Discussion avec Yann Bonnet – Sécurité numérique, Intelligence Artificielle et indépendance nationale.

Le Campus Cyber, qui a été inauguré en février 2022, est devenu le principal moteur de l'écosystème français de la cybersécurité. Dès le début de ce projet, j'ai eu le privilège de collaborer avec Michel Van Den Berghe pour concevoir et diriger sa mise en œuvre. Cela a d'abord été une aventure entrepreneuriale et collective très enrichissante.

Parmi nos réalisations les plus significatives, figure la création de ressources cyber communes par les membres, qui sont mises à disposition gratuitement pour l'ensemble de l'écosystème (wiki.campuscyber.fr). Bien que cela puisse paraître paradoxal dans un secteur souvent fragmenté et concurrentiel, au sein du Campus Cyber, les rivalités s'estompent au profit d'une dynamique collaborative. Des centaines de contributeurs ont ainsi produit plus d'une trentaine de ressources partagées, qu'il s'agisse d'exemples d'utilisation de l'IA, de renseignement sur les menaces cyber ou encore de conception écologique du numérique. L'initiative Cyber4Tomorrow.fr illustre parfaitement cette volonté de développer ensemble des solutions utiles à tous.

Dans cette même optique, nous avons également lancé cybertavie.com en partenariat avec Radio France. Cette plateforme a pour objectif de rendre les métiers de la cybersécurité plus visibles et plus attrayants, notamment auprès des jeunes et des personnes en reconversion professionnelle. La pénurie de talents représente l'un de nos défis les plus importants, avec plus de 60 000 postes vacants en France. Cybertavie.com est une réponse concrète pour susciter des vocations, identifier les parcours possibles et inciter à rejoindre ce secteur. C'est une grande fierté d'avoir initié cette démarche, car elle contribue directement à former la prochaine génération.

Au-delà de ces réalisations concrètes, les groupes de travail ont permis à des acteurs issus d'horizons très différents, qu'il s'agisse d'entreprises, d'associations ou de chercheurs, de mieux se comprendre et de collaborer. Sous l'égide du Campus, chacun accepte de participer à cet effort collectif, ce qui renforce l'ensemble de l'écosystème.

Autre succès notable : avoir réussi à rapprocher les fournisseurs et les utilisateurs de solutions de cybersécurité. Le Campus est devenu un véritable point de convergence. Pour les offreurs, c'est une opportunité exceptionnelle, puisque 60 % des entreprises du CAC40 en sont membres. Pour les utilisateurs, c'est l'occasion de rencontrer des start-up, des chercheurs et des industriels afin de co-construire des solutions adaptées à leurs besoins.

Enfin, nous nous sommes efforcés de promouvoir l'excellence française à l'échelle internationale. Chaque année, une cinquantaine de délégations étrangères viennent découvrir notre modèle. La Lituanie a déjà inauguré son propre Campus Cyber, et d'autres pays européens envisagent de suivre cet exemple. À plus long terme, cela pourrait aboutir à la création d'un réseau européen de Campus Cyber, permettant à la France et à l'Europe d'occuper une position de leader dans le domaine du numérique à l'échelle mondiale.

Je mentionnerai également le projet CYBIAH.eu (Cyber IA Hub), qui bénéficie du soutien de la Commission européenne et de la région Île-de-France, et qui vise à rendre la cybersécurité accessible aux PME et aux collectivités. Le Campus joue un rôle de tiers de confiance, en mettant en relation les dirigeants à la recherche de solutions claires avec les fournisseurs souhaitant mieux appréhender ce marché.

L'intelligence artificielle est de plus en plus intégrée aux outils de cybersécurité. Quels sont, selon vous, les cas d'utilisation concrets les plus prometteurs à l'heure actuelle ?

L'association de l'IA et de la cybersécurité ouvre en effet un champ de possibilités considérables.

Nous constatons déjà que l'IA aide les équipes de sécurité au quotidien, avec des résultats mesurables. Parmi les cas d'utilisation les plus prometteurs, on peut notamment citer :

La détection proactive des menaces : des algorithmes d'IA analysent en temps réel des flux de données réseau massifs afin de repérer les comportements anormaux ou les attaques en cours de développement. Cela permet d'identifier les incidents plus rapidement. Par exemple, l'intégration poussée de l'IA et de l'automatisation dans la sécurité contribue à réduire le cycle de vie d'une faille de sécurité et à limiter ainsi les dommages.

