Newsletters

Entretien

"Une IA autonome qui mènerait des attaques, ça reste de la science-fiction", Thiébaut Meyer (Google Cloud)

Le développement massif d’outils d’IA générative permet bien souvent aux professionnels de cybersécurité d’aller plus vite, d’être plus performants et plus pertinents. À condition de garder une certaine avance sur les acteurs malveillants, qui déploient des attaques de plus en plus sophistiquées. Thiébaut Meyer, directeur des stratégies de sécurité chez Google Cloud, expose à L’Usine Digitale les différentes problématiques relatives à la sécurité du cloud.

Yoann Bourgin
Data center google
Google Cloud
Data center google

L’Usine Digitale : Quelles sont vos missions au sein de Google Cloud, en tant que directeur des stratégies de sécurité ?

Thiébaut Meyer : Je suis le représentant français de l’“Office of the CISO” chez Google Cloud. Nous avons deux missions principales. La première, c'est de coordonner certains groupes de travail en interne pour la sécurité de nos solutions sur certains aspects, notamment tout ce qui est sécurité par défaut dans nos services cloud, la sécurité dès la conception.

La deuxième, c’est d’accompagner nos clients dans leur stratégie de cybersécurité pour les aider à comprendre ce qu’ils doivent changer par rapport à la manière dont ils faisaient de la sécurité on-premise. L’idée est que le cloud public ne soit pas simplement un risque, mais qu’il soit une manière d’élever le niveau de sécurité. Tout comme les équipes DSI doivent se transformer, les équipes sécurité des clients doivent se moderniser.

Qu’offrez-vous à vos clients qui arrivent sur le cloud et qui veulent s’assurer d’être dans un environnement sécurisé ?

Nous proposons à nos clients une infrastructure cloud sécurisée par défaut. Cela concerne la sécurité dont le client n'a pas à s'occuper, comme la sécurité physique des data centers ou le chiffrement que nous allons mettre en place sur toutes les données de nos clients, qu’elles soient elles sont stockées ou qu'elles transitent sur notre réseau. Ensuite, tous nos clients n'ont pas le même besoin de sécurité, pas le même contexte réglementaire et le même appétit au risque. Il faut qu'ils soient capables d'adapter le niveau de sécurité des solutions qu’ils vont utiliser.

Nous leurs fournissons des contrôles actionnels, soit des contrôles basiques sur la gestion d'identité, sur le niveau de logs qu'ils vont avoir, sur la gestion de l’IoT, pour qu'ils puissent prendre en compte les exigences de leur politique et exigences internes et pouvoir les porter sur le cloud. Nos clients ont souvent un mode hybride, avec  une partie on-premise et une partie sur le cloud. Cette partie cloud doit être intégrée dans leur réflexion de sécurité, dans leur stratégie de cybersécurité. Ces contrôles leur permettent d’avoir de la visibilité, de mettre des mesures de sécurité, de comprendre ce qui se passe et de détecter les incidents.

Comment fonctionnent ces contrôles, pour que les clients puissent s’adapter ?

Ces contrôles peuvent ressembler à ce qu'ils faisaient avant. Par exemple, sur la gestion d'identité, le client n'est pas obligé d'utiliser notre gestion d'identité sur le cloud. Il peut avoir de la fédération d'identité et utiliser un fournisseur d'identité qui lui est propre. En revanche, sur les pare-feu par exemple, il va falloir penser différemment, car c'est natif dans une technologie cloud. Chaque ressource cloud aura sa propre protection réseau, sa propre segmentation, et c’est ce qu’il faut intégrer. C'est typiquement un exemple sur lequel nous accompagnons nos clients. Aussi, dans le cloud, tout est défini de manière logicielle, cela signifie que l’on peut quasiment tout automatiser. Nous pouvons automatiser la création de ressources, les tests, on peut automatiser la recréation pour repartir d’une version saine.

Début 2022, Google a racheté la société de cybersécurité Mandiant. Comment vos missions s’articulent-elles avec ce que fait Mandiant ?

Mandiant est leader sur deux aspects, avec en premier lieu, la réponse aux incidents. Quand une entreprise est victime d'une attaque, pour être capable d'y répondre, de comprendre ce qui s'est passé et de pouvoir repartir, elle peut appeler les équipes de Mandiant qui vont l’aider à faire face à la crise. C’est un service que nous n'avions pas au préalable.

L'autre aspect, c’est l’analyse de la menace, le Cyber Threat Intel. L’idée est de comprendre comment fonctionnent les groupes d'attaquants, d'où est-ce qu'ils viennent, les outils qu’ils utilisent, les vulnérabilités qu’ils vont exploiter en fonction du pays, de l'industrie, et de fournir cette information à nos clients. Ceci va nous servir à être plus attentif et prioriser certaines mesures de sécurité et certains contrôles, en fonction de la menace en face. Nous avions déjà une équipe interne chez Google, le Threat Analysis Group (TAG). Avec l'acquisition de Mandiant, 300 ingénieurs dédiés à cette tâche nous ont rejoints.

Et est-ce que vous, de votre côté, vous observez certaines tendances sur les cyberattaques dans le cloud ?

Nous voyons  plusieurs tendances. La première, sur le cloud ou des infrastructures propres, c'est que les attaques sont souvent corrélées à des enjeux géopolitiques. Nous l’avons observé sur la guerre en Ukraine, ou en ce moment avec ce qui se passe au Proche-Orient. En fonction d'événements qui dépassent le cadre civil, nous avons un accompagnement d'attaques cyber ciblé sur certaines régions, certaines entreprises, certains acteurs. Lorsque des pays de l'Otan annonçaient un soutien ponctuel à l'Ukraine, comme une livraison d'armes, par exemple nous avions des attaques dans l'heure qui ciblaient des entreprises ou le gouvernement de l’État qui venait de faire cette annonce.

