Pour Omer Shala, CAIO de Squad Group, le Chief AI Officer n’est plus un titre honorifique mais une nécessité opérationnelle pour gouverner l’IA.

Alors que l’intelligence artificielle s’intègre massivement dans les architectures de cybersécurité, le débat sur son usage n’est plus théorique. Pour les intégrateurs comme Squad Group, qui déploient des solutions de pointe (CrowdStrike, Palo Alto Networks, Zscaler) au sein de grandes organisations, les implications de l’IA sont concrètes et quotidiennes. C’est dans ce contexte qu’Omer Shala, Chief AI Officer (CAIO) de l’entreprise, analyse la mutation profonde de la cybersécurité et la redéfinition du rôle de ses experts.

L’IA change le rythme, pas la nature des attaques

Selon l’expert, l’IA ne crée pas de nouvelles menaces, mais elle accélère leur cadence de manière exponentielle. « En 2018, le délai moyen entre la divulgation d’une vulnérabilité et son exploitation était de 2,3 ans. En 2025, il était de 23 jours. En 2026, il est de 20 heures », détaille-t-il. Cet effondrement de la fenêtre de réaction humaine rend obsolètes les modèles de défense purement heuristiques, qui se contentent de reconnaître des menaces déjà identifiées.

La récente fuite d’informations sur le modèle Claude Mythos d’Anthropic, qui a fait chuter la capitalisation boursière de plusieurs acteurs de la sécurité de 14,5 milliards de dollars, illustre cette prise de conscience du marché. Les investisseurs anticipent que les solutions de détection classiques peineront face à des IA offensives capables de trouver, d’exploiter et de corriger des failles de manière autonome. Pour Omer Shala, ce mouvement boursier ne signe pas la fin des éditeurs historiques, mais il confirme que le paradigme a changé.

Un rôle stratégique, pas un évangéliste

Dans ce nouveau contexte, le poste de Chief AI Officer devient une nécessité opérationnelle. Cependant, de nombreuses organisations commettent une erreur d’interprétation. « On ne nomme pas un directeur de l’informatique pour montrer qu’on utilise des ordinateurs », ironise Omer Shala. Le CAIO ne doit être ni un « évangéliste interne chargé d’expliquer le machine learning à des comités », ni un simple chef de projet déployant des copilotes.

La véritable mission du CAIO est de répondre à une question fondamentale : « Comment rester décisionnaire quand les systèmes agissent à une vitesse que l’humain ne peut pas superviser en temps réel ? ». Cette interrogation déplace le sujet de l’usage des outils vers la gouvernance des décisions autonomes et la chaîne de responsabilité.

Trois obligations fondamentales

Omer Shala définit trois missions impératives pour un CAIO efficace. La première est de cartographier ce que les systèmes IA sont autorisés à décider seuls. Il s’agit d’établir une politique de délégation claire : dans quelles conditions un agent peut-il isoler un poste de travail compromis sans validation humaine ? Qui est notifié et quand ? « Ces questions n’ont pas de réponse technique. Elles ont des réponses de gouvernance, et elles doivent être tranchées avant le déploiement », insiste-t-il.

La deuxième obligation est de définir une doctrine pour les modèles spécialisés. Face à la multiplication des modèles comme GPT-5.4-Cyber d’OpenAI ou Claude Mythos d’Anthropic, le choix ne peut être purement technique. Il devient une question de doctrine souveraine, notamment en l’absence de documentation sur leur conformité à l’AI Act européen ou de garanties contre leur détournement à des fins offensives. Le CAIO doit arbitrer comment ces différentes briques technologiques coexistent et agissent.

Enfin, la troisième mission est de construire une architecture de responsabilité. « Quand un agent IA autonome prend une mauvaise décision de sécurité, qui répond ? Pas devant un audit interne mais devant le régulateur, devant le client, devant un tribunal si nécessaire ? », interroge l’expert. Aujourd’hui, aucun poste (DSI, RSSI, CDO) ne couvre explicitement la gouvernance des actions autonomes. Le CAIO a pour mandat de structurer cette responsabilité, anticipant ainsi les contraintes réglementaires comme l’AI Act ou la directive NIS 2.

Un enjeu pour les investisseurs et la France

Cette nouvelle approche a des conséquences directes pour les investisseurs. La gouvernance de l’IA n’est plus une simple case à cocher, mais un facteur de risque opérationnel majeur. Une organisation dotée d’un CAIO au mandat clair réduit son exposition aux incidents, aux sanctions et à la perte de confiance.

Pour la France, l’un des pays les plus ciblés par les cyberattaques, l’enjeu est crucial. Omer Shala conclut en soulignant la responsabilité des acteurs privés français : il ne s’agit plus d’empiler les outils, mais d’aider les clients à structurer la gouvernance qui leur donne du sens. « C’est précisément ce que le titre de Chief AI Officer devrait signaler au marché : Squad n’utilise pas l’IA. Squad la gouverne. Pour ses propres besoins et ceux de ses clients », affirme-t-il.

via Press Agence.