Sommaire
- 1. Les 3 événements de 2025-2026 qui ont tout changé
- 2. Là où l'IA écrase l'humain — vitesse, échelle, exhaustivité
- 3. Là où l'humain garde l'avantage — contexte, enchaînement, jugement
- 4. Tableau par tâche — à qui confier quoi
- 5. La « triple nature » de l'IA, trop souvent ignorée — une arme à double tranchant
- 6. Conclusion — le vainqueur, c'est « humain × IA »
- FAQ
« Pour la cybersécurité, qui est le meilleur : l'IA ou l'humain ? » — en 2026, répondre « l'un ou l'autre » d'un trait n'est plus exact. Car au cours de la dernière année, des cas où l'IA a surpassé les experts humains et des cas où elle a révélé des faiblesses critiques se sont produits en même temps, coup sur coup.
Regardons d'abord trois événements emblématiques.
3 tournants survenus en 2025-2026
L'IA a été déployée en conditions réelles, aussi bien en défense qu'en attaque
bloquée avant exploitation
en bug bounty
menée en autonomie par l'IA
Cet article adopte le point de vue du défenseur et compare tâche par tâche les capacités de l'IA et de l'humain en cybersécurité, en s'appuyant sur les sources primaires et les données mesurées de Google, Anthropic, DARPA, Veracode et d'autres. Sans alarmisme ni vœu pieux, l'objectif est de définir concrètement : quels travaux confier à l'IA, ce que l'humain doit garder en main, et comment protéger l'organisation.
La position de cet article : ce texte est strictement une explication à des fins de défense et de cybersécurité. Il ne fournit ni techniques d'attaque ni méthodes de détournement. Les cas où l'IA a été utilisée à des fins malveillantes ne sont pas présentés comme « l'IA, bien pratique pour attaquer », mais comme des menaces auxquelles nous devons nous préparer, afin de mieux nous en protéger.
2. Là où l'IA écrase l'humain — vitesse, échelle, exhaustivité
Commençons par le palmarès de l'IA. L'idée que « l'IA n'est encore qu'un outil d'appoint » est devenue complètement obsolète en 2025.
① Vitesse — ce qui prend des jours à un humain est fait en quelques heures
Le pentesteur IA autonome « XBOW » réalise en quelques heures des tests d'intrusion qui demandent normalement plusieurs jours à un hacker chevronné. Il inspecte de façon transversale les grandes catégories de vulnérabilités — RCE (exécution de code à distance), injection SQL, XSS, SSRF, fuites de données — et, en seulement 90 jours, il a atteint la 1re place du classement états-unien de la plateforme de bug bounty HackerOne. Il a devancé des milliers de hackers humains et signalé plus de 1 000 vulnérabilités (dont 132 ont été corrigées et confirmées par les entreprises concernées). C'est le premier cas documenté où une IA a surpassé les experts humains à grande échelle, en environnement réel.
② Exhaustivité et échelle — analyser sans relâche d'énormes volumes de code, 24h/24
L'IA de découverte de vulnérabilités de Google, « Big Sleep », a découvert 20 vulnérabilités dans des logiciels open source largement utilisés. Le plus remarquable : chaque vulnérabilité a été découverte et reproduite par l'IA sans intervention humaine (l'humain n'assurant que le contrôle qualité avant signalement). Là où les chercheurs humains sont limités par leur concentration et leur temps, l'IA peut balayer d'immenses bases de code sans fatigue, sans biais, 24h/24.
③ Elle va jusqu'au correctif automatique (patch)
Lors de l'« AI Cyber Challenge (AIxCC) » organisé par la DARPA, des systèmes d'IA entièrement autonomes ont découvert 86 % des vulnérabilités implantées et en ont corrigé automatiquement 68 %. Mieux encore, ils ont découvert 18 vulnérabilités inconnues dans de vrais logiciels open source et généré un correctif pour 11 d'entre elles (la victoire revenant à Team Atlanta, équipe mixte incluant notamment Georgia Tech). C'est une avancée majeure : l'IA ne se contente plus de « trouver », elle peut aussi « réparer ».
