IA défensive · Le différenciateur réel d'OCIRIA
Comment nous utilisons l'IA pour défendre, pas pour livrer des rapports plus vite. Différence avec l'IA offensive et cas pratiques dans des PME européennes.
IA défensive
L'IA change l'attaque autant que la défense. Nous parlons de la manière dont nous l'appliquons, sans promesses magiques.
---
Ce que nous entendons par IA défensive
L'IA défensive est l'usage de modèles d'intelligence artificielle pour améliorer trois tâches concrètes en sécurité : détecter les signaux faibles qu'une équipe humaine laisserait passer, corréler les événements entre sources hétérogènes dans un délai raisonnable, et prioriser la réponse selon le contexte métier, et non selon un score CVSS automatique.
Ce n'est pas un produit qui se vend. C'est une couche qui s'intègre au processus d'analyse, toujours supervisée par un ingénieur senior. Le modèle propose, l'humain décide.
---
IA offensive vs IA défensive
L'asymétrie est réelle. Les attaquants automatisent la reconnaissance, la rédaction de courriels de phishing, la génération de variantes de malware et la découverte d'identifiants grâce à des techniques d'IA. La barrière à l'entrée à l'attaque baisse chaque trimestre.
La défense a un autre avantage : le contexte. L'attaquant sait génériquement ce qu'il cherche. Le défenseur sait spécifiquement quels actifs sont critiques, quels schémas d'usage sont normaux et quelles déviations comptent. Une IA défensive bien utilisée amplifie ce contexte, elle ne le remplace pas.
Ce qu'un attaquant peut automatiser avec l'IA :
- Collecte massive d'informations publiques sur des cibles.
- Génération de messages personnalisés d'ingénierie sociale.
- Tests de variantes de charge utile pour échapper à la détection.
- Découverte d'infrastructures mal configurées à grande échelle.
Ce qu'un défenseur peut automatiser avec l'IA :
- Corrélation d'événements entre journaux d'identité, réseau et point d'extrémité.
- Détection de schémas anormaux d'accès ou d'exfiltration.
- Génération d'hypothèses d'investigation pour l'analyste.
- Synthèses exécutives d'incidents en langage clair.
La différence clé : l'attaquant veut du volume, le défenseur veut de la précision.
---
Comment nous l'appliquons dans chaque service
En vCISO. Nous synthétisons le bruit opérationnel (alertes, tickets, journaux) en un tableau de bord mensuel que le comité de direction peut lire en quinze minutes. L'IA prépare la première version, l'ingénieur senior la valide et la signe.
En ISO/IEC 42001. Nous utilisons la norme elle-même pour gouverner nos propres usages internes d'IA. Nous appliquons ce que nous prêchons : chaque modèle utilisé a sa fiche système, son évaluation de risque et sa supervision humaine documentée.
En audit OSINT. L'IA accélère la phase de collecte et corrélation. Quand une recherche renvoie dix mille résultats, un modèle bien orienté les réduit à deux cents pertinents. L'analyse et les conclusions sont toujours faites par un humain.
---
Ce que nous NE faisons PAS avec l'IA
- Nous n'utilisons pas l'IA pour prendre des décisions de sécurité sans supervision humaine.
- Nous n'utilisons pas l'IA pour écrire des rapports exécutifs sans qu'un ingénieur les relise ligne par ligne.
- Nous ne livrons pas à nos clients des rapports générés par IA et signés comme humains.
- Nous n'alimentons pas vos données confidentielles dans des services publics sans accord de traitement.
L'IA est un outil, pas un prestataire.
---
Une note sur la transparence
Si dans un rapport de nous il y a des sections générées avec l'appui de l'IA, nous le précisons. Si un outil gratuit de nous utilise l'IA pour analyser ce que vous nous envoyez, nous le disons avant que vous ne cliquiez sur "Analyser". C'est cohérent avec ISO/IEC 42001 et le règlement européen sur l'IA.
---
Vous voulez voir un cas concret ?
Demandez une session de trente minutes. Nous vous montrons un tableau de bord réel (anonymisé) et nous expliquons ce que fait l'IA, ce que fait l'humain et où se situe la limite.