Par Paul Janin et Jean Langlois-Berthelot
La cybersécurité ne protège plus seulement des machines
La cybersécurité a longtemps été pensée comme une affaire de systèmes. Il fallait protéger les réseaux, durcir les architectures, surveiller les accès, détecter les intrusions, corriger les vulnérabilités, restaurer les services. Cette approche reste indispensable. Sans sécurité technique, il n’y a ni confiance numérique, ni souveraineté, ni continuité opérationnelle.
Mais elle ne suffit plus.
Une attaque cyber réussie ne vise jamais seulement une machine. Elle vise une organisation. Et une organisation n’est pas un simple empilement de serveurs, d’outils, de procédures et de logiciels. C’est une chaîne humaine de perception, d’interprétation, de décision et d’action.
Lorsqu’un hôpital est attaqué, la crise n’est pas seulement informatique. Elle devient médicale, logistique, médiatique, juridique et morale. Lorsqu’une entreprise est paralysée par un rançongiciel, le problème n’est pas seulement de restaurer des sauvegardes. Il faut décider quoi dire, à qui, quand, avec quel niveau de preuve, sous quelle pression, avec quelles conséquences financières et réputationnelles. Lorsqu’une armée, une administration ou un opérateur critique subit une attaque informationnelle, l’enjeu n’est pas uniquement d’identifier la source. Il faut comprendre l’effet produit sur la confiance, la coordination et la capacité à agir.
La cyberattaque moderne ne cherche donc pas seulement à pénétrer un système. Elle cherche à altérer une situation. Elle fabrique du doute, de la pression, du bruit, de la désynchronisation. Elle exploite le temps court des réseaux contre le temps long du jugement.
C’est là que commence la guerre cognitive.
La guerre cognitive n’est pas un mot à la mode
Le terme est parfois utilisé trop vite. Il est associé aux deepfakes, aux campagnes de désinformation, aux opérations d’influence, aux réseaux sociaux, aux bots ou à l’intelligence artificielle générative. Tout cela en fait partie, mais ne suffit pas à le définir.
La guerre cognitive désigne une réalité plus profonde : la capacité à agir sur la manière dont un individu, un groupe ou une institution perçoit le réel, hiérarchise les informations, évalue les risques et prend une décision. Elle ne cherche pas seulement à convaincre. Elle peut chercher à fatiguer, saturer, ralentir, accélérer, fragmenter, faire douter ou pousser à l’erreur.
Une opération cognitive réussie n’est pas nécessairement celle qui impose une croyance fausse. C’est souvent celle qui empêche une décision juste.
C’est pourquoi la guerre cognitive ne doit pas être réduite à une extension de la communication stratégique. Elle appartient aussi à la cybersécurité, à la gestion de crise, à la doctrine militaire, à la résilience organisationnelle, à la formation des cadres et à l’ingénierie de la décision.
Le cerveau devient ici une surface d’attaque. Non pas au sens biologique ou médical, mais au sens opérationnel : attention, mémoire, confiance, fatigue, représentation de la menace, rapport au temps, perception de l’urgence, capacité à distinguer le signal du bruit. Dans les crises contemporaines, ces fonctions sont aussi critiques que les réseaux.
Le cerveau est devenu une infrastructure critique.
Le vrai objectif : casser la cohérence décisionnelle
Il faut donc nommer plus précisément ce qui est attaqué. Le cœur du sujet n’est pas seulement “l’opinion”. Ce n’est pas seulement “l’information”. Ce n’est pas seulement “la perception”. C’est la cohérence décisionnelle.
La cohérence décisionnelle désigne la capacité d’une organisation à continuer de percevoir, comprendre, décider et agir de façon coordonnée dans un environnement saturé, incertain ou hostile.
Cette notion permet de sortir d’un débat trop général sur la “résilience”. La résilience dit qu’il faut tenir. La cohérence décisionnelle demande comment l’on tient, à quel moment l’on décroche, par quel mécanisme l’on perd la lucidité, et comment l’on s’entraîne à la conserver.