Le tri et la réponse automatisée aux alertes : Dans un centre opérationnel de sécurité (SOC), l'IA peut filtrer les milliers d'alertes quotidiennes, éliminer les faux positifs et prioriser les menaces réelles. Cette automatisation « intelligente » accélère la réaction et permet aux experts humains de se concentrer sur les incidents critiques.

L'analyse avancée des logiciels malveillants et des vulnérabilités : Grâce à l'apprentissage automatique, il est possible d'entraîner des modèles à reconnaître des schémas d'attaque ou à détecter du code malveillant inconnu. Des IA génératives sont même capables de suggérer des correctifs de code ou des configurations plus sûres, renforçant ainsi la sécurité des applications de manière proactive.

Le renforcement de la protection des comptes et des données : En croisant les comportements des utilisateurs, l'IA aide à identifier les accès suspects (par exemple, une connexion inhabituelle pouvant indiquer un vol de mot de passe) et à déclencher des vérifications supplémentaires automatiquement. De même, en informant les analystes sur les dernières tactiques utilisées par les adversaires (grâce à l'intelligence artificielle appliquée au renseignement sur les menaces), on améliore la vigilance globale.

Ces exemples montrent que l'IA, lorsqu'elle est bien utilisée, agit comme un "super pouvoir" pour les équipes cyber. Elle offre à la fois une meilleure réactivité (identifier et neutraliser une intrusion plus rapidement) et une proactivité (anticiper les attaques à venir en analysant les tendances émergentes).

L'important est de toujours maintenir un humain en supervision de ces outils, afin de vérifier les décisions de l'IA et d'éviter les biais. Mais il est indéniable que l'IA se révèle déjà être un allié puissant pour faire face à l'augmentation et à la sophistication des cyberattaques.

L'IA générative bouleverse les chaînes de valeur, y compris dans le domaine de la cybersécurité. Faut-il repenser nos doctrines de défense numérique à l'ère des LLM ?

Absolument, nos doctrines de cybersécurité doivent évoluer à la lumière de l'IA générative. Les modèles de langage à grande échelle (LLM) changent la donne à deux niveaux : ils offrent de nouveaux outils aux défenseurs, mais aussi aux attaquants.

D'une part, les cybercriminels exploitent déjà ces IA génératives pour affiner leurs offensives. On a vu apparaître par exemple des bots malveillants comme FraudGPT, alimentés par des LLM, capables de rédiger automatiquement des courriels d'hameçonnage convaincants ou de générer du code malicieux sur commande. Cela industrialise les attaques, en réduisant les coûts et les compétences nécessaires pour lancer des campagnes de phishing ou des logiciels malveillants sophistiqués.

Face à ces menaces amplifiées par l'IA, nos stratégies de défense doivent donc monter en puissance, tant sur le plan technologique (détection des contenus synthétiques, vérification d'authenticité, etc.) que doctrinal (adaptation des procédures de réponse, entraînement des équipes à ces nouveaux risques).

D'autre part, les LLM offrent aux défenseurs un formidable levier pour renforcer la sécurité, à condition de les utiliser de manière contrôlée. Il faut par exemple intégrer les IA génératives dans la formation des analystes (simulation d'attaques, génération de scénarios d'exercice réalistes) ou dans l'aide à la décision en temps de crise (fournir rapidement des résumés de situation, des recommandations d'après des bases de connaissances).

Cependant, cela ne pourra fonctionner qu'avec une étroite collaboration entre experts cyber et experts IA. Repenser la doctrine, c'est notamment prévoir d'avoir ces deux expertises côte à côte dans nos centres de défense : les experts cyber pour définir les bonnes règles de sécurité et valider les résultats, les experts IA pour adapter et fiabiliser les modèles aux contextes critiques de la cybersécurité. C'est aussi définir des garde-fous éthiques et opérationnels : par exemple, ne jamais laisser une IA entièrement autonome déclencher une contre-mesure sans validation humaine, pour éviter des dégâts collatéraux ou une manipulation de l'IA par un adversaire.

En résumé, l'ère des LLM impose une mise à jour de nos doctrines pour intégrer ces nouveaux « agents intelligents » dans notre dispositif de défense, tout en contrant les usages malveillants qu'ils permettent, afin de conserver l'avantage.