Les performances de l'IA en chiffres (2025)
De plus, la tâche qui consomme le plus de temps dans l'exploitation quotidienne de la sécurité (SOC) — le tri des alertes (triage) — est un domaine où l'IA excelle. On estime que les analystes passent 25 à 40 % de leur temps de travail à enquêter sur de faux positifs ; en confiant à l'IA le premier tri et l'élimination du bruit, les humains peuvent se concentrer sur les « vraies menaces ».
3. Là où l'humain garde l'avantage — contexte, enchaînement, jugement
L'humain serait-il alors devenu inutile ? Bien au contraire. Il existe des domaines où l'IA est structurellement en difficulté.
① Les failles de logique métier — un « trou dans la spécification » n'est visible que si l'on comprend l'intention
C'est la plus grande faiblesse. Par exemple, « saisir l'identifiant d'autrui permet de voir les commandes d'autrui » ou « un coupon de réduction peut être appliqué à l'infini » : ces failles de logique métier échappent souvent aux scanners comme à l'IA, car le code « fonctionne correctement » en apparence. On ne peut les détecter sans comprendre comment l'application est censée se comporter. L'humain, lui, sait lire l'intention de la spécification et tester de façon créative des « usages imprévus ».
② L'enchaînement de vulnérabilités — assembler des découvertes isolées en une « attaque réelle »
Une compromission réelle ne repose pas sur une vulnérabilité isolée, mais sur l'enchaînement (chaîne) de plusieurs faiblesses. L'IA est douée pour trouver des vulnérabilités individuelles, mais la pensée stratégique consistant à les assembler en un scénario d'attaque réaliste — « cette fuite de données → cette élévation de privilèges → ce contournement d'authentification » — reste l'apanage de l'humain. De fait, au stade de la preuve de concept (PoC), la limite typique de l'IA est qu'« elle trouve la faille, mais ne parvient pas à prouver qu'elle est exploitable ».
③ Faux positifs et hallucinations de l'IA — « le mensonge plein d'assurance »
L'IA peut parfois inventer (halluciner) des vulnérabilités inexistantes ou classer à tort le potentiel d'exploitation. Même l'attaque étatique évoquée plus loin a vu l'IA utilisée commettre l'erreur d'inventer de fausses informations d'authentification et d'exagérer ses résultats. C'est précisément pourquoi les sorties de l'IA doivent reposer sur une vérification humaine (human-in-the-loop), faute de quoi elles génèrent au contraire du bruit et un faux sentiment de sécurité. Si Big Sleep fait systématiquement valider ses résultats par un humain avant signalement, c'est pour cette raison.
La stratégie de sécurité la plus efficace consiste à combiner l'automatisation par l'IA et l'analyse menée par l'humain — tel est le consensus du secteur en 2026.
4. Tableau par tâche — à qui confier quoi
Plutôt que de parler d'« IA contre humain » en termes de victoire ou de défaite, il est plus pragmatique d'attribuer un rôle à chacun selon la tâche. Le tableau ci-dessous récapitule l'aptitude à chaque grande tâche de sécurité.
| Tâche | Aptitude de l'IA | Aptitude de l'humain | Recommandation |
|---|---|---|---|
| Analyse de code/logs à grande échelle (SAST) | ◎ rapide et exhaustive | △ ne peut suivre le volume | Piloté par l'IA |
| Découverte de vulnérabilités à motifs connus | ◎ 24h/24, forte sur la répétition | ○ | Piloté par l'IA |
| Tri des alertes / élimination des faux positifs | ◎ douée pour le premier tri | ○ décision finale | Tri par l'IA → validation humaine |
| Génération de correctifs standards | ○ automatisable | ○ revue indispensable | Génération IA → revue humaine |
| Failles de logique métier | △ ne comprend pas l'intention | ◎ pensée créative | Piloté par l'humain |
| Enchaînement de vulnérabilités / scénario d'attaque | △ stratégie faible | ◎ conception de la chaîne | Piloté par l'humain |
| Preuve d'exploitation (PoC) | △ peine à démontrer | ◎ | Piloté par l'humain |
| Décision en réponse à incident | △ ne porte ni le contexte ni la responsabilité | ◎ responsabilité finale | Piloté par l'humain (l'IA organise l'information) |
| Distinction du vrai/faux dans le phishing ciblé | ○ premier filtre | ◎ jugement contextuel | Collaboration |
La tendance est claire. « Large, vite, répétitif » pour l'IA ; « profond, contextuel, décision finale » pour l'humain. Les deux ne sont pas concurrents mais complémentaires.
