Depuis plusieurs années, le cyberespace est devenu un véritable champ de confrontation stratégique où États, groupes para-étatiques et acteurs criminels opèrent de manière indirecte, souvent difficilement attribuable. Ces affrontements ne prennent plus la forme d’attaques spectaculaires isolées, mais de campagnes massives, continues et à bas bruit, visant à saturer, perturber ou affaiblir des organisations clés.

Un exemple récent illustre particulièrement bien cette évolution : le démantèlement à New York d’un réseau organisé qui visait des institutions liées aux Nations unies par des envois massifs de SMS automatisés ⁽¹⁾. L’objectif n’était pas seulement la fraude ou l’extorsion, mais la désorganisation informationnelle : submerger les systèmes, créer de la confusion, exploiter la crédibilité institutionnelle pour diffuser de faux messages et tester les capacités de réaction des dispositifs de sécurité. Ce type d’attaque repose sur des volumes, des temporalités et des combinaisons de signaux que les dispositifs humains classiques ne peuvent plus traiter seuls.

Face à ces menaces, la protection des moyens de l’État, de ses opérateurs critiques et de ses institutions stratégiques ne peut plus se limiter à une logique défensive statique. Elle exige une sécurité proactive, capable de détecter des signaux faibles, d’anticiper des modes opératoires émergents et de réagir en temps quasi réel.

C’est précisément dans ce contexte que l’intelligence artificielle (IA) s’impose comme un levier central. Par sa capacité à traiter des volumes massifs de données hétérogènes, à apprendre des comportements normaux et à identifier des déviations subtiles, l’IA permet de changer d’échelle dans la cyberdéfense. Elle ne se contente plus de réagir après coup, mais participe à une logique de vigilance permanente, condition essentielle de la résilience et, potentiellement, de l’antifragilité des systèmes numériques étatiques ⁽²⁾.

L’IA comme outil de diagnostic précoce des menaces

L’un des apports majeurs de l’intelligence artificielle en cybersécurité réside dans sa capacité à détecter des anomalies, c’est-à-dire des écarts significatifs par rapport à un fonctionnement considéré comme normal. Contrairement aux approches fondées uniquement sur des signatures connues (règles, listes noires, indicateurs de compromission), ces méthodes permettent d’identifier des attaques inédites ou faiblement observables ⁽³⁾.

Sur le plan technique, plusieurs familles de méthodes de machine learning (ML) sont mobilisables :

• Apprentissage non supervisé ⁽⁴⁾ : des algorithmes comme le clustering, les auto-encodeurs ou les Isolation Forests apprennent la structure normale des flux réseau, des connexions ou des comportements utilisateurs. Toute déviation statistiquement significative peut alors déclencher une alerte.

• L’apprentissage semi-supervisé ⁽⁵⁾ s’avère d’intérêt quand les types d’attaques sont connus. Ils peuvent être combinés à de grandes masses de données non labellisées pour améliorer la sensibilité sans multiplier les faux positifs.

• L’analyse de graphes ⁽⁶⁾ est particulièrement pertinente pour les attaques distribuées (botnets, campagnes coordonnées), elle permet de cartographier les relations entre serveurs, adresses IP, comptes ou dispositifs compromis. Des algorithmes de détection de communautés ou d’anomalies structurelles révèlent alors des architectures malveillantes dissimulées.

• La détection séquentielle et temporelle ⁽⁷⁾ constitue aussi une technique utile. Les modèles récurrents ou probabilistes (chaînes de Markov, LSTM, modèles bayésiens) identifient des successions d’actions suspectes, même si chaque action prise isolément paraît bénigne.

Ces techniques permettent de déplacer le curseur de la défense. En effet, il ne s’agit plus seulement de reconnaître une attaque connue, mais de repérer des comportements atypiques suffisamment tôt pour empêcher leur montée en puissance.

De la détection à l’action : un processus automatisé de réponse

La valeur stratégique de l’IA ne réside pas uniquement dans la détection, mais dans sa capacité à s’intégrer à un processus décisionnel opérationnel ⁽⁸⁾. En cas d’attaque ou de tentative, l’utilisation d’une IA bien configurée doit permettre, d’une part, de remonter une alerte au centre de décisions (notamment les SOC ⁽⁹⁾), mais également de prendre des mesures périmétriques immédiates et nécessaires, dans le cadre de schémas préétablis.