Les modèles ouverts d'IA progressent rapidement. Selon vous, faut-il les intégrer dans les stratégies publiques de cybersécurité ou s'en méfier ?

Il est nécessaire de trouver un juste milieu vis-à-vis des modèles d'IA ouverts (open source).

D'un côté, ces modèles présentent un intérêt stratégique pour l'Europe et la France : ils sont souvent plus transparents, auditables et adaptables à nos besoins spécifiques. Les intégrer dans nos stratégies publiques de cybersécurité pourrait réduire notre dépendance aux solutions des géants du numérique extra-européens, renforçant ainsi notre souveraineté technologique. Le mouvement open source a toujours été un moteur d'innovation en cybersécurité ; de même, en IA, une enquête de l'OCDE auprès des pays du G7 souligne que l'open source est essentiel pour stimuler l'innovation et la concurrence.

On constate déjà que des modèles de langage ouverts, comme LLaMA 2 ou d'autres, se rapprochent des performances des modèles propriétaires. Les administrations pourraient tout à fait s'appuyer sur ces modèles libres, par exemple pour analyser des menaces cyber ou aider au développement de solutions de sécurité, sans être captives d'un fournisseur unique.

D'un autre côté, il ne faut pas faire preuve de naïveté : ouvert ne signifie pas inoffensif. Un modèle d'IA ouvert, mis à disposition de tous, sera également exploité par des acteurs malveillants (hackers, groupes criminels, etc.) qui pourront le fine-tuner à des fins d'attaque. Il est donc crucial, si on les intègre, de le faire de manière maîtrisée : en évaluant finement les risques, en entraînant ces modèles sur des données sûres, en y ajoutant des garde-fous (filtrage des réponses indésirables, restrictions d'usage).

Les stratégies publiques doivent probablement adopter une approche pragmatique : oui pour expérimenter et adopter des modèles IA ouverts lorsque cela apporte un gain (par exemple un outil d'analyse automatique de logs open source performant), mais avec une validation par nos agences expertes (ANSSI, INESIA...) pour s'assurer qu'il n'y a pas de vulnérabilités cachées ou de backdoors. En somme, ni engouement aveugle ni rejet systématique : il faut tirer parti de la dynamique open source, qui peut accélérer nos progrès, tout en gardant un niveau d'exigence élevé en matière de sécurité et de confiance.

C'est à ce prix que nous pourrons construire une IA véritablement digne de confiance, alignée avec nos valeurs et nos exigences souveraines.

Le concept de "cybersécurité souveraine" est souvent invoqué. Que mettez-vous derrière cette notion, notamment vis-à-vis des GAFAM ou de l'OTAN ? Et comment pourrait-on progresser sur ce plan ?

La cybersécurité souveraine, c'est avant tout la capacité pour une nation ou un bloc régional (comme l'Europe) de garantir lui-même la protection de ses intérêts vitaux et donc de maîtriser son avenir. Très concrètement, cela signifie être en mesure de sécuriser nos administrations, nos entreprises stratégiques, nos données sensibles, sans dépendre uniquement de puissances étrangères.

Aujourd'hui, soyons lucides, ce n'est pas encore le cas : une grande partie des solutions de cybersécurité utilisées en France proviennent d'acteurs non européens. Notre marché est dominé par les géants américains et, de plus en plus, par des offres venant d'autres régions. Cela pose un double problème : un problème de contrôle (peut-on totalement faire confiance à des solutions dont les feuilles de route nous échappent, ou qui pourraient transmettre des données à des lois étrangères type Cloud Act ?) et un problème d'indépendance stratégique (en cas de désaccord géopolitique majeur, serions-nous capables de continuer à opérer nos défenses sans ces outils externes ?).

La cybersécurité souveraine vise à réduire ces vulnérabilités. Il ne s'agit pas de tout faire tout seuls, l'interdépendance existe, mais d'identifier les briques technologiques et les services critiques pour lesquels on veut avoir la maîtrise chez nous. Par exemple, s'assurer que l'Europe dispose de ses propres fournisseurs de cloud de confiance, de solutions d'authentification, de chiffrement, etc., reconnus au meilleur niveau mondial. Vis-à-vis des géants numériques, cela implique de diversifier nos fournisseurs et de soutenir nos champions européens. Des initiatives comme le label SecNumCloud en France, le projet EUCS (European Cloud Certification) vont dans ce sens. Il faut aussi investir massivement en R&D pour rester dans la course technologique (IA, cryptographie post quantique). La souveraineté numérique n'est pas synonyme de repli, c'est plutôt la capacité à choisir nos dépendances et à en limiter les risques.