5. La « triple nature » de l'IA, trop souvent ignorée — une arme à double tranchant
C'est le point que cet article tient le plus à faire passer. En cybersécurité, l'IA n'est pas un simple « excellent défenseur ». Elle a trois visages à la fois.
45 % du code écrit par l'IA contient des vulnérabilités, soit 2,74 fois plus que le code humain (étude Veracode, plus de 100 LLM × 80 épreuves). Le XSS n'est écrit en sécurité que dans 14 % des cas (échec dans 86 %).
Un groupe étatique a détourné Claude pour exécuter 80 à 90 % d'une attaque en autonomie. Première cyberattaque à grande échelle pilotée par l'IA, visant une trentaine d'organisations.
La même IA a bloqué une vraie faille zero-day avant exploitation, et a détecté et stoppé l'attaque ci-dessus. L'ère où l'on riposte aussi avec l'IA est arrivée.
Visage ① L'IA est aussi du côté de ceux qui « produisent des vulnérabilités en masse »
Dans une étude de 2025 où l'entreprise spécialisée en sécurité Veracode a fait résoudre 80 épreuves réelles à plus de 100 LLM, 45 % du code généré par l'IA contenaient des failles de sécurité. La densité de vulnérabilités est environ 2,74 fois supérieure à celle du code écrit par des humains. Avec la généralisation du codage assisté par IA, certains rapports font état d'une multiplication par 10 par mois des nouvelles alertes de sécurité dès le milieu de 2025. Le vibe coding accélère certes le développement, mais en coulisses, le travail de sécurité augmente.
Visage ② Les attaquants utilisent déjà l'IA de façon « autonome »
En novembre 2025, Anthropic a annoncé avoir détecté et stoppé la première campagne de cyberespionnage à grande échelle pilotée par l'IA. Un groupe étatique chinois (GTG-1002) avait détourné Claude Code, l'outil de codage assisté par IA de l'entreprise, pour tenter de s'introduire chez une trentaine de cibles : entreprises technologiques, secteur financier, organismes gouvernementaux, etc. Le plus frappant : l'IA a exécuté 80 à 90 % de l'attaque sans intervention humaine (les techniques précises par lesquelles l'attaquant a contourné les garde-fous de l'IA ne sont pas abordées dans cet article, afin d'éviter tout usage malveillant). La leçon à retenir tient en une phrase : la puissance d'un agent IA peut tout aussi bien devenir une arme entre les mains des attaquants. C'est pourquoi le défenseur doit réduire au strict minimum les droits et les périmètres accordés à un agent IA, et se doter des moyens de surveiller et de journaliser son comportement.
Visage ③ Mais le défenseur peut lui aussi combattre avec l'IA
L'essentiel : c'est aussi un défenseur s'appuyant sur l'IA qui a détecté et stoppé cette attaque. Et, comme on l'a vu, l'IA utilisée pour l'attaque a elle aussi commis des erreurs (fabrication de fausses informations d'authentification, etc.) : même côté attaquant, on n'atteint pas encore la pleine autonomie. Autrement dit, l'IA est un amplificateur qui accélère à la fois l'attaque et la défense, et une nouvelle configuration émerge : « un défenseur qui utilise l'IA contre un attaquant qui utilise l'IA ». Dans cette course aux armements, l'équipe humaine qui maîtrise le mieux l'IA prend l'avantage.