Un scénario typique peut être décrit ainsi :

– Un modèle d’IA détecte une anomalie persistante sur un ensemble de flux (par exemple une hausse coordonnée de requêtes SMS ou API provenant de sources apparemment légitimes).

– Une alerte est automatiquement transmise à un centre opérationnel de sécurité (SOC), accompagnée d’indicateurs de confiance et de contextualisation.

– Simultanément, des contre-mesures pré-autorisées sont déclenchées : limitation de trafic, mise en quarantaine de segments réseau, suspension temporaire de comptes ou de services non critiques.

– Un agent d’IA complémentaire agrège les données techniques, reconstitue la chronologie de l’événement, évalue le niveau de risque et propose des scénarios de réponse gradués.

– Les analystes humains reprennent la main pour arbitrer, ajuster ou escalader la réponse.

Ce type d’architecture hybride (automatisée et supervisée) permet de gagner un temps décisif, tout en maintenant une responsabilité humaine sur les décisions critiques.

Vers des capacités de contre-offensive informationnelle

Au-delà de la défense, certains États disposent de marges de manœuvre leur permettant d’envisager des formes de contre-action cyber. L’objectif n’est pas nécessairement la destruction, mais la révélation, la dissuasion ou la perturbation ciblée.

Un exemple actuel consiste à intégrer dans les codes malveillants détectés des mécanismes inspirés du watermarking numérique ⁽¹⁰⁾ : en modifiant subtilement certains segments, il devient possible de tracer leur rediffusion, d’identifier leurs opérateurs ou de démontrer publiquement l’origine d’une attaque. Cette logique, déjà utilisée dans la protection des contenus numériques, peut être transposée au cyberespace militaire et institutionnel.

Une autre approche, mise en avant dans la littérature sur la lutte contre la désinformation ⁽¹¹⁾, consiste à maintenir temporairement l’attaquant sous observation, afin d’analyser finement ses mécanismes d’action, ses narratifs, ses relais techniques et informationnels, puis à déployer des contre-mesures adaptées. Celles-ci peuvent viser la dissuasion explicite (dénonciation publique, signalisation de capacité, pression diplomatique), la neutralisation indirecte (perturbation des chaînes de diffusion, dépriorisation algorithmique), ou la désorganisation opérationnelle (piégeage informationnel, exposition de contradictions internes, dilution de l’impact narratif).

Dans ce cadre, l’IA joue un rôle clé en automatisant l’analyse, la modification contrôlée et le suivi de ces artefacts numériques, tout en limitant les risques d’escalade incontrôlée. Pour autant, la mise en action des capacités de contre-action informationnelle pose une question majeure de responsabilité. Est-il raisonnable de laisser l’IA répondre d’elle-même face à une nation majeure (États-Unis, Chine, Russie…) ou même d’une nation alliée de l’Otan ou de l’UE, qui auraient pu être associées à une offensive à notre encontre ? Un complément d’analyse stratégique humaine sera probablement nécessaire dans de nombreuses situations. La contre-action cyber doit donc être conçue comme une capacité complémentaire (et cloisonnée) à la décision humaine, s’appuyant sur des doctrines explicites, des cadres juridiques clairs et des mécanismes d’audit a posteriori.

Conclusion : Accepter la faiblesse pour retrouver l’initiative

La réalité stratégique est claire : face à des attaquants agiles, peu coûteux et faiblement contraints juridiquement, le défenseur étatique – la France en particulier – n’est pas en position dominante. Les asymétries de coûts, de temporalité et d’exposition jouent structurellement en sa défaveur.

Dès lors, la réponse ne peut pas être une imitation symétrique des attaquants. Elle doit combiner souveraineté et dominance, non pas au sens de la puissance brute, mais de la capacité d’initiative. Accepter d’être parfois plus faible, c’est se donner la possibilité d’être plus rapide, plus adaptable et plus opportuniste.

L’intelligence artificielle devient alors un multiplicateur stratégique : elle permet de raccourcir les cycles de décision, d’anticiper les attaques plutôt que de les subir et de transformer chaque tentative hostile en opportunité d’apprentissage. Dans un cyberespace instable, la victoire n’est pas dans l’invulnérabilité, mais dans la capacité à évoluer plus vite que l’adversaire.