Concernant l'OTAN, la souveraineté cyber ne s'y oppose pas, au contraire. L'OTAN est une alliance de défense, et le cyber en fait partie intégrante désormais. Bâtir une Europe cyber souveraine permettrait d'être un allié plus fort et fiable au sein de l'OTAN. D'ailleurs, la France via l'ANSSI promeut activement une approche européenne de la cybersécurité tout en coopérant étroitement avec l'OTAN sur ces sujets. Ça signifie partager du renseignement sur les menaces, participer à des opérations conjointes de cyberdéfense, tout en veillant à ce que l'Europe développe ses propres capacités (par exemple, un réseau de centres de réponse aux incidents à l'échelle de l'UE).

Progresser sur ce plan passe par cinq leviers complémentaires :

(1) investir davantage dans les solutions souveraines locales (via des marchés publics réservés aux acteurs nationaux/UE sur certaines filières critiques) ;

(2) renforcer la coordination européenne (harmoniser les réglementations, comme on le fait avec NIS 2, et créer des plateformes communes de partage d'alertes) ;

(3) soutenir l'innovation de rupture et les start-up cyber européennes par des fonds dédiés, pour éviter qu'elles ne partent à l'étranger faute de financement ;

(4) former et retenir les talents en Europe, car sans experts, pas de souveraineté (cela va de programmes éducatifs au fait d'attirer des profils internationaux dans nos écosystèmes) ;

(5) enfin, ancrer la confiance numérique dans nos valeurs réglementaires (RGPD pour les données, AI Act, etc.) afin de bâtir un modèle européen de cybersécurité de confiance, exportable et respecté.

La tâche est ambitieuse, mais c'est à ce prix que nous pourrons peser face aux géants du numérique mondial, garantir notre autonomie stratégique numérique et maîtriser ainsi notre futur.

Quels freins doivent encore être levés pour faire émerger une filière française ou européenne de l'IA appliquée à la cybersécurité ?

Malgré de réels atouts en France et en Europe (d'excellents chercheurs, des start-up prometteuses, un fort soutien public), plusieurs obstacles majeurs ralentissent l'émergence d'une véritable filière IA & cyber de stature mondiale.

Parmi ces obstacles, on peut citer :

Le financement et l'industrialisation sont insuffisants : Nous avons des pépites en France (HarfangLab, Tehtris, Gatewatcher, YesWeHack, NeverHack, Advens…) qui innovent en mariant IA et cybersécurité. Mais trop souvent, elles peinent à changer d'échelle faute de financements stables et significatifs. Beaucoup de projets disruptifs finissent par être rachetés précocement par des acteurs étrangers qui, eux, disposent de larges fonds.

La fragmentation de l'écosystème et le manque de coordination : La filière demeure éclatée en de multiples acteurs, publics, privés, grands groupes, start-up, laboratoires, qui ne collaborent pas encore suffisamment. Il manque une visibilité d'ensemble et une stratégie commune lisible. Cette fragmentation décourage parfois les investisseurs et fait que certaines solutions locales ne sont pas adoptées à grande échelle. Pour lever ce frein, il est urgent de mieux coordonner les efforts : donner de la visibilité aux dispositifs existants (incubateurs, aides), renforcer le dialogue public-privé autour de feuilles de route communes. On voit des progrès avec le réseau des Campus Cyber sur le territoire ou des réseaux comme ECSO (European Cyber Security Organisation), mais il faut amplifier ces dynamiques.

La pénurie de talents spécialisés : Croiser expertise en IA et en cybersécurité, c'est trouver des perles rares sur le marché de l'emploi. On souffre d'un déficit de compétences dans les deux domaines, alors a fortiori à l'intersection des deux. Si on ne forme pas davantage d'ingénieurs, de data scientists sensibilisés à la sécurité, la filière ne pourra pas se structurer. Des efforts existent (programmes dédiés dans certaines écoles, initiatives comme SecNumEdu pour labelliser des formations), mais il faut intensifier l'effort, y compris à l'échelle européenne, pour former, attirer et retenir ces talents.

