Pourquoi les décisions autonomes en matière de sécurité, prises sans encadrement, constituent un risque pour les infrastructures critiques

• L'automatisation est indispensable pour les processus modernes de correction des failles, de hiérarchisation des vulnérabilités, de surveillance des configurations et de remédiation.

• La mise en œuvre non contrôlée de mesures de sécurité autonomes, notamment le déploiement de correctifs, les modifications de configuration ou les corrections automatisées, engendre un risque opérationnel dans les environnements où les temps d'arrêt ont des conséquences sur la sécurité ou sur le plan financier.

• Une modification effectuée à un moment inopportun au sein d'un réseau électrique, d'une chaîne de production ou d'un réseau de défense ne constitue pas un simple désagrément. Il s'agit d'un incident.

• Trois référentiels régissent ce domaine : le CIP du NERC (énergie/services publics), la norme CEI 62443 (systèmes de contrôle industriels) et la spécification NIST SP 800-82 (sécurité des systèmes de contrôle industriels). Ces trois référentiels mettent l'accent sur la documentation des procédures d'autorisation, de validation et de test, ainsi que sur la responsabilité en cas de modifications apportées à la sécurité.

• Les flux de travail autonomes peuvent contribuer à la gouvernance lorsque des étapes d'approbation, des politiques et des pistes d'audit sont intégrées au processus. Ils deviennent toutefois un risque lorsque la « décision du système » se substitue à une autorisation humaine responsable.

• C'est au niveau de l'analyse que l'IA apporte le plus de valeur : résultats classés par niveau de risque, signaux de dérive de configuration, liste de correctifs classés par ordre de priorité ; et non au niveau de l'exécution.

• Le modèle efficace : l'IA met en avant les informations, les humains valident les actions, et chaque modification est consignée sous la responsabilité d'une identité identifiable.

Un correctif est déployé en dehors d'une fenêtre de maintenance dans un poste électrique. Une règle de pare-feu est modifiée par un système de correction automatisé au cours d'un cycle de production. Une modification de configuration se propage à travers un réseau OT distribué avant qu'un opérateur ne l'ait vérifiée.

Les scénarios varient, mais le schéma de défaillance est le même : un système automatisé a agi sans autorisation humaine, et lorsque quelqu'un s'en est aperçu, la modification avait déjà été déployée en production.

L'automatisation est désormais indispensable aux opérations de sécurité modernes, d'autant plus que les délais d'exploitation des failles et les fenêtres de correction ne cessent de se réduire. Le risque ne réside pas dans l'automatisation en soi, mais dans l'exécution autonome des mesures de sécurité qui applique des modifications ayant un impact sur la production sans l'approbation d'un responsable, sans contexte opérationnel et sans piste d'autorisation documentée.

Dans les environnements d'infrastructures critiques, ces décisions comportent un risque opérationnel que la supervision humaine structurée est censée prévenir.

La vague actuelle de plateformes d'IA agentique illustre la manière dont l'exécution autonome transforme les opérations de sécurité, en particulier dans les environnements informatiques d'entreprise où la rapidité est l'objectif principal de la conception.

Les infrastructures critiques sont soumises à des contraintes fondamentalement différentes.

Un relais de protection dans un réseau électrique ne peut pas être redémarré en cours de cycle. Une modification de configuration apportée à un automate programmable (PLC) contrôlant une ligne de production ne peut pas être annulée en quelques secondes. Une mesure corrective automatisée qui se déclenche pendant un cycle de production affecte les processus physiques, et pas seulement les serveurs.

Dans ces environnements, les équipes de sécurité doivent évaluer les capacités autonomes à l'aune d'une autre question : non pas « à quelle vitesse le système peut-il réagir ? », mais « qui est responsable en cas d'erreur ? »

Avant votre prochain audit NERC CIP ou CEI 62443, répondez à cette question : votre plateforme de sécurité actuelle génère-t-elle un registre documenté et horodaté indiquant qui a autorisé chaque modification de sécurité ?