Dans cette perspective, les nouveaux services s’appuyant sur l’IA doivent être construits pour être au service de la défense et de la contre-action cyber. Ils viennent compléter les services numériques existants et sont mis au service de l’organisation humaine qui préserve sa capacité d’analyse et de décision dans les situations stratégiques. ♦

Les auteurs remercient l'Adjudant Damien Loifert pour ses propositions et réflexions utiles à la rédaction de cette tribune.

(1) U.S. Secret Service Media Relations, « U.S. Secret Service dismantles imminent telecommunications threat in New York tristate area », 23 septembre 2025 (www.secretservice.gov/).
(2) Uzunov A. V., Nepal S. et Baruwal Chhetri M., « Proactive Antifragility: A New Paradigm for Next-Generation Cyber Defence at the Edge », 2019 IEEE 5th International Conference on Collaboration and Internet Computing (CIC), p. 246-255 (https://doi.org/10.1109/CIC48465.2019.00039). Flowerday Stephen, Tilbury Jack et Higgs James, Cybersecurity in the Age of Uncertainty: Resilient and Antifragile Systems (http://dx.doi.org/10.2139/ssrn.4659649).
(3) Markevych Michal et Maurice Dawson, « A Review of Enhancing Intrusion Detection Systems for Cybersecurity Using Artificial Intelligence (AI) » International conference KNOWLEDGE-BASED ORGANIZATION, vol. 29, n° 3, Nicolae Balcescu Land Forces Academy, 2023, p. 30-37 (https://doi.org/10.2478/kbo-2023-0072).
(4) Martinez Torres J., Iglesias Comesana C. et Garca-Nieto P. J., « Review: machine learning techniques applied to cybersecurity », Int. J. Mach. Learn. & Cyber (10), p. 2823-2836 (2019) (https://doi.org/).
(5) Kiyambu Mvula Paul, Branco Paula, Jourdan Guy-Vincent et Viktor Herna Lydia, « A Survey on the Applications of Semi-supervised Learning to Cyber-security », ACM Comput. Surv., octobre 2024, 41 pages (https://doi.org/10.1145/3657647). Mvula P. K., Branco P., Jourdan G. V. et al., « A systematic literature review of cyber-security data repositories and performance assessment metrics for semi-supervised learning », Discov Data, 2023 (https://doi.org/10.1007/s44248-023-00003-x).
(6) Sikos L.F., « Cybersecurity knowledge graphs », Knowl Inf Syst 65, p. 3511-3531 (2023). (https://doi.org/). Bo Yan, Cheng Yang, Chuan Shi, Yong Fang, Qi Li, Yanfang Ye et Junping Du, « Graph Mining for Cybersecurity: A Survey », ACM Trans. Knowl. Discov. Data 18, 2, Article 47 (February 2024), 52 pages (https://doi.org/).
(7) Chadza T., Kyriakopoulos K. G. et Lambotharan S., « Learning to Learn Sequential Network Attacks Using Hidden Markov Models », in IEEE Access, vol. 8, p. 134480-134497, 2020, (https://doi.org/). Karn R. R., Kudva P. et Elfadel I. M., « Learning Without Forgetting: A New Framework for Network Cyber Security Threat Detection », in IEEE Access, vol. 9, p. 137042-137062, 2021 (https://doi.org/10.1109/ACCESS.2021.3115946).
(8) Abisoye A., et Akerele J. I. « High-impact data-driven decision-making model for integrating cutting-edge cybersecurity strategies into public policy », 2025, Governance, and Organizational Frameworks, Sontan, A. D., et Samuel S. V., « The intersection of Artificial Intelligence and cybersecurity: Challenges and opportunities. World Journal of Advanced Research and Reviews, 21(2), p. 1720-1736 (https://doi.org/10.30574/wjarr.2024.21.2.0607).
(9) Khayat M., E. Barka, Adel Serhani F., Sallabi K. Shuaib H. M. Khater, « Empowering Security Operation Center With Artificial Intelligence and Machine Learning —A Systematic Literature Review », in IEEE Access, vol. 13, p. 19162-19197, 2025 (https://doi.org/10.1109/ACCESS.2025.3532951).
(10) Bakirov A. et Suleimenov I., « Theoretical Bases of Methods of Counteraction to Modern Forms of Information Warfare », Computers, 14(10), p. 410 (https://doi.org/10.3390/computers14100410).
(11) Dowse A. et Bachmann S. D., « Information warfare: Methods to counter disinformation. Research Online » (https://ro.ecu.edu.au/ecuworks2022-2026/1196/).