Dans une crise cyber ou informationnelle, une organisation peut perdre sa cohérence de plusieurs manières.
Elle peut voir trop tard un signal faible. Elle peut surinterpréter un faux signal. Elle peut confondre urgence médiatique et urgence opérationnelle. Elle peut produire trop d’informations et plus assez de compréhension. Elle peut multiplier les réunions sans stabiliser la décision. Elle peut laisser la communication externe prendre le pas sur la résolution interne. Elle peut s’enfermer dans des silos techniques, juridiques ou hiérarchiques. Elle peut aussi se crisper au point de ne plus décider, ou au contraire décider trop vite pour donner l’impression de maîtriser.
Dans tous ces cas, l’adversaire n’a pas besoin de détruire l’organisation. Il lui suffit de la faire mal décider.
L’IA générative industrialise la menace cognitive
La guerre cognitive n’a pas attendu l’intelligence artificielle. La rumeur, la manipulation, la propagande, l’intoxication et la démoralisation existent depuis longtemps. Mais l’IA générative change l’échelle, la vitesse et le coût de ces opérations.
Elle permet de produire des textes crédibles en masse, des images plausibles, des vidéos truquées, des voix synthétiques, des documents falsifiés, des conversations automatisées, des narratifs segmentés par public. Elle rend possible une industrialisation du brouillage cognitif.
Le deepfake n’est qu’un symptôme. Le problème plus large est la production continue d’environnements incertains.
Dans un monde où tout peut être faux, la difficulté n’est pas seulement de détecter le faux. Elle est de conserver une capacité à juger avant que la vérification complète soit disponible. Or les organisations ne décident jamais dans des conditions parfaites. Elles décident sous contrainte, avec des informations incomplètes, des risques juridiques, des pressions politiques, des délais techniques, des enjeux humains.
L’IA générative attaque précisément ce point faible : le moment où il faut agir alors que tout n’est pas encore clair.
Elle ne remplace pas la guerre cognitive. Elle la rend scalable.
Des forces morales à la cyberdéfense cognitive : une continuité française
Cette réflexion ne part pas de rien. Elle s’inscrit dans une continuité de travaux conduits ces dernières années dans l’environnement militaire, doctrinal et pédagogique français. Nous y avons pris part non comme simples observateurs, mais comme conseillers, organisateurs ou encadrants de groupes de travail, d’exercices, de recherches appliquées et de travaux professionnels consacrés à la cognition, à la décision, à l’influence et à la simulation.
Le premier ensemble de travaux renvoie au groupe ARCHOS/FST, conduit dans l’environnement des forces spéciales Terre et consacré notamment aux forces morales, à la cohésion, à la résistance psychologique et aux enjeux cognitifs du combat contemporain. Derrière ces termes, il ne s’agissait pas seulement de réfléchir au “moral” des unités au sens classique. Il s’agissait de comprendre comment une force conserve sa lucidité, sa confiance, sa capacité d’initiative et sa cohérence collective lorsqu’elle est placée sous fatigue, incertitude, pression informationnelle ou confrontation prolongée.
Le deuxième moment a été celui des travaux conduits autour de la cognition et des mondes virtuels au CDEC, le Centre de doctrine et d’enseignement du commandement, qui était alors l’un des lieux structurants de la pensée doctrinale de l’armée de Terre. Dans ce cadre, la question des mondes virtuels ne renvoyait pas seulement aux technologies immersives. Elle permettait d’interroger la manière dont les représentations numériques, les interfaces, les environnements simulés et les scénarios virtuels modifient l’attention, l’apprentissage, la perception du risque et la décision.
