IA contre cyberdéfense : quand les attaquants évoluent plus vite que les défenseurs

En 2024, un employé du service financier d’une multinationale a autorisé un paiement de 25 millions de dollars après avoir reçu ce qui semblait être un appel vidéo de son PDG. La voix, le visage et le contexte semblaient authentiques, mais ce n'était pas le cas. Il s'agissait d'un « deepfake » : une imitation synthétique générée par l'IA, impossible à distinguer de la réalité. Cet incident n'était pas isolé et illustrait l'accélération d'une tendance plus large : la cybercriminalité basée sur l'IA se développe plus rapidement que ne peuvent réagir les défenses conventionnelles.

L'IA n'est pas simplement un vecteur d'attaque de plus. C'est un multiplicateur de puissance qui réduit les obstacles à l'entrée pour les acteurs malveillants et accroît la sophistication, le volume et le taux de réussite des campagnes malveillantes. En conséquence, les stratégies de sécurité doivent évoluer de manière exponentielle.
 

L'IA générative entre les mains des cybercriminels
Si l'IA recèle un immense potentiel en matière d'innovation et d'efficacité, son adoption par des acteurs malveillants a été tout aussi rapide. Au cours des deux dernières années seulement, IBM X-Force a signalé une augmentation de 1 000 % du volume d’hameçonnage à l’échelle mondiale, cette hausse étant en grande partie attribuée à des contenus générés par l’IA. Les cybercriminels n’ont plus besoin de compétences linguistiques, d’expertise en ingénierie sociale, ni même d’accéder à des kits de développement de logiciels malveillants coûteux. Un seul modèle génératif peut désormais composer en quelques secondes des milliers de messages d’hameçonnage sur mesure, reprenant le jargon interne de l’entreprise.

Dans de nombreux cas, ces messages ne sont pas seulement irréprochables sur le plan linguistique, mais ils font également preuve d’une grande pertinence contextuelle. Ils imitent le ton des cadres supérieurs, font référence à des réunions récentes et s’adressent à des personnes en fonction de leur rôle, de leur région ou de leur niveau d’accès. Résultat : une augmentation spectaculaire des taux de réussite et une baisse significative du nombre de détections par les utilisateurs.  

Mais le phishing n’est qu’un début. Les technologies de clonage vocal sont désormais utilisées pour créer des imitations audio synthétiques de dirigeants. Des vidéos « deepfake » sont diffusées en temps réel pour valider des transactions frauduleuses ou influencer les décisions au sein des conseils d’administration. Des logiciels malveillants générés par l’IA sont écrits, testés et redéployés en quelques minutes, avec des variations de code conçues pour échapper à la détection basée sur les signatures. En bref, la cybercriminalité s’est industrialisée.

Amplification de l’IA
Au cœur de cette transformation se trouve le concept d’« amplification de l’IA » : l’effet cumulatif résultant de l’application de l’intelligence artificielle aux activités liées aux cybermenaces et de l’amplification des risques de sécurité liés à l’IA. Ce qui prenait auparavant des semaines à une équipe d’opérateurs qualifiés peut désormais être orchestré par un seul acteur à l’aide de quelques instructions et d’un modèle prêt à l’emploi. Des tâches telles que l’obfuscation de code, l’analyse des vulnérabilités et le profilage des utilisateurs sont automatisées à un degré jamais vu auparavant.

Ce qui rend l’amplification par l’IA particulièrement dangereuse, c’est sa capacité d’adaptation. Contrairement aux attaques préprogrammées, les menaces générées par l’IA peuvent évoluer au cours de leur exécution, élargissant ainsi encore davantage le champ des risques liés à la sécurité de l’IA. Par exemple, une campagne de hameçonnage basée sur l’IA peut s’améliorer en continu en fonction des schémas d’interaction des utilisateurs. Certains logiciels malveillants adaptent désormais leurs actions en fonction de l’appareil qu’ils infectent, en surveillant l’état du système, les outils de sécurité installés ou le comportement de l’utilisateur pour décider quand et comment s’exécuter. Même les voix synthétiques peuvent modifier leur ton en cours de conversation pour imiter le stress ou l’urgence.

