Jérôme SAIZ
Fondateur de la société OPFOR Intelligence, spécialiste de la gestion des crises cyber et ancien journaliste spécialisé cyberdéfense. Je m’intéresse de très près au rôle émergent des IA génératives non seulement dans la cybersécurité (augmenter le défenseur et renforcer l’analyse de la menace), mais aussi au sein de la société.
L’IA va rendre bons les médiocres. Et cela, ça change tout pour les professionnels que nous sommes — pour le meilleur comme pour le pire !
Qui ne connaît pas le passé est condamné à en répéter les erreurs. La déferlante des IA génératives accessibles au plus grand nombre m’évoque, il y a presque vingt ans, l’arrivée des blogs dans le petit monde de la presse spécialisée.
À l’époque, certains journalistes s’étaient insurgés de la concurrence déloyale des bloggers. Ils dénigraient férocement ces amateurs qui osaient écrire gratuitement et partager leur expertise dans les colonnes de ce qui n’était même pas « de la vraie presse ».
La réalité était pourtant autre. De nombreux de ces journalistes ne faisaient déjà plus que paraphraser l’actualité de la nuit précédente, qu’ils trouvaient essentiellement sur des sites américains. Ils se considéraient toujours comme des professionnels de l’information, mais en pratique, ils en étaient rendus à guère plus que le minimum syndical.
Les bloggers, eux, apportaient une forte valeur ajoutée en partageant leur expertise métier directement à une audience intéressée. D’aucuns diraient que les journalistes les plus remontés se plaignaient surtout de perdre leur monopole d’accès aux lecteurs sans beaucoup travailler.
Un mal pour un bien ?
Quant à moi, je trouvais ça plutôt bien : à mes yeux, le privilège du journaliste spécialisé était avant tout d’être payé pour enquêter, rencontrer des sources proches du sujet et synthétiser le produit des esprits les plus brillants du moment. Et surtout, privilège absolu : avoir toutes mes journées pour le faire, là où le blogger ne parle que de son propre point de vue, sur son sujet d’expertise très vertical, et uniquement sur son temps libre. Il ne croise pas de sources, ne met pas en évidence des incohérences ou des tendances, n’éclaire pas un horizon.
Bref, ce n’est pas le même métier. Et mon analyse à l’époque était la suivante : les bloggers vont nettoyer la presse de ses médiocres, en obligeant les journalistes à revenir au cœur de leur métier, c’est-à-dire creuser des sujets, approfondir une multitude de réalités souvent divergentes, pour en distiller quelque chose d’exploitable qui apporte une forte valeur ajoutée au lecteur.
Le bilan, vingt ans après, est en demi-teinte : oui, les plus mauvais sont partis. Mais même pour les autres, la profession me semble sinistrée. Parce qu’il semble que la grande majorité de l’audience soit aisément satisfaite avec le fameux « Good Enough ». Et la réalité du good enough c’est qu’il n’a même plus besoin des mauvais pour être rédigé. Il peut d’abord être outsourcé à moindre coût, puis, de plus en plus, généré automatiquement pour un coût encore inférieur. Pour les bons qui restent, la situation n’est pas très folichonne : le marché s’est réduit et la rentabilité aussi.
Bis repetita
Revenons à la cybersécurité. Remplaçons les bloggers par les IA génératives. « Pour ou contre » n’est pas le débat. En 2004, les journalistes professionnels qui étaient « contre les bloggers » se trompaient de combat. Les blogs étaient là pour rester et ils étaient même une excellente source, parmi d’autres évidemment. Il fallait « juste » (re) devenir bon dans son métier de journaliste pour en tirer parti.
Aujourd’hui, l’histoire semble se répéter. Les IA génératives sont là pour rester. Et si nous sommes honnêtes, elles font un travail similaire ou supérieur en qualité à ce que peuvent produire sur un sujet donné des professionnels qui ronronnent en mode « facile » (ou qui, hélas, ont atteint leur seuil de compétence et sont bien contents de pouvoir malgré tout vivre de leur travail). Et ce produit réalisé par des IA génératives plutôt que des professionnels médiocres sera probablement considéré comme « good enough » par 80 % de l’audience non spécialiste.