La complexité réglementaire et la concurrence extra-européenne : Enfin, nos jeunes entreprises naviguent dans un environnement réglementaire complexe qui est indispensable pour la confiance mais peut ralentir l'agilité par rapport à des concurrents étrangers moins contraints. Il faudrait simplifier certaines démarches pour les innovateurs sans diluer nos exigences. De plus, nos acteurs font face à des géants mondiaux très subventionnés ou avantagés sur leur marché intérieur. Il est donc nécessaire de mettre en place des politiques industrielles fortes, à l'image de ce qui a été fait dans d'autres secteurs stratégiques, pour donner une chance à un champion européen d'émerger dans l'IA appliquée à la cyber.

En levant ces freins : financement, coordination, compétences, environnement favorable, je suis convaincu que la France et l'Europe peuvent se doter d'une filière IA & cybersécurité d'excellence, compétitive et exportatrice.

Nous avons le savoir-faire scientifique et la conscience de l'enjeu ; il s'agit maintenant de passer à la vitesse supérieure en alignant tous les acteurs vers cet objectif commun.

Vous alertez régulièrement sur la pénurie de talents dans le domaine cyber. Le recours à l'IA peut-il compenser le manque d'expertise humaine ou est-ce un mirage technologique ?

L'IA est un atout précieux pour accroître nos capacités, mais elle ne remplacera pas la richesse de l'expertise humaine, du moins pas dans un futur proche. Il faut bien comprendre l'ampleur de la pénurie actuelle : on estime qu'il manque près de 4,8 millions de professionnels de la cybersécurité dans le monde pour combler les besoins, 60 000 professionnels en France d'après l'OCDE.

En Europe et en France, de nombreuses organisations cherchent désespérément des analystes cyber, des experts en forensic ou en réponse à incident. Dans ce contexte, l'IA peut apporter un soulagement partiel en automatisant un certain nombre de tâches répétitives ou en accélérant des analyses. Par exemple, des solutions d'IA vont traiter automatiquement des logs ou des alertes, générer des rapports de vulnérabilité, ou assister un analyste en lui suggérant des pistes à explorer. Cela permet de gagner en productivité et d'absorber une partie de la charge de travail.

Cependant, penser que l'IA va combler à elle seule le déficit de talents serait un mirage. Ces outils ne sont pas magiques, ils restent imparfaits et nécessitent un humain dans la boucle pour les superviser et les orienter.

Une IA ne possède ni le jugement, ni la créativité, ni l'intuition qu'un expert humain développe avec l'expérience. Dans la chasse aux menaces par exemple, l'IA va détecter des anomalies, mais c'est l'analyste qui va valider s'il s'agit d'une menace réelle, l'interpréter dans un contexte d'entreprise et décider de la réponse appropriée. D'ailleurs, c'est plutôt une bonne nouvelle pour les professionnels du cyber : cela signifie que les compétences fondamentales (analyse de risque, stratégie de défense, connaissance de l'attaquant) restent cruciales et que l'IA vient les compléter, non les remplacer.

En somme, l'IA doit être vue comme un assistant intelligent qui permet à nos experts d'être plus efficaces, on parle d'« hyper-automatisation » ou d'augmentation humaine. Elle peut atténuer l'impact de la pénurie en faisant gagner du temps, en nécessitant peut-être moins de personnels sur certaines tâches de niveau 1. Mais elle ne dispense pas de former et recruter des femmes et des hommes en cyber. Au contraire, plus on intègre d'IA, plus on aura besoin d'experts capables de comprendre ces outils, de les entraîner correctement, de les auditer, et de prendre le relais quand ils atteignent leurs limites.

La clé sera donc le duo homme-IA : tirer le meilleur de la machine tout en capitalisant sur l'intelligence humaine. C'est ainsi qu'on pourra vraiment combler le fossé entre l'offre et la demande de compétences cyber, et non en espérant un fantasmatique pilote automatique de la cybersécurité.

À l'horizon 2030, quels grands chantiers technologiques ou réglementaires vous paraissent prioritaires ?

D'ici 2030, le paysage de la cybersécurité et de l'IA aura fortement évolué, et nous devons préparer dès maintenant les fondations de notre sécurité future.