Le troisième moment s’est inscrit au CEMST, le Centre d’enseignement militaire supérieur Terre, structure de formation supérieure des officiers de l’armée de Terre. Les travaux conduits dans cet environnement sur la simulation, la cyberdéfense, les wargames, la formation des cadres et les architectures de décision ont permis de relier les enjeux cognitifs à des situations concrètes : exercice de crise, entraînement des états-majors, retour d’expérience, conduite de travaux professionnels et préparation des chefs à l’incertitude.
Cette continuité s’est prolongée par l’encadrement, le conseil ou l’accompagnement d’une dizaine de doctorats professionnels, de mémoires de l’École de guerre et de travaux de formation supérieure militaire. Ces travaux portaient sur des objets apparemment distincts — surcharge cognitive, guerre informationnelle, influence stratégique, cyberdéfense, simulation, wargames, architectures de décision, formation des cadres — mais ils convergeaient vers une même question : comment une organisation conserve-t-elle sa capacité à décider lorsque son environnement informationnel devient instable, hostile ou artificiellement saturé ?
C’est dans ce passage que se joue l’essentiel. La guerre cognitive ne doit pas rester une formule. Elle doit devenir un objet de méthode. Elle doit être décrite, entraînée, testée, mesurée. Le rôle de ces groupes de travail et de ces encadrements n’a pas été de produire une doctrine abstraite de plus. Il a été de transformer des intuitions opérationnelles en objets exploitables : scénarios, exercices, mémoires, protocoles, retours d’expérience, concepts de formation et cadres d’analyse.
Cette continuité est essentielle. Elle montre que la cybersécurité cognitive ne naît pas avec les deepfakes ou les grands modèles de langage. Ces technologies accélèrent le phénomène, mais elles ne l’inventent pas. Le cœur du sujet est plus ancien : il concerne la capacité d’un collectif à rester lucide, coordonné et capable d’agir lorsque son environnement informationnel est volontairement dégradé.
Les forces morales sont aussi une question cyber
Les armées savent depuis longtemps que la force morale conditionne l’efficacité opérationnelle. La confiance dans le chef, la cohésion du groupe, la discipline, l’endurance, le sens de la mission et la résistance à la peur ne sont pas des variables secondaires. Elles déterminent la capacité à continuer d’agir dans la durée.
La nouveauté est que ces dimensions sont désormais exposées dans le cyberespace.
Un adversaire peut chercher à démoraliser une force sans l’affronter directement. Il peut diffuser des récits de découragement, amplifier des divisions, exploiter une erreur, isoler une unité, faire douter de la légitimité d’une mission, produire des contenus falsifiés, saturer les canaux, attaquer la confiance dans le commandement ou dans les outils. Il peut aussi cibler l’arrière, les familles, les opinions publiques, les partenaires, les médias ou les décideurs politiques.
La force morale n’est donc plus seulement éprouvée sur le terrain physique. Elle est travaillée, attaquée et testée dans l’environnement numérique.
C’est pourquoi il faut cesser d’opposer la guerre cognitive et la cybersécurité technique. Elles sont désormais liées. Une attaque technique produit des effets cognitifs. Une attaque cognitive peut faciliter une attaque technique. Un faux message peut provoquer une erreur humaine. Une crise de confiance peut ralentir une réponse cyber. Une surcharge d’alertes peut dégrader le jugement d’un analyste. Une rumeur peut transformer un incident limité en crise stratégique.
La sécurité du système dépend de la solidité cognitive de ceux qui le défendent.
Les équipes cyber sont des unités cognitives sous pression
Cette réalité concerne directement les équipes SOC, CERT et CSIRT. On les présente souvent comme des équipes techniques. Elles le sont, bien sûr. Mais elles sont aussi des unités cognitives exposées à la pression.
Elles doivent surveiller, qualifier, hiérarchiser, corréler, douter, décider, transmettre. Elles doivent le faire dans des environnements où les signaux sont nombreux, les faux positifs fréquents, les responsabilités élevées et les délais courts. Elles doivent parfois travailler avec la fatigue, le stress, l’incertitude, l’urgence médiatique ou la pression hiérarchique.
Une crise cyber est donc aussi une épreuve attentionnelle.
La performance d’une équipe cyber ne dépend pas uniquement de ses outils. Elle dépend de sa capacité à maintenir un jugement fiable sous saturation. Elle dépend de la clarté des rôles, de la qualité des routines, de la circulation de l’information, de la confiance entre les niveaux, de la capacité à dire “je ne sais pas encore”, de la discipline dans la qualification des faits, de la maîtrise de la communication et du retour d’expérience.
Dans une crise, le danger n’est pas seulement l’attaque. Le danger est la désorganisation produite par l’attaque.
La simulation doit devenir un outil de mesure cognitive
Face à cela, la sensibilisation ne suffit plus.
Expliquer les biais cognitifs, présenter des exemples de deepfakes, rappeler les règles d’hygiène numérique ou diffuser des guides de vigilance reste utile. Mais cela ne prépare pas réellement une organisation à décider sous pression.
Il faut entraîner des chaînes complètes : opérateurs, analystes, décideurs, communicants, juristes, directions métiers, autorités, partenaires. Il faut les placer dans des environnements simulés où les informations sont incomplètes, contradictoires, ambiguës, urgentes. Il faut observer comment elles perçoivent, comment elles interprètent, comment elles se synchronisent, comment elles décident.
La simulation ne doit pas seulement vérifier qu’une procédure existe. Elle doit montrer à quel moment elle cesse de fonctionner.
Un bon exercice de crise ne mesure pas seulement la conformité. Il mesure la déformation. Où l’organisation ralentit-elle ? Où se trompe-t-elle ? Où se crispe-t-elle ? Où perd-elle le fil ? Où produit-elle trop d’informations et pas assez de compréhension ? Où les experts ne parviennent-ils plus à traduire leur diagnostic en options de décision ? Où la communication externe parasite-t-elle la résolution interne ?
Les wargames, les exercices immersifs, les environnements virtuels et les simulations cyber-cognitives ont ici un rôle central. Ils permettent de rendre visible ce qui ne l’est pas dans un organigramme : les hésitations, les raccourcis, les tensions, les pertes de synchronisation, les excès de confiance, les angles morts et les seuils de rupture.
Autrement dit, les groupes de travail sur les forces morales, les réflexions doctrinales sur la cognition, les mondes virtuels et les exercices de crise participent d’un même mouvement : transformer un sujet apparemment abstrait — l’altération du jugement — en objet observable, entraînable et mesurable.
Il faut mesurer la résilience décisionnelle
Le mot “résilience” est devenu omniprésent. Il est utile, mais trop vague. Dire qu’une organisation doit être résiliente ne suffit pas. Il faut savoir ce que l’on mesure.
Dans le champ cyber-cognitif, plusieurs indicateurs peuvent être travaillés.
Le temps de détection d’une incohérence. Le temps nécessaire pour corriger une fausse interprétation. La capacité à maintenir une ligne de décision malgré une pression informationnelle. La stabilité des priorités sous stress. La vitesse de synchronisation entre équipes techniques, direction, communication et autorité juridique. La capacité à distinguer une urgence réelle d’une urgence produite par le bruit. La résistance à la surcharge. Le maintien de la confiance interne. La qualité du retour d’expérience.
Ces indicateurs ne feront jamais du jugement humain une science exacte. Ce n’est pas l’objectif. L’objectif est d’éviter que la guerre cognitive reste un discours général sans effet sur la préparation réelle.
Ce qui ne se mesure pas ne s’entraîne pas correctement. Ce qui ne s’entraîne pas se découvre trop tard.
L’IA doit aider le jugement, pas le remplacer
Dans cette bataille, l’intelligence artificielle peut être un appui considérable. Elle peut trier, corréler, détecter, résumer, simuler, accélérer l’analyse, produire des scénarios et assister la décision. Elle peut réduire certaines charges cognitives.
Mais elle peut aussi créer de nouvelles fragilités.
Plus une organisation délègue à des systèmes d’aide à la décision, plus elle doit comprendre ce qu’elle délègue. Une IA peut produire une réponse plausible sans être juste. Elle peut renforcer un biais présent dans les données. Elle peut donner une impression de maîtrise. Elle peut accélérer une erreur. Elle peut déplacer la responsabilité sans la clarifier.
La souveraineté cognitive ne consiste pas à refuser l’IA. Elle consiste à conserver la capacité de juger avec elle, contre elle, ou sans elle lorsque cela devient nécessaire.
L’enjeu n’est donc pas l’homme contre la machine. L’enjeu est la qualité du couplage entre l’humain, l’organisation et les systèmes d’aide à la décision. Une organisation mature ne demande pas seulement ce que l’IA peut faire. Elle demande que l’IA change dans sa manière de décider.
Vers une cyberdéfense cognitive
La prochaine étape de la cybersécurité sera cognitive, ou elle sera incomplète.
Cela ne signifie pas abandonner la sécurité technique. Au contraire. Il faut continuer à durcir les systèmes, améliorer la détection, sécuriser les données, protéger les infrastructures, automatiser ce qui peut l’être. Mais il faut ajouter un niveau d’analyse devenu indispensable : celui de la décision humaine et collective.
Une doctrine moderne de cyberdéfense doit articuler trois niveaux.
Le premier est technique : protéger les systèmes, détecter les attaques, restaurer les services.
Le deuxième est organisationnel : clarifier les responsabilités, entraîner les chaînes de crise, stabiliser les procédures, coordonner les acteurs.
Le troisième est cognitif : préserver la lucidité, mesurer la saturation, entraîner le jugement, maintenir la confiance, renforcer la cohérence décisionnelle.
Ces trois niveaux ne peuvent plus être séparés. Une crise cyber est précisément le moment où ils se superposent. L’incident technique produit une pression organisationnelle. La pression organisationnelle produit une vulnérabilité cognitive. La vulnérabilité cognitive peut aggraver l’incident technique.
C’est cette boucle qu’il faut désormais comprendre, entraîner et maîtriser.
La bataille décisive est celle du jugement
La guerre cognitive ne gagne pas toujours en convainquant. Elle gagne parfois en fatiguant. Elle gagne en dispersant. Elle gagne en accélérant. Elle gagne en rendant toute décision suspecte, toute information incertaine, toute autorité contestable, toute action trop lente ou trop rapide.
Elle gagne lorsqu’une organisation ne sait plus ce qu’elle sait.
Face à cela, la réponse ne peut pas être seulement technique. Elle doit être doctrinale, organisationnelle, pédagogique et opérationnelle. Il faut former les cadres à la saturation informationnelle. Il faut entraîner les équipes cyber à la pression cognitive. Il faut tester les chaînes de décision. Il faut mesurer les seuils de rupture. Il faut construire des environnements de simulation capables de révéler les vulnérabilités invisibles. Il faut traiter la confiance, l’attention et la cohérence comme des actifs stratégiques.
C’est précisément ce que les travaux menés autour des forces morales, du CDEC, du CEMST, des doctorats professionnels et des mémoires de l’École de guerre ont progressivement permis de comprendre : la guerre cognitive ne peut pas être pensée seulement comme une menace extérieure. Elle oblige chaque organisation à regarder sa propre manière de décider.
Le cerveau humain n’est pas un pare-feu. Il fatigue, doute, simplifie, se trompe, compense, sature. Mais il reste aussi l’espace décisif où se jouent la compréhension, l’arbitrage et la responsabilité.
Dans les crises contemporaines, la question n’est donc plus seulement : nos systèmes sont-ils protégés ?
Elle devient : notre jugement collectif est-il encore capable de décider ?
C’est là que se jouera une part essentielle de la cyberdéfense des prochaines années.
la newsletter
la newsletter