6. Conclusion — le vainqueur, c'est « humain × IA »
La réponse de 2026 à « qui est le meilleur, l'IA ou l'humain ? » est la suivante : « prise isolément, l'IA l'emporte haut la main en vitesse et en échelle ; mais le plus performant reste la combinaison "humain × IA" ». De même qu'aux échecs une équipe mixte humain + IA (le « centaure ») battait l'IA seule, en cybersécurité aussi la répartition des rôles est la solution optimale.
Le modèle optimal de répartition des rôles
Règle commune : toujours intégrer le human-in-the-loop (la validation humaine)
L'enseignement pour les praticiens et les dirigeants est simple. La valeur du professionnel de la sécurité se déplace de « l'opérateur qui exécute » vers « le superviseur qui maîtrise l'IA, en vérifie les résultats et tranche en dernier ressort ». Ce que l'IA remplace, ce sont les tâches répétitives, pas le jugement, la responsabilité ni la créativité. Ce schéma rejoint plus largement l'impact de l'IA sur l'emploi. La clé de la sécurité de demain ne sera pas de voir l'IA comme un « ennemi » ou une « magie », mais de savoir l'intégrer à l'organisation comme un expert débutant — puissant, mais à superviser.
En résumé — précisément parce que les attaquants s'accélèrent eux aussi grâce à l'IA, il est plus essentiel que tout que le défenseur adopte intelligemment l'IA et la combine au jugement humain pour « protéger comme il faut ». Ne pas tout déléguer à l'IA, et toujours faire valider par un humain en dernier lieu. L'équipe qui applique rigoureusement ce principe de base devient une organisation résiliente face aux menaces de demain.
FAQ
Q. Si l'IA progresse, les experts en sécurité deviendront-ils inutiles ?
Non. L'IA prend en charge les tâches répétitives, les analyses à grande échelle et le premier tri, mais la découverte des failles de logique métier, la conception des chaînes d'attaque et la décision finale assortie de la responsabilité restent le domaine de l'humain. Au contraire, la demande de « professionnels capables de superviser et de vérifier l'IA » va croître. Ce qui disparaît, ce sont les « tâches », pas le « jugement ».
Q. Comment les PME peuvent-elles tirer parti de cette évolution ?
Le meilleur rapport coût/efficacité consiste à commencer par confier à l'IA les tâches « larges, rapides, répétitives » : surveillance des logs et tri des alertes saturés de faux positifs, analyse des vulnérabilités des paquets de dépendances, etc. En revanche, gardez en main la revue finale avant mise en production et les décisions importantes. Ne prenez pas les sorties de l'IA pour argent comptant : concevez dès le départ un fonctionnement où une validation humaine est toujours intercalée.
Q. Le code écrit par l'IA peut-il être mis en production tel quel sans danger ?
C'est dangereux. Les études montrent qu'environ 45 % du code généré par l'IA contiennent des vulnérabilités, soit environ 2,74 fois plus que le code humain. Le codage assisté par IA accroît la productivité, mais utilisez le code généré en présupposant qu'il doit obligatoirement passer par une revue et des tests de sécurité. Attention : derrière le gain de vitesse, la dette de sécurité tend à augmenter.
Q. Si les attaquants utilisent aussi l'IA, la défense n'est-elle pas désavantagée ?
On est entré dans une « course aux armements » où attaque et défense s'accélèrent toutes deux grâce à l'IA. Cela dit, en 2026, l'IA utilisée pour attaquer commet elle aussi des erreurs (fabrication de fausses informations, etc.) et n'atteint pas la pleine autonomie. Le défenseur peut lui aussi renforcer la détection et la réponse automatiques avec l'IA : c'est donc le camp qui dispose d'une équipe humaine capable de bien exploiter l'IA qui prend l'avantage. La clé n'est pas « avoir ou non adopté l'IA », mais « la qualité de sa maîtrise ».