Parmi les grands chantiers prioritaires, je vois notamment :

La mise en œuvre complète des nouvelles régulations européennes : nous avons ces dernières années adopté des textes majeurs, la directive NIS 2 pour élargir et durcir les exigences de cybersécurité, le Cyber Resilience Act (CRA) pour sécuriser les produits numériques, le règlement européen sur l'IA pour encadrer les systèmes d'IA à haut risque... D'ici 2030, il faudra que ces cadres soient non seulement transposés mais effectivement appliqués par tous les acteurs. Cela implique un travail énorme d'accompagnement des entreprises, de formation, de contrôle.

Le renforcement des capacités technologiques souveraines : techniquement, plusieurs domaines-clefs devront avoir progressé. Je pense à l'IA de confiance bien sûr : s'assurer que l'Europe dispose de modèles d'IA performants et sûrs, entraînés sur nos données, pour les applications de sécurité. Je pense aussi au cloud de confiance et à la gestion des données : on doit aboutir à un cloud européen souverain opérationnel, capable de rivaliser avec les hyperscalers, et à des solutions de chiffrement des données robustes. Un autre chantier crucial sera la cryptographie post-quantique : l'arrivée des ordinateurs quantiques pourrait rendre obsolètes nos algorithmes de chiffrement actuels, il faut donc migrer à temps. L'ANSSI a d'ailleurs fait de la cryptographie post-quantique et de l'open source des axes stratégiques dans son plan stratégique. D'ici 2030, on devra avoir déployé largement ces nouveaux algorithmes résistants aux attaques quantiques, notamment dans les administrations et OIV (Opérateurs d'Importance Vitale).

La convergence cyberdéfense civile-militaire et la réponse collective : À mesure que les attaques se sophistiquent et visent l'ensemble de la société (hôpitaux, collectivités, PME, infrastructures critiques), il faudra renforcer le dispositif collectif de réponse. Cela passe par la mise en place du SOC européen prévue par l'EU Cybersecurity Act (un centre opérationnel de cybersécurité à l'échelle UE, mutualisant les alertes et réponses entre pays)

Au niveau national, la coordination interministérielle sera clé : d'ici 2030, on pourrait imaginer des exercices de cyber-crise paneuropéens réguliers, des unités de réaction rapide européennes en cas de cyberattaque massive, etc. L'objectif est que plus aucune entité ne fasse face seule à une cyberattaque majeure : la solidarité nationale et européenne doit devenir un réflexe automatique.

L'adaptation aux nouvelles menaces et aux nouvelles frontières technologiques : On parle beaucoup de l'IA, mais d'autres fronts évolueront d'ici 2030. L'Internet des Objets comptera des dizaines de milliards d'objets connectés, leur sécurité devra être gérée (c'est l'objet du CRA notamment). La 5G/6G, l'informatique en périphérie (edge computing), l'informatique embarquée dans les véhicules autonomes… tous ces domaines devront intégrer la sécurité dès la conception. Il faudra aussi développer les capacités de lutte contre la désinformation et les ingérences numériques, car en 2030 les deepfakes et autres manipulations par IA seront monnaie courante, posant des problèmes de sécurité nationale.

Enfin, je mentionnerais l'éthique et la soutenabilité : la cybersécurité devra se conjuguer avec des impératifs de sobriété numérique (réduction de l'empreinte carbone des activités cyber) et de respect des droits (la protection de la vie privée restera un enjeu fort).

En somme, les chantiers prioritaires mélangent des projets technologiques (déployer l'IA et la crypto de nouvelle génération, sécuriser massivement le cloud et l'IoT, anticiper le quantique) et des projets organisationnels/réglementaires (construire un cadre commun de défense en Europe, appliquer nos lois de façon homogène, structurer l'écosystème).

Tout cela converge vers une idée centrale : arriver en 2030 à un espace numérique européen plus sûr, plus autonome et plus résilient, grâce aux efforts conjugués de la technologie, de la réglementation et de la coopération internationale.

Quels conseils donneriez-vous à une jeune entreprise IA qui souhaite entrer dans le domaine de la cybersécurité ?

Je lui dirais d'abord : foncez, il y a un besoin et un marché énormes !

La cybersécurité est un secteur en forte croissance, avec un marché mondial projeté à plusieurs centaines de milliards de dollars d'ici 2030, et l'intelligence artificielle va en transformer de nombreux aspects.

Cependant, pour réussir dans ce domaine, une jeune entreprise d'IA appliquée à la cyber doit garder quelques principes en tête:

1. Bien identifier le problème à résoudre : Trop de start-up technologiques commettent l'erreur d'être une « solution à la recherche d'un problème ». En cyber, les pain points ne manquent pas : par exemple le tri des alertes, la protection des API, la sensibilisation des utilisateurs… Choisissez un problème précis, concret, et douloureux pour les clients, et appliquez votre savoir-faire IA à ce cas d'usage-là de manière obsessionnelle. En d'autres termes, ne vous dites pas « j'ai un marteau IA, où sont les clous ? », dites-vous plutôt « quel clou spécifique puis-je enfoncer mieux que les autres ? ». Cette approche vous assurera de développer un produit qui apporte une vraie valeur ajoutée, plutôt qu'une énième techno gadget.

2. S'entourer d'expertise cyber dès le départ : Le monde de la cybersécurité a ses spécificités, un ennemi intelligent en face, des enjeux critiques, une exigence de confiance très élevée. Si votre équipe est très calée en IA mais moins en cyber, rapprochez-vous rapidement d'experts du domaine. Intégrez dans votre core team ou votre advisory board des profils ayant vécu la cybersécurité (anciens analystes SOC, RSSI, etc.). Cela vous évitera de développer une solution déconnectée du terrain. Par exemple, votre IA peut être brillante en labo, mais ignorera peut-être que dans telle grande entreprise, il y a des contraintes légales ou opérationnelles qui empêchent d'envoyer les données dans le cloud pour analyse. Seule l'expérience terrain peut vous guider sur ces points. Cette alliance entre experts IA et experts cyber est précisément ce qui fera la force de votre produit, et c'est aussi en démontrant cette collaboration que vous convaincrez vos premiers clients exigeants.

3. Construire la confiance et la conformité : En cybersécurité plus qu'ailleurs, la confiance est le nerf de la guerre. Personne ne confiera sa sécurité à un outil opaque ou douteux. Jouez la carte de la transparence sur votre IA (explicabilité des résultats, communication honnête sur ce que fait ou ne fait pas l'outil). Investissez dans les certifications ou labels pertinents : par exemple, si votre solution implique du cloud, visez une qualification SecNumCloud ou équivalent européen ; si elle touche à des données personnelles, soyez exemplaires sur le RGPD. Anticipez aussi l'IA Act qui exigera qualité et documentation. En faisant cela, non seulement vous rassurerez vos clients, mais vous vous différencierez de concurrents moins scrupuleux.

L'éthique et la sécurité by design doivent être dans l'ADN de votre produit IA. C'est un conseil business autant que moral : les utilisateurs (et les régulateurs) y seront de plus en plus attentifs.

4. Tirer parti de l'écosystème et des soutiens disponibles : Ne restez pas isolés dans votre coin. Le domaine cyber/IA bénéficie d'un écosystème riche en France et en Europe, il faut l'utiliser. Candidatez aux programmes d'accélération spécialisés (comme le Cyber Booster hébergé au Campus Cyber), aux appels à projets gouvernementaux via France2030 ou européens sur l'IA et la cyber. Cela peut vous apporter à la fois du financement, de la visibilité et des partenariats.

N'hésitez pas à collaborer avec la recherche publique (via un laboratoire commun, une thèse CIFRE...) pour garder une longueur d'avance technologique.

Et bien sûr, écoutez les besoins de vos premiers clients pilotes : co-construisez avec eux si possible. Une start-up cyber qui réussit est souvent celle qui a su devenir proche de son marché dès les premières années, en nouant des relations de confiance avec quelques clients référents qui ensuite servent d'ambassadeurs.

En résumé, mon conseil serait : “innovate big but start small”.

Oui, votre vision est sans doute de révolutionner la cybersérité par l'IA et je vous le souhaite, nous en avons besoin. Mais commencez par un use-case hyper maîtrisé, travaillez main dans la main avec les experts du domaine, bâtissez la confiance autour de votre solution, et profitez de l'élan collectif (incubateurs, financements, partenariats).

C'est ainsi que votre jeune entreprise pourra grandir solidement et, espérons-le, devenir l'un des futurs champions européens de la cyberdéfense à l'ère de l'intelligence artificielle.

Bonne chance, le jeu en vaut la chandelle car nos entreprises et nos citoyens auront de plus en plus besoin de vos innovations pour être protégés en 2030 !