Plutôt que de se demander « l’IA va-t-elle nous remplacer ? », la vraie question est « comment tirer parti de l’IA pour amplifier notre expertise ? »
Si l’IA surpasse l’humain dans le traitement de données à grande échelle et l’automatisation, le discernement des pentesters reste irremplaçable pour la créativité, l’interprétation du contexte et l’intuition, explique Laurent Deheyer, Chief Delivery Officer, Approach Cyber.
L’IA plus forte que l’humain pour le pentesting ? Sur certains points, l’IA semble avoir clairement l’avantage. Elle est rapide, car capable de boucler un pentest complet en quelques heures. Elle est méthodique, car elle n’est pas distraite, elle n’oublie pas. Elle ne s’arrête jamais. Elle est applicable à l’échelle, car on peut la déployer sur des centaines de cibles en parallèle, sans coût humain supplémentaire. Mais, bien sûr, elle a un coût.
Tous ces aspects -positifs comme négatifs- doivent être sérieusement analysés, explique Laurent Deheyer. « Certaines vulnérabilités signalées par l’IA nécessitent encore une relecture humaine. Toutes, en effet, ne sont pas exploitables en l’état. Parce que la capacité à comprendre le contexte d’une application, à dialoguer avec les développeurs, à proposer une remédiation adaptée reste pour l’instant du ressort de l’humain. »
Un copilote pour dégrossir le travail
L’IA automatise la recherche de bugs par injection, détecte des schémas d’attaques connus à une vitesse fulgurante. Elle excelle dans l’exécution de scénarios bien identifiés. Et elle trouve. Documente. Transmet. En deux mots, elle agit comme un copilote pour dégrossir le travail.
« Aujourd’hui, dans la course contre la montre qu’est devenue la cybersécurité, l’IA a une longueur d’avance. Et nous en profitons. Chez Approach Cyber, on s’en sert largement. Au bénéfice des clients. »
A priori, on pourrait penser que l’IA va progressivement supplanter l’humain. Laurent Deheyer n’y croit pas. « Nous, humains, évaluons le contexte métier, anticipons les conséquences dans le monde réel et enchaînons les vulnérabilités complexes que l’IA ne sait pas relier. Plus encore, nous sommes capables d’improviser face à des systèmes de sécurité inédits ! »
En d’autres mots, l’IA ne remplace pas l’intuition, l’inventivité ou la vision d’ensemble d’un bon pentester.
Pas infaillible, de nombreux angles morts
L’IA préfigure une nouvelle manière de penser la sécurité, non plus comme une suite de tests ponctuels, mais comme un processus continu, intégré dans les cycles de développement. Elle sert de multiplicateur de force. En revanche, c’est le spécialiste qui oriente l’outil, interprète les trouvailles subtiles et monte les attaques sur mesure les plus sophistiquées.
Car l’IA n’est évidemment pas infaillible. Qui plus est, elle présente nombre d’angles morts. Son intelligence est plutôt relative. « Si elle s’en sort souvent très bien dans des scénarios conventionnels, elle a énormément de mal lorsque l’on sort des sentiers battus, précise Laurent Deheyer. Une suite d’étapes exploitant un enchaînement inhabituel de fonctionnalités -ce qu’on appelle une attaque par chaînage créatif- demeure difficile à concevoir pour une IA. »
De la même façon, plus vous serez expérimenté en pentesting, plus vous pourrez sortir du cadre classique d’une attaque. Suivre les recommandations d’une IA trop à la lettre sera alors plus un frein qu’une véritable aide. « Nos juniors doivent apprendre à se débrouiller sans IA, note encore Laurent Deheyer. Et donc faire preuve d’intelligence, de subtilité, de créativité, alors que l’IA excelle dans les tâches volumineuses comme le tri des vulnérabilités ou la rédaction de rapports. L’art du métier est d’aller au-delà des observations techniques afin de définir des actions concrètes qui transforment de simples constats techniques en un plan de sécurité clair, pertinent et priorisé. »
Amplifier l’expertise
L’IA a indéniablement transformé le paysage du pentesting, en boostant reconnaissance, triage et rédaction. Mais c’est la combinaison de la rapidité de la machine et de l’ingéniosité humaine qui permet d’obtenir les analyses les plus approfondies, les chemins d’attaque les plus créatifs et les conseils les plus nuancés dont une organisation a besoin.
Plutôt que de se demander. « l’IA va-t-elle nous remplacer ? », la vraie question est « comment tirer parti de l’IA pour amplifier notre expertise ? ».
En d’autres termes, si l’IA continue de redéfinir la boîte à outils du pentesting, elle est bien plus susceptible de devenir un copilote indispensable que de remplacer complètement le pilote humain. C’est en tout cas l’orientation prise chez Approach Cyber, dont le 2026 Pentest Annual Report vient de sortir.
