierie de détection, la simulation d’adversaire et l’amélioration de l’architecture défensive. Les humains restent essentiels, mais leur rôle évolue vers la supervision, le jugement et la stratégie plutôt que vers l’exécution manuelle des données de sécurité.

Nous entendons beaucoup parler de « Cybersécurité sécurisée par conception ». D’après votre point de vue, pourquoi ce concept doit-il s’étendre au-delà de la sécurité du modèle à des systèmes d’identité, à une architecture de permissions et à des couches d’orchestration ?

De nombreuses discussions sur la cybersécurité sécurisée se concentrent fortement sur le modèle lui-même, tel que la protection des données de formation, la prévention de l’empoisonnement du modèle ou la défense contre les attaques d’injection de requêtes. Ce sont des problèmes réels, mais ils ne représentent qu’une partie du risque.

Dans la pratique, les systèmes d’IA fonctionnent comme partie intégrante de grands écosystèmes numériques. Ils accèdent aux données, interagissent avec des API, déclenchent des flux de travail et opèrent de plus en plus par le biais d’agents qui peuvent agir avec un certain degré d’autonomie.

Quand cela se produit, l’identité et les autorisations deviennent le plan de contrôle. Les agents d’IA sont effectivement de nouvelles identités numériques au sein de l’entreprise. Si ces identités ne sont pas gérées correctement, elles peuvent introduire des risques significatifs.

La cybersécurité sécurisée par conception doit donc s’étendre à la gouvernance des identités, aux contrôles d’accès, aux couches d’orchestration et aux systèmes de surveillance qui suivent ce que font ces agents. Les organisations doivent traiter les agents d’IA de la même manière que les utilisateurs humains, avec des autorisations définies, une vérification et une surveillance, sinon la surface d’attaque s’étend rapidement.

De nombreuses entreprises superposent des outils d’IA sur des flux de travail de sécurité legacy conçus pour la vitesse humaine. Quels sont les plus grands changements architecturaux que les organisations doivent apporter pour vraiment profiter de l’IA dans la cybersécurité ?

Un modèle courant consiste à ajouter l’IA à des processus et des flux de travail legacy qui ont été conçus pour des opérations humaines. Ce n’est pas une mauvaise approche initiale, surtout avec l’avènement de la vision par ordinateur. Par exemple, Deloitte a créé un agent qui peut être formé pour remplacer l’humain dans le processus de gouvernance et d’administration des identités sans jeter les solutions logicielles existantes qui seraient difficiles à remplacer. Cela peut conduire à des économies de coûts considérables.

L’avantage futur, cependant, est que les entreprises vont probablement commencer à repenser les flux de travail de sécurité de bout en bout : moderniser la base de données pour que les outils de sécurité puissent accéder de manière fiable à des données de haute qualité et bien structurées ; construire une orchestration pour que les fonctions de détection, de réponse et d’identité fonctionnent comme un système coordonné, et non comme des outils déconnectés.

L’identité prévaut comme l’un des contrôles les plus critiques. À mesure que davantage d’automatisation et d’agents d’IA sont introduits, le nombre d’identités non humaines augmente considérablement. Gérer ces identités de manière efficace est essentiel pour maintenir le contrôle.

La cybersécurité native IA est en fin de compte un mélange de meilleures données, de meilleure orchestration et de gouvernance qui tient compte à la fois des acteurs humains et des machines.

À mesure que les systèmes d’IA deviennent plus autonomes, la surface d’attaque s’étend à des domaines tels que l’orchestration d’agents, les chaînes d’API et les pipelines de décision automatisés. Quelle est la surface émergente qui vous inquiète le plus ?

Si je devais en choisir une qui mérite une attention immédiate, c’est l’identité et les autorisations d’accès aux données à l’intérieur des systèmes d’agents.

À mesure que les organisations introduisent plus d’IA agente, elles créent une population croissante d’acteurs autonomes opérant à l’intérieur de l’entreprise. Ces agents peuvent avoir accès à des données, à des API et à des flux de travail qui sont incroyablement puissants, et cela les rend attractifs pour un attaquant si les autorisations ne sont pas conçues, surveillées et auditées de manière rigoureuse. Il est important de traiter chaque agent comme un nouvel employé : le nommer, le définir, le surveiller et le permettre d’être déconnecté rapidement si nécessaire.

Les chaînes d’API et les pipelines de décision automatisés introduisent également des risques, mais la gouvernance des identités est souvent le contrôle fondamental. Si vous ne pouvez pas clairement répondre à qui est un agent, ce qu’il peut toucher et ce qu’il a fait, vous ne contrôlez vraiment pas.

Du point de vue de la salle du conseil d’administration, comment les dirigeants et les administrateurs réfléchissent-ils actuellement aux risques cybernétiques alimentés par l’IA, et où voyez-vous le plus grand écart entre la réalité technique et la compréhension au niveau du conseil d’administration ?

Les conseils d’administration sont de plus en plus conscients que, même si l’IA apporte des opportunités énormes, elle peut également apporter des risques significatifs. La plupart des administrateurs comprennent que l’IA va façonner la transformation commerciale, et ils commencent à poser des questions sur la gouvernance, la sécurité et la résilience.

