L’IA ne fait pas seulement évoluer les usages dans les entreprises. Elle commence aussi à recomposer les métiers de la cybersécurité eux-mêmes. Entre sécurité des LLM, IA agentique, AI Red Teaming ou nouveaux profils hybrides mêlant cyber et data, les équipes sécurité doivent désormais apprendre à travailler avec des technologies et des expertises qui relevaient encore récemment d’autres univers.
Ancien CISO de Crédit Agricole Leasing & Factoring, Sandy Dussottier travaille aujourd’hui sur les sujets d’innovation et de sécurité IA au sein de Crédit Agricole Personal Finance & Mobility. Il revient sur l’émergence progressive de nouveaux profils à la frontière entre cyber, data et IA.
Comment évoluent les métiers de la cybersécurité ?
Sandy Dussottier : Historiquement, les équipes cybersécurité travaillaient relativement peu avec les équipes data, et encore moins avec les équipes IA. Avec l’arrivée des LLM et l’accélération des projets IA dans les entreprises, cette séparation devient de plus en plus difficile à maintenir. Les problématiques se croisent désormais directement. Lorsqu’un projet IA arrive dans l’entreprise, les sujets de sécurité, de conformité ou de gestion des risques arrivent immédiatement derrière. Les métiers cyber doivent donc apprendre à comprendre ces nouveaux environnements technologiques. Nous assistons à une convergence progressive entre cyber, IA et data. Et cette évolution avance très vite, probablement plus vite encore que ce que nous avions connu avec le cloud.
Qu’est-ce que ces projets IA ont changé dans votre approche de la cybersécurité ?
Ils nous obligent à travailler sur des sujets qui n’étaient pas forcément dans le périmètre traditionnel des équipes cyber. Aujourd’hui, nous devons comprendre comment les architectures IA sont construites, comment les modèles sont utilisés et comment sécuriser ces nouveaux usages. Nous voyons aussi apparaître de nouvelles problématiques autour de l’IA agentique. Ce sont des sujets qui commencent déjà à émerger dans certaines discussions, notamment autour de la manière de sécuriser ces environnements.Cela change également notre manière d’évaluer les projets. Les équipes sécurité doivent désormais être capables d’analyser des architectures IA, d’anticiper certains risques et de comprendre les implications conformité associées à ces technologies.
Quels nouveaux profils voyez-vous émerger autour de l’IA ?
Nous voyons apparaître plusieurs profils hybrides. L’exemple le plus visible est probablement celui des AI Red Teamers. Historiquement, un Red Teamer travaille sur des infrastructures ou des applications afin d’identifier des vulnérabilités dans les environnements IT. Avec les IA et les LLM, de nouveaux besoins apparaissent autour des modèles eux-mêmes. Cela crée des profils capables de comprendre à la fois les problématiques IA et les problématiques cybersécurité.
« Les équipes cyber doivent comprendre les architectures IA »
Nous voyons aussi émerger des ingénieurs sécurité IA. Ce type d’intitulé n’existait pas réellement auparavant. De la même manière, les prompt engineers prennent de l’importance dans certains projets pour cadrer les usages des modèles et éviter certaines dérives dans les réponses produites. La cartographie des métiers continue d’évoluer très vite. Je pense que nous verrons encore apparaître de nouveaux profils dans les prochaines années.
Comment les équipes cyber et IA apprennent-elles à travailler ensemble ?
Le principal sujet est surtout organisationnel et humain. Les équipes cyber, data et IA n’ont pas forcément les mêmes références, ni les mêmes méthodes de travail. Nous essayons donc de créer davantage d’échanges et de partage d’expérience entre ces populations. L’objectif est de mieux comprendre les compétences et les contraintes de chacun. Nous travaillons aussi sur des sujets très concrets comme la cybercrise et sa dimension cognitive. Ce sont des thèmes qui existent dans le monde académique, notamment à CentraleSupélec, mais qui deviennent aussi très opérationnels dans les grandes entreprises. Dans la cyber, nous nous entraînons beaucoup. C’est un peu comme les militaires : les crises arrivent rarement, mais il faut être prêt lorsqu’elles arrivent.
▶ [À lire également] RETEX : Comment le Crédit Agricole structure sa stratégie data et IA
Quelles qualités recherchez-vous désormais dans les profils cyber ?
Les compétences techniques restent indispensables, mais les soft skills prennent de plus en plus d’importance. Les outils d’IA générative savent déjà produire du contenu, synthétiser des informations ou accélérer certaines tâches. En revanche, il faut toujours quelqu’un capable de prendre du recul sur les résultats produits. L’esprit critique devient essentiel. Il faut savoir vérifier une source, contextualiser une réponse ou détecter quelque chose qui manque de cohérence. L’IA peut aider à dégrossir un sujet, mais elle ne remplace pas encore le jugement humain. Dans les métiers cyber, le bon sens et la capacité
