Les responsables cyber de l’Armée veulent des défenses IA plus rapides après un exercice de guerre de l’industrie

L’Armée teste jusqu’où doit aller la défense cyber autonome

L’armée américaine avance rapidement pour examiner un rôle plus offensif de l’IA dans la défense cybernétique, après qu’un récent exercice de guerre avec des dirigeants technologiques du secteur privé a exploré la manière dont de futures attaques pourraient submerger les opérateurs humains. L’exercice, connu sous le nom de AI Table Top Exercise 2.0, a réuni des dirigeants de 14 entreprises technologiques, des responsables de l’Armée et le U.S. Cyber Command autour d’un scénario sévère : une crise dans l’Indo-Pacifique en 2027 dégénérant en guerre cybernétique contre les réseaux militaires américains.

La principale conclusion n’était pas que l’IA peut résoudre seule la défense cybernétique. C’est que la défense à la vitesse humaine pourrait ne plus suffire si des adversaires utilisent des systèmes d’attaque adaptatifs, alimentés par l’IA, capables de sonder, d’exploiter et de changer de tactique plus vite que les humains ne peuvent répondre. Cela a amené les responsables de l’Armée à parler plus ouvertement d’IA agentique, capable de passer de la détection à l’action, et de la nécessité de construire une structure politique définissant quand ces systèmes devraient bénéficier d’une plus grande autonomie.

De l’alerte à la réponse

Brandon Pugh, principal conseiller cyber du secrétaire de l’Armée Daniel Driscoll, a formulé la question en termes d’appétence au risque. En temps de paix, la supervision humaine peut rester la norme. En temps de guerre, en particulier lors d’une vague d’attaques, l’Armée pourrait avoir besoin d’un seuil différent pour autoriser les agents logiciels à agir. C’est la logique derrière ce que des responsables ont décrit comme une possible politique de « continuum du risque », une approche qui ferait varier l’implication humaine selon les circonstances.

Cette distinction est essentielle. Le ministère de la Défense utilise déjà l’IA pour aider à détecter les intrusions sur ses réseaux. La détection, toutefois, n’est que la première étape. La question plus difficile est de savoir si les systèmes d’IA devraient être autorisés à prendre eux-mêmes des mesures de réponse directes lorsqu’une compromission est en cours.

Pugh a déclaré que l’Armée est déjà forte dans l’utilisation de l’IA pour la détection, mais qu’elle doit désormais progresser vers des capacités agentiques capables non seulement d’identifier un comportement malveillant, mais aussi d’y répondre. Cela pourrait signifier isoler des systèmes, bloquer des connexions, déclencher des contre-mesures ou autrement interrompre une attaque avant qu’elle ne se propage.

Pourquoi l’Armée juge cela urgent

Le lieutenant-général Christopher Eubank, qui dirige l’Army Cyber Command, a décrit le défi en termes directs. Dans un monde d’IA agentique, a-t-il dit, demander aux défenseurs de « patcher plus vite » est irréaliste. Si des systèmes offensifs lancent des attaques répétées qui s’adaptent en continu aux changements défensifs, les équipes humaines seules peuvent tout simplement être trop lentes pour suivre.

Le scénario de l’exercice a été construit précisément autour de cette hypothèse. Des responsables ont indiqué que l’adversaire hypothétique utilisait l’IA pour lancer salve après salve de cyberattaques qui s’adaptaient à la posture défensive de l’Armée plus vite qu’un défenseur humain ne pouvait répondre. Ce type de pression diffère de la défense réseau ordinaire. Il transforme les opérations cyber en course de vitesse, où l’hésitation elle-même devient une vulnérabilité.

Vu sous cet angle, l’intérêt de l’Armée pour une plus grande autonomie relève moins d’un enthousiasme pour l’automatisation que d’une réponse pratique à la compression du temps. Si la boucle d’attaque s’accélère, la boucle de défense doit s’accélérer elle aussi.

Le rôle de l’industrie dans la doctrine

Un aspect notable de l’exercice est qu’il n’a pas été mené comme une simulation technique étroitement scénarisée. Conçu et orchestré par le Strategic Competitive Studies Project, il a adopté un format de type séminaire dans lequel des dirigeants de 14 entreprises technologiques ont formulé des recommandations et des participants militaires ont interrogé ces idées. Ce format montre que l’Armée ne cherche pas seulement des produits. Elle essaie de comprendre comment la pensée commerciale de l’IA doit façonner la doctrine cyber militaire.

C’est une distinction importante. Les questions fondamentales ne sont pas simplement de savoir si un outil fonctionne, mais qui est autorisé à le valider, dans quelles conditions, avec quelles garanties, et avec quelle tolérance aux faux positifs ou aux conséquences involontaires. Ce sont autant des questions de politique et de commandement que d’ingénierie.

L’Armée semble en avoir conscience. L’exercice n’a pas produit de réponses définitives, et les responsables ont été francs à ce sujet. Mais il a offert aux dirigeants militaires des points de vue extérieurs sur la manière de penser la défense autonome dans un scénario de conflit où le retard pourrait être catastrophique.

Le problème de politique pourrait être plus difficile que le problème technique

Construire des systèmes cyber agentiques est difficile. Établir la confiance en eux peut l’être davantage. Une IA défensive qui agit trop lentement est inefficace. Une IA qui agit trop vite ou trop largement pourrait perturber des opérations amies, faire tomber du trafic légitime ou introduire de nouveaux risques pendant une crise.

C’est pourquoi le concept émergent de « continuum du risque » pourrait compter davantage que toute annonce de produit spécifique. Il suggère que l’Armée se prépare à un avenir dans lequel les niveaux d’autonomie ne seront pas fixes mais conditionnels. Un environnement réseau de routine pourrait exiger un contrôle humain strict. Une attaque majeure en temps de guerre pourrait justifier une supervision bien plus relâchée si l’alternative est d’être dépassé par des attaques pilotées par des machines.

Un tel cadre ne réglerait pas toutes les questions éthiques ou opérationnelles, mais offrirait un moyen de relier les capacités techniques à l’autorité de commandement et au contexte de la mission. En pratique, c’est peut-être ce qui déterminera si la défense agentique peut être utilisée à grande échelle.

La suite

Les prochaines étapes de l’Armée devraient inclure à la fois le développement d’outils et la conception de politiques. Des responsables ont indiqué vouloir accélérer de nouvelles capacités d’IA tout en travaillant sur les règles qui encadreront leur usage. Cette double démarche est logique, car l’une sans l’autre échouerait. La technologie sans doctrine risque de créer le chaos. La doctrine sans technologie capable risque de devenir sans objet.

La conséquence plus large est que la défense cyber militaire entre dans une nouvelle phase. L’IA n’est plus traitée seulement comme une aide pour les analystes. Elle est envisagée comme un acteur opérationnel, susceptible de devoir agir à la vitesse de la machine lorsque le rythme humain ne suffit plus.

L’Armée n’a pas encore décidé de la marge de manœuvre à accorder à ces agents. Mais après cet exercice de guerre, elle se prépare clairement à un avenir dans lequel ne pas prendre cette décision pourrait être le plus grand risque.

Cet article est basé sur un reportage de Breaking Defense. Lire l’article original.