L’écart se manifeste souvent par la vitesse et la complexité. De nombreuses discussions au niveau du conseil d’administration se réfèrent encore à des cadres de cybersécurité traditionnels — qui restent importants — mais ils ne reflètent pas toujours à quel point les menaces alimentées par l’IA peuvent évoluer et s’accélérer rapidement.

L’autre déconnexion est que « Est-ce que notre IA est sécurisée ? » sonne comme une seule question, mais la réponse vit à travers la gouvernance des données, l’intégrité du modèle, la gestion des identités et l’orchestration à travers plusieurs systèmes. Les conseils d’administration qui comblent l’écart poussent pour des rapports basés sur le contrôle qui rendent ces pièces mobiles visibles et testables, et investissent du temps pour construire la compétence des administrateurs, afin que la surveillance reste à la hauteur de la technologie.

L’IA est de plus en plus utilisée des deux côtés du champ de bataille. Entrons-nous dans une course aux armements permanente entre l’IA et la cybersécurité, et si oui, quels avantages les défenseurs ont-ils que les attaquants pourraient avoir du mal à reproduire ?

Nous sommes clairement dans une ère où l’IA est utilisée à la fois par les attaquants et les défenseurs. Les adversaires appliquent déjà l’IA pour accélérer la reconnaissance, identifier les vulnérabilités et automatiser certaines parties du cycle d’attaque. Mais les défenseurs ont encore de réels avantages s’ils choisissent de les utiliser.

Les défenseurs ont une visibilité sur leur propre environnement, accès à la télémétrie interne et la capacité de construire des architectures en couches que les attaquants doivent naviguer. L’IA peut aider les défenseurs à analyser d’énormes volumes de données à travers les réseaux, les points de terminaison et les identités, leur donnant le potentiel de détecter un comportement anormal bien plus tôt.

La prise est que l’adoption est nécessaire. Si les défenseurs restent bloqués dans des flux de travail manuels tandis que les attaquants automatisent, l’asymétrie devient brutale. La course aux armements est réelle, et les gagnants seront ceux qui déployeront l’IA avec une solide gouvernance, et non ceux qui ne la testent que partiellement.

Dans votre travail de conseiller auprès de grandes entreprises, quels sont les erreurs les plus courantes que les organisations font lorsqu’elles tentent d’intégrer l’IA dans leur stratégie de cybersécurité ?

L’une des erreurs les plus courantes que nous voyons est de traiter l’IA comme un outil autonome au lieu d’un changement architectural. Les équipes exécutent des expériences isolées sans améliorer la base de données, le modèle de gouvernance ou les processus opérationnels nécessaires pour soutenir l’impact, ce qui conduit à un plateau dans les résultats.

Une autre erreur est de déployer des capacités d’IA sans tenir pleinement compte des nouveaux risques : nouvelles identités, nouveaux flux de données et chemins de décision automatisés qui étendent la surface d’attaque. Si ceux-ci sont ajoutés sans les contrôles appropriés en place, l’IA peut ajouter de la fragilité au lieu de la résilience.

Enfin, de nombreuses organisations sous-estiment l’importance de l’engagement de la main-d’œuvre. Les praticiens qui exécutent les opérations de sécurité chaque jour savent où se trouve la friction et ce que signifie « bon ». Les transformations les plus solides impliquent ces équipes tôt pour que la technologie amplifie leur jugement plutôt que de le perturber.

En regardant trois à cinq ans dans le futur, à quoi ressemblera le centre d’opérations de sécurité (SOC) natif IA par rapport aux environnements SOC d’aujourd’hui ?

Eh bien, il ressemblera probablement beaucoup à cela, de nombreuses manières que je ne peux pas prédire. Il est probable que le SOC du futur fonctionnera comme une force de travail hybride humaine et numérique. Les systèmes d’IA géreront une grande partie du traitement des données, de la corrélation et de la réponse initiale. Les systèmes agents aideront à automatiser les flux de travail à travers la gestion des vulnérabilités, la gouvernance des identités, la réponse aux incidents et la surveillance continue des contrôles.

Les analystes humains restent essentiels, mais le centre de gravité se déplace : la supervision des systèmes d’IA, la validation des cas d’utilisation de détection (plutôt que de les écrire), l’investigation de menaces complexes et l’amélioration de l’architecture défensive.
L’objectif n’est pas de supprimer les humains mais plutôt d’élever leurs rôles. Au lieu de passer du temps à trier les alertes et à assembler manuellement les données, les analystes se concentreront sur les aspects stratégiques de la cybersécurité. La question sera : « Comment allons-nous former la prochaine génération de professionnels de la sécurité lorsque les niveaux 1 et 2 sont entièrement automatisés ? » Peut-être que la réponse se trouve dans l’amélioration spectaculaire de la technologie de simulation et de formation que l’IA peut nous aider à développer.

Les organisations qui réussissent à construire une force de travail hybride réussie, en combinant l’expertise humaine avec l’automatisation alimentée par l’IA, seront probablement les mieux placées pour fonctionner à la vitesse requise dans l’environnement de menaces moderne.

Merci pour cette grande interview, les lecteurs qui souhaitent en savoir plus peuvent visiter Deloitte ou lire notre entretien précédent.