La norme NERC CIP-007 impose des procédures spécifiques de gestion des correctifs pour chaque modification apportée aux actifs informatiques du réseau électrique à grande échelle : évaluation documentée, preuves des tests et calendriers de déploiement. La norme CEI 62443-2-3 définit les responsabilités en matière d'autorisation pour la gestion des correctifs et les modifications de configuration dans les systèmes d'automatisation et de contrôle industriels, y compris la désignation des responsables de chaque action. La norme NIST SP 800-82 précise que les modifications de sécurité des systèmes de contrôle-commande (ICS) nécessitent une évaluation des risques, des tests de validation et une coordination avec les parties prenantes opérationnelles avant le déploiement, et non après.

Les flux de travail autonomes peuvent prendre en charge ce modèle de contrôle lorsque la gouvernance est intégrée au processus par le biais d'approbations fondées sur des politiques, de cycles de déploiement, de contrôles des fenêtres de maintenance et de journaux d'audit détaillés.

Mais l'exécution autonome ne s'inscrit pas dans ce modèle lorsqu'elle masque la chaîne d'autorisation. La modification est effectuée, le journal indique que le système a agi, et l'auditeur demande qui a approuvé cette action. En l'absence d'un événement d'autorisation humaine permettant d'en attribuer la responsabilité, l'enregistrement est incomplet.

Les plateformes contrôlées par l'homme, dont les étapes d'autorisation sont consignées, génèrent une piste d'audit. Les plateformes autonomes non régulées engagent la responsabilité de leurs exploitants.

Les plateformes de gestion de la sécurité disposent, par nature, d'accès privilégiés. Une plateforme autorisée à appliquer des modifications de configuration, à déployer des correctifs et à gérer des politiques sur des centaines d'environnements de déploiement est précisément le type de ressource qu'un attaquant ciblerait en priorité.

Lorsque cette plateforme fonctionne de manière autonome, la surface d'attaque s'étend considérablement. Un système autonome compromis peut mener des actions à grande échelle sur l'ensemble des déploiements connectés avant même qu'un opérateur humain ne détecte la faille. L'attaquant hérite des droits d'exécution de la plateforme et les utilise simultanément pour la gestion des correctifs, les modifications de configuration et l'application des politiques.

Il ne s’agit pas là d’une hypothèse théorique. Début 2026, trois failles « zero-day » critiques affectant une plateforme de gestion des correctifs largement déployée ont permis l’exécution à distance de code sans authentification au sein d’environnements d’entreprise. La CISA a classé ces vulnérabilités, ainsi que d’autres similaires, parmi les « vulnérabilités connues pour être exploitées », nécessitant une correction immédiate. Une plateforme autonome compromise par de telles vulnérabilités peut diffuser des modifications malveillantes vers tous les terminaux connectés avant même qu’une seule alerte ne se déclenche.

Une plateforme qui exige une validation humaine avant d'appliquer des modifications limite l'ampleur des répercussions. Lorsqu'une validation humaine est requise avant l'exécution, il est peu probable que des identifiants volés suffisent à eux seuls à déclencher des modifications automatisées à grande échelle.

L'argument contre l'exécution autonome non contrôlée n'est pas un argument contre l'IA ou l'automatisation dans le domaine de la sécurité. C'est aux niveaux appropriés que l'IA apporte le plus de valeur : analyse, hiérarchisation des priorités, soutien à l'orchestration et aide à la prise de décision.

Les recommandations de la CISA soulignent systématiquement que le manque de visibilité constitue un défi majeur pour les organisations gérant des infrastructures critiques dont les actifs sont répartis sur plusieurs sites. L’IA apporte une réponse directe à ce problème : elle agrège les données d’événements, établit des corrélations entre les signaux provenant de différents déploiements, signale les écarts de configuration et met en évidence les résultats classés par ordre de priorité pour qu’ils soient examinés par un analyste. C’est toujours l’analyste qui prend la décision finale, mais l’IA l’aide à le faire plus rapidement, en s’appuyant sur des informations de meilleure qualité.

