L'IA m'a rendu dix fois plus productif, mais elle m'a aussi mis au sol

Christophe Mazzola
Cyber Academy / Cresco Cybersecurity

Quand un consultant cybersécurité découvre que le vrai risque de l'IA défensive n'est pas technique mais cognitif.

Je vais vous raconter quelque chose que la plupart des experts en cybersécurité n'admettront jamais en public.

Depuis quinze ans, je vis dans les entrailles de la gouvernance cyber. Analyses de risques, conformité NIS2, plans de continuité, audits de maturité : mon quotidien, c'est d'aider des organisations à voir ce qu'elles refusent de regarder. En parallèle, je développe des applications, je maintiens des sites web, j'écris. Je l'ai toujours fait. Mais depuis que les agents IA sont passés du stade de la promesse à celui de l'outil quotidien, l'échelle a changé. Je peux aujourd'hui lancer en parallèle des tâches qui m'auraient pris des semaines. Je suis devenu, sur le papier, dix fois plus productif.

Et je suis claqué au sol.

Pas fatigué comme après une longue journée de travail. Vidé. Le genre de fatigue qui ne se répare pas avec une bonne nuit de sommeil, parce qu'elle ne vient pas du corps. Elle vient de la tête. Du fait que mon cerveau passe ses journées non plus à exécuter seulement, mais aussi à arbitrer, valider, contextualiser, décider, en continu, sur des flux que je n'aurais jamais pu traiter il y a deux ans.

Simon Willison, co-créateur de Django et l'une des voix les plus respectées de l'ingénierie logicielle mondiale, vient de dire exactement la même chose sur le podcast de Lenny Rachitsky, début avril 2026 : piloter des agents de code en parallèle mobilise la totalité de ses vingt-cinq ans d'expérience, et à onze heures du matin, sa journée cognitive est terminée. Nathan Baschez, entrepreneur et auteur, a réagi en décrivant le même basculement : programmer, autrefois une activité comparable à un jeu de réflexion posé, ressemble désormais à un débat permanent où sa puissance brute atteint la limite de sa capacité à absorber l'information et à trancher.

Ces témoignages viennent du monde du développement logiciel. Mais le phénomène est rigoureusement identique dans la cybersécurité.

La dette cognitive : le vrai bug de 2026

Le concept a un nom. Il circule dans la littérature académique depuis février 2026, porté notamment par Margaret-Anne Storey, professeure en génie logiciel à l'Université de Victoria, dans un article qui a fait le tour de la communauté tech avant d'être présenté en keynote à la conférence ICSE TechDebt. La dette cognitive, c'est le déficit de compréhension qui s'accumule quand la vitesse de production dépasse la capacité humaine à maintenir un modèle mental cohérent de ce qui se passe.

La dette technique vit dans le code. La dette cognitive vit dans la tête des gens qui sont censés en répondre.

Transposez cela dans un SOC moderne. Un analyste cybersécurité en 2026 ne corrèle plus les alertes à la main. Il supervise des agents autonomes qui détectent, investiguent, proposent des remédiations, génèrent des scénarios d'attaque. L'outil a pris en charge l'exécution. Mais l'humain doit toujours garder en tête le contexte métier, le cadre réglementaire, l'historique des incidents, l'état réel de l'infrastructure, et arbitrer entre plusieurs recommandations probabilistes sans toujours comprendre comment elles ont été produites. Il ne fait plus le travail. Il orchestre du travail autonome. Et son cerveau n'a pas été mis à jour pour ça.

Le résultat est prévisible et il est déjà mesurable. Soit l'analyste suit aveuglément la machine, c'est ce que les chercheurs en facteurs humains appellent l'automation bias, un phénomène documenté depuis les années 1990 dans l'aviation mais dont l'ampleur explose avec les agents IA. Soit il se retrouve paralysé par un volume de données qu'aucun esprit humain ne peut hiérarchiser à la vitesse requise. Dans les deux cas, la décision ralentit au moment exact où elle devrait accélérer.

Pourquoi c'est un risque business, pas un problème RH

Je vois encore des directions générales traiter l'épuisement des équipes cyber comme une question de bien-être au travail. C'est une erreur de catégorisation. C'est un risque opérationnel.