Pourquoi les mesures de sécurité sont à la traîne
Malgré une prise de conscience croissante, de nombreuses entreprises restent mal équipées pour faire face à cette évolution. Il y a quatre raisons à cela :

• Tout d'abord, la plupart des systèmes de détection ne sont pas conçus pour identifier les menaces générées par l'IA. Les outils basés sur les signatures, bien qu'ils restent utiles, ne parviennent pas à détecter les logiciels malveillants polymorphes ni les messages de hameçonnage créés de manière synthétique qui s'écartent des modèles connus. Même les analyses comportementales avancées ont du mal à repérer les « deepfakes » diffusés via des plateformes de collaboration légitimes. 
• D'autre part, les centres d'opérations de sécurité (SOC) sont submergés. Le volume d'alertes, dont beaucoup sont des faux positifs, accapare un temps précieux aux analystes. Lorsque de véritables menaces apparaissent — en particulier celles qui sont nouvelles ou peu fréquentes —, elles passent souvent inaperçues. Et bien que l'IA puisse contribuer à alléger cette charge de travail, seule une minorité de SOC intègre actuellement à grande échelle des analyses basées sur l'IA. 
• Troisièmement, le déficit de compétences ne cesse de s’aggraver. Les organisations sont confrontées à une pénurie persistante de personnel spécialisé en cybersécurité, l’expertise spécifique à l’IA étant particulièrement rare. Selon des données récentes, plus de 50 % des RSSI affirment que leurs équipes ne disposent pas des compétences nécessaires pour identifier ou atténuer les menaces liées à l’IA. De plus, l’arrivée de la nouvelle génération sur le marché du travail va accroître la menace liée aux risques d’origine humaine. Par exemple, parmi les salariés aux États-Unis, seuls 31 % des membres de la génération Z se disent capables de reconnaître les tentatives d’hameçonnage, tandis que 72 % ont admis avoir ouvert au moins un lien suspect au travail — un pourcentage supérieur à celui de toutes les générations plus âgées. 
• Enfin, l’inertie structurelle joue un rôle. Les investissements en matière de sécurité privilégient souvent la conformité réglementaire au détriment de la capacité d’adaptation face aux menaces. Les cadres de sécurité font l’objet d’audits annuels, tandis que les attaquants multiplient leurs tentatives quotidiennement.
  Il en résulte un désavantage stratégique. Alors que les entreprises s’adaptent progressivement, les attaquants évoluent sans cesse.
   

Trois scénarios de menaces auxquels les organisations sont aujourd’hui confrontées
1. Le phishing à grande échelle piloté par l’IA
Dans de nombreux secteurs, les campagnes de phishing sont passées de simples e-mails génériques et rudimentaires à des leurres conçus avec précision. Des modèles d’IA entraînés sur des données internes — issues de violations de données passées, de communiqués de presse et de biographies de dirigeants — élaborent des messages qui contournent à la fois les filtres techniques et le scepticisme humain. Dans de nombreux incidents, les employés n’ont pas agi par négligence, mais simplement parce que les messages étaient trop convaincants.

• Les e-mails reproduisent parfaitement le style et la mise en page de l'entreprise. 
• Les objets des e-mails et leur timing sont adaptés aux événements internes. 
• La personnalisation ne se limite plus aux noms, mais s'étend désormais aux fonctions professionnelles et à l'historique des réunions. 

2. Fraude par « deepfake »
Les attaques par usurpation d’identité utilisant des « deepfakes » sont de plus en plus courantes. Les cibles sont généralement des professionnels de la finance ou des ressources humaines, à qui l’on demande d’agir de toute urgence suite à ce qui semble être une vidéo en direct ou un message vocal provenant d’un dirigeant. La pression psychologique, combinée à des indices visuels ou auditifs, conduit souvent les victimes à se plier à ces demandes. Le succès de ces attaques ne tient pas à une prouesse technologique, mais à la confiance que les utilisateurs accordent à des formats familiers tels que les appels vidéo, les messages vocaux ou les canaux de communication internes.

• Les appels vocaux « deepfake » en temps réel ciblent de plus en plus les applications de messagerie mobile. 
• Les « deepfakes » audio sont utilisés pour contourner les systèmes de vérification vocale. 
• Les pirates associent souvent les « deepfakes » à des e-mails ou à des conversations en ligne pour donner une apparence de légitimité à leurs agissements. 
   

Une menace similaire réside dans l’utilisation de l’IA pour générer des identités numériques entièrement synthétiques, accompagnées de fausses chaînes d’e-mails, de profils LinkedIn et même d’empreintes vocales. Celles-ci sont utilisées pour infiltrer des organisations, accéder à des systèmes à accès restreint ou se forger une crédibilité au fil du temps au sein des écosystèmes de la chaîne d’approvisionnement. Cette menace concerne tout particulièrement les organisations disposant de processus d’intégration décentralisés, de politiques d’accès à distance ou de portails de chaîne d’approvisionnement gérés par des tiers.

• Les cybercriminels créent des « employés fantômes » pour s'inscrire sur les portails des fournisseurs ou demander des droits d'accès. 
• Des identités fictives ont été repérées alors qu'elles mettaient en place des escroqueries B2B par l'intermédiaire d'équipes chargées des achats. 
• Des images et des CV générés par l'IA sont utilisés pour postuler à des postes à distance dans des domaines sensibles. 

3. Malwares génératifs et charges utiles évasives
On observe déjà dans la naturedes malwaresgénérés par l’IA. Ces charges utiles ne sont pas seulement créées rapidement : elles sont conçues pour muter. Certaines peuvent se tester face aux outils de sécurité et adapter leurs signatures en temps réel. D’autres intègrent une logique permettant de détecter si elles s’exécutent dans un bac à sable, retardant ainsi leur exécution jusqu’à ce que les conditions soient « sûres ». Pour les antivirus traditionnels ou les outils EDR, ces menaces représentent un défi de taille.

• L'obfuscation des logiciels malveillants est désormais générée de manière dynamique et actualisée en permanence. 
• Certaines souches utilisent l'IA pour échapper de manière sélective à la détection uniquement dans les environnements surveillés.
• Les outils d'IA malveillants tels que WormGPT facilitent la création de code évasif.

Comment les organisations peuvent-elles faire face aux risques liés à l'IA ?
Pour faire face à des menaces de l'ampleur de celles liées à l'IA, il faut changer radicalement de mentalité. Il ne s'agit plus seulement de contenir les menaces, mais d'agir de manière proactive pour les anticiper. Réfléchissez à ceci :

• Détection moderne des menaces grâce à l’IA intégrée: les plateformes de sécurité qui recourent à l’apprentissage automatique et à l’analyse comportementale sont capables de repérer des anomalies subtiles, telles qu’une connexion d’un cadre supérieur à une heure inhabituelle ou un appareil transférant des volumes de données inattendus. Ces outils ne constituent pas une solution miracle, mais ils constituent une base indispensable pour agir rapidement et à grande échelle. À l’avenir, les agents IA et les humains travailleront en étroite collaboration pour faire face à toute la gamme des attaques à venir. 
• La résilience passe par la sensibilisation: les utilisateurs humains constituent à la fois une vulnérabilité et une force. Les programmes de sensibilisation actualisés doivent désormais inclure des formations sur les médias synthétiques, la détection des deepfakes et l'ingénierie sociale basée sur l'IA. L'objectif n'est pas d'instiller la paranoïa, mais de développer l'esprit critique : faire confiance, mais vérifier, en particulier lorsque la demande émane d'une voix ou d'un visage familier. 
• Le « Zero Trust » par défaut: les cadres « Zero Trust », dont on parle depuis longtemps, sont désormais indispensables. La vérification continue des utilisateurs, des appareils et des flux de données empêche les attaquants de se déplacer latéralement une fois qu’ils ont pénétré dans le périmètre. L’authentification multifactorielle (MFA), l’accès conditionnel et la microsegmentation ne devraient plus être facultatifs. 
• Renseignements intégrés sur les menaces : pour comprendre les méthodes des attaquants, la télémétrie interne ne suffit pas. L’intégration à des flux de renseignements en temps réel sur les menaces — en particulier ceux qui surveillent les outils assistés par l’IA et l’activité sur le dark web — fournit aux défenseurs le contexte nécessaire pour agir avant que les incidents ne s’aggravent. Les cadres de collaboration intersectoriels joueront également un rôle crucial. 
   

On a récemment eu un aperçu de ce à quoi pourrait ressembler l’avenir dans la pratique lorsque le système « Big Sleep » de Google, basé sur l’IA, a empêché l’exploitation d’une vulnérabilité critique de SQLite avant même que les cybercriminels n’aient pu agir. Bien que cette technologie ne soit pas encore accessible au grand public, elle illustre la prochaine étape de l’évolution de la cyberdéfense : des systèmes d’IA capables d’identifier et de neutraliser les menaces de manière autonome, souvent avant même qu’une intervention humaine ne soit possible. De telles avancées laissent entrevoir un avenir où les architectures proactives et autonomes deviendront la norme, faisant passer la cyberdéfense d’une réponse réactive à une anticipation intelligente.

Il est temps de combler le fossé
La course à l'armement en matière de cybersécurité est entrée dans une nouvelle phase. L'intelligence artificielle a fait pencher la balance en faveur des attaquants, ouvrant la voie à une nouvelle ère de risques liés à la sécurité de l'IA, mais cette évolution n'est pas définitive. Les entreprises qui agissent dès maintenant en adoptant des solutions de détection modernes, en sensibilisant davantage leurs collaborateurs et en s'associant à des partenaires stratégiques peuvent reprendre l'initiative.

La marge de manœuvre pour s'adapter est réduite. Mais l'opportunité est évidente.

Chez Getronics, nous collaborons déjà avec des organisations issues des secteurs de la finance, de la santé, de l'industrie et des administrations publiques afin de mettre en place des systèmes de protection adaptés à l'intelligence artificielle. Nous vous invitons à les rejoindre.

Contactez-nous ou téléchargez notre livre blanc destiné aux dirigeants pour découvrir comment votre organisation peut transformer ses faiblesses en atouts.

Répondons à l'automatisation par l'automatisation et réussissons ensemble.