L’IA en cybersécurité : entre bouclier et outil offensif, quelles réponses juridiques sont apportées en UE ?

L’intelligence artificielle s’impose désormais comme un pilier de la cybersécurité contemporaine. Elle protège les systèmes critiques, anticipe les menaces, mais alimente également de nouvelles générations d’attaques plus furtives, plus rapides, plus intelligentes. À la fois défensive et offensive, l’IA pose une équation redoutable : comment encadrer juridiquement une technologie qui brouille les lignes entre sécurité, surveillance et cybermenace ?

L’intelligence artificielle appliquée à la cybersécurité impose de penser le droit autrement : comme un outil d’équilibre entre maîtrise du risque et catalyseur de progrès. L’Union Européenne (UE) a posé les premières briques de ce cadre, mais celui-ci reste encore en ajustement.

À l’heure où les attaques se sophistiquent, où les dépendances technologiques s’accentuent et où les usages dévient parfois vers la surveillance massive, il est urgent d’ancrer une cybersécurité juridique claire, agile et souveraine en matière d’intelligence artificielle.

L’intégration de l’IA dans les outils de cybersécurité marque une avancée majeure de notre décennie. Loin des antivirus classiques, les systèmes actuels apprennent à identifier des comportements anormaux en temps réel, détectent des menaces encore inconnues et agissent de manière autonome pour bloquer une intrusion ou isoler une machine infectée. Les acteurs de marché comme IBM implémentent déjà l’IA dans des solutions de défense. Parallèlement, les cyber-attaquants utilisent aussi l’IA pour automatiser la recherche de failles, générer du phishing hyperréaliste ou contourner des protections classiques.

L’IA étant une technologie de traitement massif de données, elle soulève des enjeux fondamentaux en matière de souveraineté numérique et notamment, ceux de savoir qui contrôle les données, où sont-elles traitées et selon quelles règles éthiques ou commerciales ?

L’intelligence artificielle et la souveraineté numérique des États européens

La souveraineté numérique doit être entendue comme la capacité d’un État ou d’un groupement d’États à contrôler les infrastructures, les technologies et les données sur son territoire. Ce concept découle directement du concept de souveraineté étatique. Les prérogatives de souveraineté sont essentielles pour les États car elles garantissent leur indépendance sur leurs territoires. Depuis l’essor du numérique, le concept de souveraineté étatique s’est élargi pour inclure la souveraineté numérique. La souveraineté numérique suppose d’avoir une indépendance technologique. La France a récemment sollicité le soutien de l’écosystème numérique pour œuvrer collectivement vers une souveraineté numérique.

La question de l’IA est d’autant plus importante à cet égard car la souveraineté numérique suppose qu’un État arrive à contrôler les IA et les données sur son territoire, tout en les sécurisant et sans pour autant freiner l’innovation. En effet, une IA déployée dans des services critiques (énergie, santé, défense…) sans maîtrise de ses algorithmes ou de son origine géographique, représente un risque dramatique pour la souveraineté numérique.

L’intelligence artificielle a des impacts concrets sur la sécurité à concilier avec les droits fondamentaux

L’UE répond à ces enjeux avec une approche réglementaire ambitieuse, combinant protection des données (RGPD), encadrement de l’IA (IA Act) et sécurité des réseaux (NIS 2). L’ANSSI est également pro-active dans l’effort de sécurité et à rédiger une publication sur les IA et l’approche de gestion de risque cyber.

L’objectif : ne pas rester dépendant des technologies extra-européennes tout en favorisant un écosystème local innovant. Sur le plan économique, l’IA représente une formidable opportunité pour le marché unique européen. Elle dynamise l’écosystème cyber, génère de nouveaux métiers, améliore la productivité. Mais pour que cette croissance ne se fasse pas au détriment des valeurs européennes, l’encadrement juridique reste un levier central pour encourager l’éthique et la transparence.

En effet, la puissance des systèmes d’IA appliqués à la cybersécurité n’est pas sans conséquence sur les libertés fondamentales. Des outils capables de surveiller, d’anticiper, voire de prédire des comportements, posent des questions cruciales : comment garantir le respect de la vie privée, le droit à l’anonymat, ou encore la proportionnalité des mesures de sécurité prises ? Le droit européen se veut ici protecteur. Le RGPD et la future régulation IA imposent des garde-fous : pratiques interdites, obligations légales dépendantes du degré de risque, obligations de transparence, analyses d’impacts etc.

Une approche européenne pragmatique en trois axes

L’Union européenne et ses États membres ont fait du développement d’IA sécurisée une priorité. Les institutions européennes et les gouvernements avancent sur trois fronts complémentaires :

Des barrières juridiques pour limiter la dépendance numérique : notamment via des obligations de cybersécurité accrues (directive NIS 2), des critères de sécurité intégrés dès la conception ainsi que le rôle de mandataire (AI Act), et un contrôle accru sur les technologies critiques.
Des moyens pour innover : les programmes Horizon Europe, Digital Europe ou encore les pôles de compétences en IA et cybersécurité soutiennent la R&D européenne, en misant sur l’excellence académique et la coopération publique-privée, notamment dans des secteurs scientifiques et de défense.
De la flexibilité pour la recherche : le règlement IA prévoit des allègements pour les projets de recherche et de test dans des bacs à sable réglementaires. Par exemple, en soutenant des initiatives de régime sandbox via des acteurs comme EUSAiR Project. Cette approche pragmatique permet d’explorer les capacités défensives de l’IA sans se heurter à un mur juridique. De plus, en matière de défense et de sécurité, des allégements sont prévus concernant la recherche et le développement des IA, ce qui devrait favoriser le développement de technologies de cybersécurité basées sur l’IA.

L’Union européenne et ses États membres ont décidé de créer un cadre juridique qui vise à favoriser la protection de la souveraineté numérique. Pour ce faire, il est nécessaire d’encourager les projets innovants sur le marché européen tout en ayant le contrôle sur les données et l’entrée d’acteurs extra-européens sur le marché. Néanmoins, il ne sera possible d’évaluer les impacts concrets – qu’ils soient positifs ou négatifs – de la mise en place des réglementations en matière de sécurité numérique et d’IA qu’après plusieurs années de mise en application.