Prenez un incident classique de 2026 : un agent IA déployé dans votre SIEM remonte une corrélation suspecte entre un flux DNS anormal et une connexion RDP depuis un poste inhabituel. L'alerte est là, correctement générée, techniquement explicable. Mais l'analyste qui la reçoit vient de valider quatre-vingts recommandations en trois heures. Son modèle mental est saturé. Il la classe en faux positif. Deux semaines plus tard, l'exfiltration est confirmée.

Qui est responsable ? L'outil a fonctionné. L'humain aussi, dans les limites de ce que son cerveau pouvait absorber. Le problème est dans l'interface entre les deux, dans ce que personne n'a mesuré, modélisé ni même anticipé.

Pendant ce temps, les budgets cybersécurité continuent de gonfler du côté de l'outillage. Plus d'agents, plus de couverture, plus de remontées. On paie des technologies de plus en plus puissantes pour déplacer la charge sur des humains qui saturent déjà. Le MTTR, le temps moyen de réponse à un incident, stagne ou augmente dans les organisations qui ont massivement déployé de l'IA défensive sans adapter leurs processus humains. Et les profils seniors, ceux qui ont justement l'expérience pour arbitrer dans le bruit, commencent à partir. Non pas parce que le métier ne les intéresse plus, mais parce que superviser des agents autonomes huit heures par jour n'est pas le métier qu'ils ont choisi.

Ce que j'ai fait, moi

J'ai trouvé une réponse. Elle n'a rien de technologique.

Tous les matins, je me lève à quatre heures. Pas pour travailler. Pour m'asseoir, et ne rien faire d'autre que concentrer mon attention pendant une heure. Cela fait des années que je pratique la méditation de concentration, un entraînement mental structuré qui vise à développer la capacité à maintenir un focus soutenu sur un objet unique, sans se laisser happer par le flux des pensées. Avec ma compagne, nous avons même ouvert un centre dédié à ces pratiques contemplatives à Grande Canarie, là où nous vivons. Ce n'est pas une parenthèse dans ma vie professionnelle. C'est ce qui la rend possible.

Je dis cela sans aucun prosélytisme. Ce qui m'intéresse ici, c'est le mécanisme. La méditation de concentration fait exactement le contraire de ce que l'IA exige du cerveau toute la journée. Là où les agents IA imposent une attention dispersée entre des flux parallèles, la méditation entraîne la capacité à revenir au signal dans le bruit. Là où la supervision d'agents pousse à la réactivité permanente, la méditation construit un espace de recul qui permet de ne pas se perdre dans l'urgence perçue. Ce n'est pas du bien-être. C'est de l'hygiène décisionnelle.

Les athlètes de haut niveau le font depuis longtemps. Les pilotes de chasse passent par des protocoles de préparation mentale avant chaque vol. Les chirurgiens pratiquent des techniques de centrage avant d'opérer. Dans tous ces métiers, la charge cognitive est le facteur limitant, pas la compétence technique. La cybersécurité en 2026 vient d'entrer dans cette catégorie, et elle ne le sait pas encore.

Ce que les entreprises devraient en tirer

Je ne dis pas que chaque RSSI doit se mettre à méditer à l'aube. Je dis que les organisations qui déploient de l'IA défensive sans se poser la question de la capacité cognitive de leurs équipes sont en train de créer un risque qu'elles ne mesurent pas.

Concrètement, cela signifie intégrer l'entraînement cognitif dans les programmes de montée en compétence cyber, au même titre que la formation technique. Cela signifie mesurer la charge mentale comme un indicateur opérationnel, pas comme un sujet de qualité de vie au travail. Cela signifie fixer des limites claires sur le nombre d'agents supervisés simultanément par une personne, comme Willison lui-même a fini par comprendre qu'il ne pouvait pas tenir toute la journée à ce rythme. Cela signifie exiger des éditeurs que les sorties de leurs agents soient formulées en langage de décision business, pas en probabilités techniques que personne n'a le temps de contextualiser. Et cela signifie créer des protocoles de récupération décisionnelle, des plages protégées où l'on ne supervise rien, où l'on reconstruit le modèle mental que la journée a fragmenté.

La vague IA en cybersécurité est une réalité. Les agents autonomes dans les SOC sont là pour rester. La question n'est plus de savoir s'il faut les adopter. La question est de savoir si les organisations vont continuer à investir exclusivement dans la puissance de leurs machines tout en ignorant la seule ressource qui décide vraiment : le cerveau de ceux qui les pilotent.

En 2026, l'IA défensive ne manque pas d'intelligence. Elle manque d'humains entraînés à ne pas se griller le cerveau en l'utilisant.