Cyberdéfense : la bascule vers la décision automatisée
La cyberdéfense entre dans une ère où la rapidité de décision prime sur la qualité de détection. Les rapports CrowdStrike Global Threat Report 2026 et Mandiant M-Trends 2026 révèlent une réduction drastique des délais offensifs grâce à l’intelligence artificielle (IA), avec un délai de propagation médian tombé à 29 minutes et un transfert d’accès réalisé en seulement 22 secondes. Les vulnérabilités sont désormais exploitées en quelques jours.
Le temps moyen dont dispose un défenseur entre l’intrusion d’un attaquant et son intégration dans le système d’information est désormais de 29 minutes. Ce chiffre, extrait du rapport de CrowdStrike, inclut un cas record de 27 secondes pour un transfert d’accès. Parallèlement, le rapport de Mandiant indique que le délai médian entre la compromission initiale et le transfert d’accès à un opérateur secondaire est passé de plus de huit heures en 2022 à 22 secondes en 2025. Cela souligne une intégration croissante de l’IA dans le cycle d’attaque.
L’IA générative est identifiée comme le principal facteur d’accélération par des sources de renseignement sur les menaces, notamment CrowdStrike, Mandiant et ENISA. Selon cette dernière, 2025 a marqué une transformation significative du paysage des menaces, avec plus de 80 % des campagnes d’hameçonnage s’appuyant sur du contenu généré par IA.
Les délais de propagation des cyberattaques ont chuté à 29 minutes, représentant une accélération de 65 % par rapport à 2024. Mandiant a également observé des transferts d’accès en 22 secondes, alors que la médiane historique était supérieure à huit heures. Cette industrialisation des rançongiciels permet à chaque étape d’une attaque d’être pré-scriptée par des modèles de langage, rendant la réaction humaine insuffisante.
Les maliciels contemporains, comme PROMPTFLUX et PROMPTSTEAL, adaptent leur comportement en temps réel pour éviter la détection. L’ENISA signale également une exploitation des vulnérabilités divulguées en quelques jours, voire en quelques heures, contrastant avec les semaines nécessaires auparavant.
Les centres opérationnels de sécurité (SOC), structurés autour d’une chaîne humaine, peinent à suivre le rythme. Le manque de professionnels de la cybersécurité, estimé à plus de 4 millions, exacerbe cette difficulté. Les alertes traitées par les équipes sont souvent saturées de faux positifs, rendant la prise de décision critique.
La priorité se déplace de la détection vers la décision. Les outils actuels peuvent détecter des menaces, mais la capacité à décider et agir rapidement est essentielle. L’émergence de SOC autonomes, ou agentic SOC, vise à déléguer des tâches de triage et de remédiation à des agents d’IA, permettant ainsi une réponse plus rapide.
Les grands éditeurs de cybersécurité, tels que CrowdStrike et Microsoft, développent des solutions intégrées pour répondre à cette nécessité. Le marché se divise en plusieurs modèles architecturaux, allant de l’assistant mono-agent à des solutions hybrides combinant humains et IA.
Cependant, la rapidité de la décision pose des questions de responsabilité. Les architectures opérationnelles doivent intégrer des garde-fous, comme le « human-on-the-loop », garantissant une validation humaine avant l’exécution d’actions sensibles. Les exigences réglementaires, telles que celles imposées par NIS2 et DORA, renforcent la nécessité d’une automatisation efficace tout en maintenant la responsabilité humaine.
La compétence clé des responsables de la sécurité des systèmes d’information (RSSI) évolue. Maîtriser les outils de détection devient moins pertinent que de gouverner une chaîne de décision automatisée, définissant les périmètres d’action préautorisés et garantissant la traçabilité des actions.
Source : CrowdStrike Global Threat Report 2026, Mandiant M-Trends 2026.