Intéressons-nous à la cybersécurité, et le rôle du RSSI, ou du consultant. Un ami dans un cabinet ayant pignon sur rue m’expliquait que la majorité des consultants juniors font rédiger leurs livrables par ChatGPT d’OpenAI. Et ça passe…
Pour les RSSI, le chatbot conversationnel peut synthétiser des normes, rédiger des plans de réponse à incidents, répondre à des questions sur l’architecture réseau. Et ça passe…
Les puristes me répondront à coup sûr que la qualité n’est pas la même et qu’il pourrait y avoir des erreurs grossières, voire dangereuses. Oui, ils ont parfaitement raison. Mais le constat, aujourd’hui, est que les destinataires de ces livrables les acceptent. Ça passe… car c’est « good enough ».
Mais que se passera-t-il quand ces destinataires découvriront qu’ils peuvent eux-mêmes faire 80 % de ce travail, et que « ça passe » toujours ? Ils ne feront plus appel à ces intermédiaires. Voilà tout le paradoxe. Les IA génératives permettent aujourd’hui aux professionnels médiocres de devenir bons (il n’est plus possible de discriminer un candidat sur son orthographe ou sa grammaire, ChatGPT écrit bien mieux que la majorité de la population). Mais elles offrent le même pouvoir à tout le monde.
Nivellement par le bas ?
Pile : c’est un progrès de libérer la créativité de tous. Ainsi la version 3 de Suno.ai génère des compositions musicales (paroles ET musique) à même de satisfaire 80 % des audiences de radios grand public d’aujourd’hui. Pour moi qui aime l’écrit, mais n’aie aucune culture musicale, c’est une libération de pouvoir mettre mes textes en musique. Tout comme Midjourney a libéré tous les créatifs frustrés du dessin.
Face : tous les professionnels qui vivent encore correctement du minimum syndical sur un domaine donné en se positionnant comme des « gatekeepers » vont devoir sérieusement réfléchir à augmenter leur valeur ajoutée. Et tous n’y parviendront pas.
Pour les RSSI et les consultants en cybersécurité, le choix semble être d’aller soit vers le « good enough » massif, de manière assumée et à moindre coût en automatisant au maximum. Je n’entrerai pas dans les détails de ce qu’il est possible de faire en associant des plateformes d’automatisation telles Make.com et ChatGPT en matière de veille client notamment, mais c’est clairement un nouvel univers. D’ailleurs, le sujet du nocode/lowcode rejoint celui du « good enough » pour les développeurs.
Soit d’aller vers du premium. Élever au maximum la valeur ajoutée rendue aux 20 % de clients qui sauront faire la différence. Mais avant de faire ce choix, il convient d’entamer une vraie introspection : qui est ma cible ? Pourquoi voudra-t-elle payer pour autre chose que du « good enough » ? Suis-je réellement capable de lui apporter ?
Face à la montée irréversible des IA génératives, nous nous trouvons à un carrefour décisif. L’heure n’est plus au débat sur leur pertinence, mais à l’adaptation et à l’innovation. Les professionnels, en particulier dans le domaine de la cybersécurité, doivent se saisir de cette opportunité pour réévaluer et enrichir leur offre. Cela implique de plonger dans une introspection rigoureuse sur notre valeur ajoutée réelle, d’explorer les limites et les potentialités des IA, et de redéfinir notre rôle dans une ère où l’accessibilité à l’information et aux compétences est sans précédent.
Il s’agit d’une invitation à ne pas seulement survivre à la vague du « good enough », mais à s’élever au-dessus, en proposant une expertise et une créativité qui distinguent véritablement. Embrassons donc ce changement, non comme une menace, mais comme le catalyseur d’une évolution professionnelle qui exige de nous une réinvention constante. La question n’est plus de savoir si nous pouvons rivaliser avec les machines, mais comment nous pouvons utiliser ces outils pour enrichir notre travail et apporter une valeur inégalée à ceux que nous servons.
