IA et cybersécurité : à qui appartient vraiment votre capacité de défense ?

L'IA de détection des menaces : un marché capturé avant que l'Europe ne réagisse

En 2026, les plateformes américaines de cybersécurité augmentées par l'IA — SIEM, EDR, XDR — sont devenues l'architecture par défaut dans un grand nombre de PME et ETI européennes. Le discours commercial est rodé : automatisation de la détection, réduction des faux positifs, réponse en temps réel. Ce que ces pitches n'indiquent pas, c'est la nature de ce qu'on cède en contrepartie : les logs de sécurité, les signatures comportementales internes, les schémas d'attaque propres à votre secteur. Ces données constituent, en creux, une cartographie précise de vos vulnérabilités. Elles alimentent les modèles des acteurs américains. Elles tombent sous le coup du Cloud Act.

Poser la question de la souveraineté en cybersécurité n'est pas une posture idéologique. C'est une question de gouvernance du risque. Qui entraîne les modèles qui protègent votre SI ? Sur quelles infrastructures tournent les moteurs d'inférence qui qualifient vos alertes ? Quelles sont les conditions contractuelles de résiliation — et qu'emporte l'acteur américain si vous partez ?

Ces questions ne figurent pas dans les grilles d'évaluation habituelles des appels d'offres. C'est précisément là que le problème commence.

Ce que ça coûte vraiment de ne pas internaliser ces compétences

L'argument opérationnel en faveur des plateformes US dominantes repose sur un présupposé rarement contesté : l'Europe n'aurait pas les ressources humaines pour faire autrement. C'est en partie vrai. C'est surtout commode.

Des acteurs comme Sekoia.io ou Tehtris ont démontré qu'une offre souveraine, construite sur des infrastructures européennes et des équipes locales, est techniquement viable. Le vrai écart n'est pas technologique — il est organisationnel. Une défense souveraine implique de ne pas déléguer intégralement la qualification des alertes à un moteur externe opaque. Elle suppose de conserver en interne — ou chez un prestataire européen sous contrat clair — la capacité d'interpréter, de contextualiser et de décider.

Cela se traduit par des choix RH concrets : former ses équipes SOC à auditer les modèles d'IA utilisés, pas seulement à consommer leurs sorties. Exiger, dans les contrats fournisseurs, la traçabilité des décisions automatisées. Définir en gouvernance interne les périmètres où l'IA peut agir sans validation humaine — et ceux où elle ne le peut pas.

Ne pas faire ces choix aujourd'hui, c'est construire une dépendance opérationnelle que les hausses tarifaires ou les retournements géopolitiques de demain rendront brutalement visible.

La vraie question pour un RSSI en 2026 n'est pas « quelle plateforme IA choisir ? » — c'est « quelle compétence suis-je prêt à ne jamais avoir en interne ? »