C'est dans la gestion des vulnérabilités classées par niveau de risque et des correctifs que les avantages de cette approche sont les plus visibles. Le classement rapide de centaines de vulnérabilités en fonction de leur exploitabilité, de la criticité des actifs concernés et de leur exposition fournit aux équipes de sécurité une liste hiérarchisée sur laquelle elles peuvent agir pendant une fenêtre de maintenance, et non plus un flux brut qu'elles doivent trier elles-mêmes.

Le même principe s'applique aux anomalies de configuration : l'IA détecte les écarts sur des centaines de terminaux ; ce sont les humains qui décident quelles modifications annuler et à quel moment.

La question pertinente concernant toute fonctionnalité d'IA intégrée à une plateforme de sécurité n'est pas « peut-elle agir de manière autonome ? », mais « permet-elle à l'équipe de sécurité d'être plus efficace ? »

Il s'agit là de philosophies de conception différentes, et dans les environnements réglementés, cette distinction a son importance.

Une gestion de la sécurité pilotée par l'humain ne signifie pas pour autant une gestion lente. Elle implique au contraire une gestion structurée : l'IA met en évidence les informations, l'automatisation accélère les flux de travail et ce sont les humains qui prennent les décisions. Chaque action est consignée et attribuée à une identité identifiable.

En pratique : un tableau de bord centralisé regroupe les événements de sécurité, la conformité des correctifs des terminaux, l'état de santé des configurations et les anomalies détectées sur l'ensemble des déploiements connectés. Les administrateurs examinent les résultats classés par niveau de risque, évaluent le contexte opérationnel (notamment pour déterminer si une fenêtre de maintenance est actuellement ouverte sur un site cible ou si une modification de configuration a été validée pour ce matériel spécifique), puis lancent des actions après avoir suivi une procédure d'autorisation rigoureuse.

Pour les organisations qui gèrent des environnements distribués, cela nécessite une plateforme permettant d’accéder à tous les déploiements à partir d’une interface unique, y compris les environnements isolés physiquement et hors ligne où la gestion via le cloud n’est pas envisageable. Cette plateforme fournit aux administrateurs les données dont ils ont besoin pour agir en toute confiance.

EPAM Systems (fournisseur mondial de services d’ingénierie de plateformes numériques et de développement logiciel, comptant environ 40 000 collaborateurs répartis dans 30 pays) était confrontée à une pression croissante pour sécuriser un effectif dispersé et largement adepte du BYOD (Bring Your Own Device) sans pour autant ralentir son activité. Grâce à My Central Management MetaDefender , l’entreprise a gagné en visibilité et a pu assurer la conformité de plus de 70 000 appareils utilisés par ses collaborateurs, ses clients et ses prestataires à travers le monde.

La plateforme a permis à l'équipe de sécurité d'EPAM de vérifier la conformité des appareils, de détecter les applications indésirables, d'identifier les vulnérabilités non corrigées et d'appliquer les politiques d'accès, le tout sans nuire à la productivité des utilisateurs. EPAM a également intégré MetaDefender pour analyser les fichiers téléchargés vers son espace de stockage central, traitant ainsi plus de 50 millions de fichiers par jour en période de pointe. Les équipes de sécurité disposaient d'une vue d'ensemble complète. Elles conservaient le contrôle total sur chaque décision. Découvrez l'intégralité de cette histoire ici.

Utiliser l'IA là où elle apporte de la valeur ajoutée sans introduire de risque opérationnel : triage des vulnérabilités classées par niveau de risque, détection des dérives de configuration, corrélation des anomalies et hiérarchisation des résultats en vue d'un examen humain.

Évitez les plateformes qui confondent la valeur analytique de l’IA avec un pouvoir d’exécution sans contrôle. Vérifiez si une plateforme génère les traces d’autorisation requises par votre cadre de conformité. Si la réponse est « le système en a décidé ainsi », cela ne constitue pas une trace d’autorisation suffisante dans les environnements d’infrastructures critiques réglementés.