L’intelligence artificielle modifie déjà les équilibres opérationnels des équipes cybersécurité. Automatisation accrue, nouvelles surfaces d’exposition, évolution des compétences : le sujet ne relève plus de la prospective.
Pour les grandes organisations, l’enjeu consiste désormais à intégrer l’IA sans dégrader le niveau de maîtrise du risque. Patrick Prosper, RSSI Groupe chez Groupama, partage sa lecture de cette transformation et la manière dont elle fait évoluer le pilotage cyber, dans un entretien réalisé lors de Cyber Show Paris 2026.
En quoi l’IA change-t-elle votre quotidien ?
Patrick Prosper : L’IA accélère fortement l’automatisation et apporte des capacités supplémentaires aux équipes. Elle permet d’éliminer un certain nombre d’irritants opérationnels, en réduisant les tâches manuelles et répétitives. Cela libère du temps et permet aux équipes de se concentrer sur des sujets à plus forte valeur ajoutée, notamment l’analyse et l’évaluation du risque.
Mais le changement ne se limite pas à l’amélioration de l’efficacité. L’enjeu porte également sur la manière dont ces technologies s’intègrent dans l’organisation. Il ne s’agit pas seulement d’utiliser l’IA pour la cybersécurité : il faut sécuriser toutes les applications qui embarquent de l’IA. Ces systèmes doivent être considérés comme des composantes critiques du SI, avec des exigences spécifiques en matière d’encadrement et de contrôle.
Comment analysez-vous les risques propres aux systèmes basés sur l’IA ?
Les applications intégrant de l’IA présentent des spécificités. Il existe des biais, des phénomènes d’hallucination, des comportements qui ne sont pas toujours déterministes. Ces caractéristiques imposent une approche adaptée. Nous devons intégrer la sécurité dès la conception de ces systèmes.
Cela implique des dispositifs à la fois organisationnels et technologiques. Nous ne considérons pas que nous sommes arrivés à un niveau de maturité définitif sur ces sujets. Notre maturité évolue tous les mois. Les mécanismes que nous mettons en place doivent accompagner cette progression.
Comment structurez-vous cette montée en maturité autour de l’IA ?
Nous avançons de manière progressive. Les dispositifs que nous déployons doivent être cohérents avec notre niveau de maturité actuel. Il ne s’agit pas d’imposer des cadres théoriques déconnectés de la réalité opérationnelle.
Lorsque j’interviens sur ces sujets, notamment lors d’événements professionnels comme le Cyber Show Paris, j’explique comment nous nous y sommes pris, de manière pragmatique et sans prétendre disposer d’un modèle définitif. L’objectif n’est pas de présenter un modèle absolu, mais de partager un retour d’expérience sur la manière dont nous structurons progressivement notre approche.
Justement, comment mesurez-vous l’efficacité de vos dispositifs cyber dans ce contexte d’évolution rapide ?
Nous suivons de nombreux indicateurs, qui ne sont pas identiques selon les populations concernées. Les indicateurs destinés aux équipes cyber ne sont pas les mêmes que ceux adressés aux équipes IT ou au management.
Le pilotage doit être adapté en fonction des métiers. Les équipes opérationnelles ont besoin d’indicateurs précis et techniques. Le management, lui, attend une lecture plus synthétique et orientée risque. Cette différenciation est essentielle pour maintenir un alignement entre la stratégie et l’exécution.
En quoi l’IA transforme-t-elle le métier de RSSI ?
Le métier évolue vers toujours plus de management et de stratégie, et l’IA accélère ce mouvement. Elle oblige à sortir d’une logique uniquement technologique pour intégrer des dimensions de gouvernance, d’évaluation des risques spécifiques et d’encadrement des usages.
Cela implique d’adapter les processus de contrôle et d’accepter que certaines réponses ne soient pas strictement déterministes. Le RSSI doit comprendre ces mécanismes pour évaluer le risque associé. L’enjeu ne se limite pas à sécuriser une infrastructure. Il s’agit aussi d’accompagner l’organisation dans l’usage de ces technologies, en posant des garde-fous clairs.
Quelles priorités identifiez-vous à court terme autour de l’IA ?
À court terme, la priorité consiste à intégrer pleinement les usages liés à l’IA dans les dispositifs cyber déjà en place. Il ne s’agit pas de créer un chantier parallèle ou une gouvernance spécifique isolée, mais d’inscrire ces technologies dans les cadres existants de contrôle, de gestion des risques et de responsabilité.
Concrètement, cela signifie que les applications intégrant de l’IA doivent passer par les mêmes exigences que les autres composants critiques du système d’information : analyse de risque, validation des architectures, dispositifs de supervision et articulation avec les équipes opérationnelles. Nous devons éviter toute logique d’exception, qui diluerait les responsabilités et fragmenterait le pilotage, afin de maintenir une cohérence claire dans la gouvernance de la sécurité.