Ensuite, en typologie de menaces, il y a les quatre “usual suspects”, soit la Russie, la Chine, la Corée du Nord et l'Iran, qui n'ont pas l'exclusivité des attaques mais qui concentrent beaucoup d'attaques. Nous observons aussi des attaques qui se concentrent sur les éléments périphériques des infrastructures, soit les routeurs, les équilibreurs de charges réseau, les passerelles VPN ou encore les gestionnaires d'identité pour les télétravailleurs. Ces équipements sont d’une part très exposés, et qui ont d’autre part des droits et des privilèges sur l'infrastructure assez élevés. Une fois que l'attaquant prend pied là-dessus, il peut plus facilement pénétrer dans le système.

La dernière tendance, qui est importante, c'est ce que l’on appelle “la supply chain attack”. Si les attaquants n’arrivent pas à cibler une entreprise ayant un niveau de maturité cyber important, ils vont cibler un de ses fournisseurs. Ce peut être une attaque ciblée sur un fournisseur bien précis, mais aussi un fournisseur répandu chez beaucoup de clients, comme SolarWinds par exemple, ou ce que nous avons vu récemment sur des bibliothèques de code open source.

Quel regard portez-vous sur le développement d’outils d’IA générative en matière de cybersécurité ? Pensez-vous qu’ils jouent majoritairement en votre faveur ou en votre défaveur ?

C’est une discussion que nous avons, il y a deux aspects. Les attaquants vont utiliser les enjeux des technologies d’IA. Ce que nous voyons concrètement sur le terrain, c'est qu’ils les utilisent pour aller plus vite, pour passer à l'échelle, être plus pertinents. Mais une IA complètement autonome qui mènerait des attaques, sans intervention humaine ça reste de la science-fiction. C’est un outil pour construire  des mails de phishing plus adaptés, mieux traduits, avec éventuellement des deepfakes, de fausses vidéos pour piéger, mais c’est un outil à disposition. Ce n'est pas encore une menace en tant que telle, complètement autonome.

De l’autre côté, c'est un outil formidable pour les équipes de sécurité, et ça ne remplacera pas ces équipes. Nous n’aurons pas d’IA qui nous défendront, mais ça leur permet d'aller plus vite, d'être plus pertinents. Par exemple, nous pouvons plus facilement comprendre des codes malveillants. Lorsque vous avez un code, vous pouvez rapidement le traduire en langage naturel, ce que nous faisons avec VirusTotal. Ce qui signifie qu’un analyste d'un centre de détection qui ne connaît pas bien le langage peut rapidement comprendre si le script est malveillant ou non, faire une première levée de doutes. Nous pouvons aussi interroger un outil d’IA pour traduire automatiquement des règles de détection. Lorsqu'il faut répondre à un incident, nous sommes capables de proposer à l'analyste les réponses les plus adaptées.

C’est alors une course qui s’installe de chaque côté…

Comment va s'opérer la balance ? Nous sommes plutôt optimistes. Les équipes qui font de la défense ont un avantage : elles connaissent leur infrastructure, leurs données. Nous allons pouvoir entraîner ces modèles de manière très spécifique à notre environnement. L'attaquant va opérer en aveugle. Ce qui peut faire pencher la balance, c'est cette connaissance fine et le fait de pouvoir entraîner ces modèles, ou de les faire travailler sur des données qui nous sont propres, et plus pertinentes. Alors que l'attaquant, lui, va envoyer des attaques génériques.

Ça restera une course à l'échalote, car les technologies vont être adoptées des deux côtés. Il faut donc continuer à investir, et continuer la formation. En tant que fournisseurs de modèles d'IA, d'applications d'IA, nous avons un rôle à jouer. Mais l'IA est un outil parmi d'autres dans la mallette des gens qui font de la cybersécurité. Et puis surtout, il faut savoir s'en servir. Donc il faut savoir interroger une IA, il faut l'utiliser de manière optimale pour gagner en efficacité.

Comment agissez-vous justement pour améliorer la formation à destination des entreprises ?

Nous avons différents types de formations. Nous avons des formations  propres à notre plateforme, et faisons de la sensibilisation. Nous avons notamment un partenariat avec le GIP Acyma (Cybermalveillance.gouv.fr). Nous travaillons également avec l’association “Villes de France” pour proposer des sensibilisations plus locales, que ce soit les élus locaux, les acteurs économiques et les collectivités territoriales pour former les agents. Notre objectif n'est pas de transformer en experts cybersécurité tous les agents d'une collectivité locale ou tous les commerçants d'une ville, mais de prendre conscience de ces enjeux, et que par des petits gestes très simples, nous arrivions, au moins, à éviter les failles les plus évidentes.

À lire aussi

Les plus lus : Cybersécurité
  1. Cybersécurité : L'Anssi lance l'enregistrement des entités soumises à NIS 2 pour préparer leur mise en conformité
  2. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  3. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  4. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  5. Cybersécurité : 55% des entreprises françaises de 50 à 500 salariés ont recours à des outils de Threat Intelligence
  6. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Consultant en Recrutement (H/F) - Rouen
Harry Hope - 16/04/2026 - CDI - Rouen
Expert en gestion des sites et sols pollués H/F
EGIS - 16/04/2026 - CDI - Bordeaux, Nouvelle-Aquitaine, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay