Quand les attaques évolutives prennent de vitesse les anciennes défenses : pourquoi il est temps d’adopter une sécurité proactive en matière d’IA

Si vous travaillez dans le domaine de la sécurité informatique, vous avez probablement l'impression d'être constamment à la traîne. Il y a toujours une nouvelle faille de sécurité, une nouvelle attaque de ransomware et une nouvelle technique ingénieuse que les équipes de sécurité n'ont pas vue venir. Parallèlement, de nombreuses solutions de protection reposent encore sur des concepts issus d'un internet plus ancien, où les réseaux avaient des frontières bien définies et où les attaquants agissaient plus lentement.

Les chiffres le prouvent : il ne s'agit pas d'un simple sentiment. Les derniers chiffres sont les suivants : Rapport IBM sur le coût d'une violation de données Les estimations prévoient une augmentation moyenne mondiale des pertes liées aux violations de données de 4.88 millions de dollars en 2024, contre 4.45 millions de dollars l'année précédente. Cette hausse de 10 % représente la plus forte augmentation enregistrée depuis le début de la pandémie, et ce malgré l'accroissement des investissements des équipes de sécurité dans les outils et le personnel.

L'espace Rapport d'enquête sur les violations de données de Verizon L'étude de 2024 analyse plus de 30 000 incidents et plus de 10 000 violations de données confirmées. Elle met en lumière la manière dont les attaquants exploitent les identifiants volés, les failles de sécurité des applications web et les techniques d'usurpation d'identité, comme le prétexte. Elle constate également que les organisations mettent en moyenne 55 jours pour corriger seulement la moitié de leurs vulnérabilités critiques après la publication des correctifs. Ces 55 jours représentent une marge de manœuvre confortable pour un attaquant effectuant une analyse continue.

En Europe, le Paysage des menaces de l'ENISA Le rapport de 2023 fait également état d'une forte combinaison de rançongiciels, d'attaques par déni de service, d'attaques contre la chaîne d'approvisionnement et d'ingénierie sociale. Une autre étude de l'ENISA, portant sur les incidents liés à la chaîne d'approvisionnement, estime qu'il y a probablement eu quatre fois plus d'attaques de ce type en 2021 qu'en 2020, et que cette tendance à la hausse s'est poursuivie. 

Le constat est simple, mais préoccupant. Les violations de données sont de plus en plus fréquentes, coûteuses et complexes, malgré l'amélioration des outils. Il y a un problème structurel dans la manière dont de nombreuses organisations se défendent.

Pourquoi le modèle de sécurité classique est-il dépassé ?

Pendant longtemps, la représentation mentale de la cyberdéfense était simple. On distinguait clairement l'intérieur et l'extérieur. On construisait un périmètre robuste avec des pare-feu et des filtres. On déployait des antivirus sur les terminaux et on recherchait les signatures malveillantes connues. On paramétrait les règles, on surveillait les alertes et on réagissait lorsqu'un problème évident survenait.

Ce modèle présente trois problèmes majeurs dans le monde actuel.

Premièrement, le périmètre de sécurité traditionnel a quasiment disparu. Les utilisateurs travaillent de partout, sur une variété d'appareils gérés et non gérés. Les données sont hébergées sur des plateformes de cloud public et des logiciels en tant que service (SaaS). Les partenaires et les fournisseurs se connectent directement aux systèmes internes. Des études comme celle de l'ENISA sur la chaîne d'approvisionnement montrent que les intrusions commencent désormais plus souvent par le biais d'un partenaire de confiance ou d'une mise à jour logicielle, plutôt que par une attaque frontale directe sur un serveur central.

Deuxièmement, se concentrer sur les signatures connues présente un angle mort important. Les attaquants modernes combinent des logiciels malveillants personnalisés avec ce que les défenseurs appellent l'exploitation du système existant. Ils s'appuient sur des outils de script intégrés, des agents de gestion à distance et des actions administratives courantes. Prise individuellement, chaque étape peut sembler inoffensive. Une approche simpliste basée sur les signatures ne permet pas de déceler la tendance générale, surtout lorsque les attaquants modifient de petits détails à chaque campagne.

Troisièmement, les humains sont surchargés. Le rapport Verizon montre que l'exploitation des vulnérabilités est devenue une voie d'accès majeure aux réseaux et que de nombreuses organisations peinent à appliquer les correctifs suffisamment rapidement. Les recherches d'IBM ajoutent que les longs délais de détection et de confinement sont une des principales raisons de l'augmentation constante des coûts liés aux violations de données. Les analystes croulent sous les alertes, les journaux et le tri manuel, tandis que les attaquants automatisent autant que possible leurs actions.

On se retrouve donc avec des attaquants plus rapides et mieux automatisés, et des défenseurs qui s'appuient encore fortement sur l'investigation manuelle et les méthodes traditionnelles. C'est dans ce contexte que l'intelligence artificielle intervient.

Les attaquants considèrent déjà l'IA comme un coéquipier

Quand on parle d'IA en sécurité, on imagine souvent des outils défensifs permettant de démasquer les cybercriminels. En réalité, ces derniers sont tout aussi désireux d'utiliser l'IA pour se faciliter la tâche.

L'espace Rapport de défense numérique Microsoft L'ouvrage 2025 décrit comment des groupes soutenus par des États utilisent l'IA pour créer des médias synthétiques, automatiser certaines parties des campagnes d'intrusion et intensifier leurs opérations d'influence. Résumé de l'Associated Press sur les renseignements concernant les menaces de Microsoft Selon les rapports, entre mi-2024 et mi-2025, les incidents impliquant du contenu falsifié généré par l'IA ont dépassé les 200, soit plus du double de l'année précédente et environ 10 fois le nombre observé en 2023.

Concrètement, cela se traduit par des messages d'hameçonnage rédigés comme par un locuteur natif, dans n'importe quelle langue. Cela ressemble à des fichiers audio et vidéo truqués (deepfakes) permettant aux attaquants de se faire passer pour des dirigeants ou des partenaires de confiance. On a l'impression que des systèmes d'IA analysent d'énormes volumes de données volées pour en extraire les informations les plus précieuses concernant votre environnement, vos employés et vos partenaires.

Une Article du Financial Times sur l'IA agentive dans les cyberattaques On y décrit même une opération d'espionnage largement autonome où un agent de programmation IA a géré la plupart des étapes, de la reconnaissance à l'exfiltration de données, avec une intervention humaine limitée. Quel que soit votre avis sur ce cas précis, la tendance est claire : les attaquants sont tout à fait disposés à laisser l'IA se charger des tâches fastidieuses.

Si les attaquants utilisent l'IA pour se déplacer plus rapidement, se fondre dans le décor et atteindre davantage de cibles, les défenseurs ne peuvent plus se contenter des outils de périmètre traditionnels et du tri manuel des alertes. Il est impératif d'intégrer des renseignements similaires à votre système de défense, sous peine de voir l'écart se creuser.

De la défense réactive à la réflexion proactive en matière de sécurité

Le premier véritable changement n'est pas technique ; il est mental.

Une approche réactive repose sur le principe d'attendre les signes manifestes de problème avant d'intervenir. Un nouveau programme est détecté. Une alerte est déclenchée car le trafic correspond à un schéma connu. Un compte présente des signes flagrants de compromission. L'équipe se mobilise, enquête, nettoie le système et, le cas échéant, met à jour une règle pour empêcher que ce schéma ne se reproduise.

Dans un monde où les attaques sont lentes et rares, cela pourrait convenir. Dans un monde où les sondages sont constants, l'exploitation des failles rapide et les campagnes menées par l'IA, il est trop tard. Le temps qu'une simple règle se déclenche, les attaquants ont souvent déjà exploré votre réseau, accédé à des données sensibles et préparé des plans de repli.

Une approche proactive part d'un constat différent. Elle part du principe que vous êtes constamment confronté à un trafic hostile. Elle part du principe que certains contrôles peuvent être défaillants. Elle s'intéresse à la rapidité avec laquelle vous repérez les comportements inhabituels, à la rapidité avec laquelle vous pouvez les contenir et à la constance avec laquelle vous en tirez des enseignements. Dans ce contexte, les questions essentielles deviennent très concrètes.

• Disposez-vous d'une visibilité continue sur vos systèmes clés, vos identités et vos bases de données ?

• Pouvez-vous remarquer de petites déviations par rapport au comportement normal, et pas seulement des signatures anormales connues ?

• Pouvez-vous traduire cette idée en actions rapides et reproductibles sans épuiser votre équipe ?

L'IA n'est pas la solution en soi, mais c'est un outil puissant pour répondre à ces questions à l'échelle qu'exigent les environnements modernes.

À quoi ressemble une posture de cybersécurité pilotée par l'IA

L'IA vous aide à passer d'une vision binaire des menaces à une analyse comportementale plus fine. Côté détection, les modèles peuvent observer l'activité des identités, la télémétrie des terminaux et les flux réseau, et apprendre ce qui est normal dans votre environnement. Au lieu de se contenter de bloquer un fichier malveillant connu, ils peuvent alerter lorsqu'un compte se connecte depuis un lieu et à une heure inhabituels, se connecte à un système jamais utilisé auparavant, puis commence à transférer d'importants volumes de données. Chaque événement pris individuellement peut facilement passer inaperçu. Leur combinaison révèle un schéma intéressant.

Du côté de l'exposition, les outils basés sur l'IA peuvent cartographier votre surface d'attaque réelle. Ils peuvent analyser les comptes de cloud public, les services exposés sur Internet et les réseaux internes afin de détecter les systèmes de test oubliés, le stockage mal configuré et les panneaux d'administration vulnérables. Ils peuvent ensuite regrouper ces découvertes en scénarios de risques concrets plutôt qu'en simples listes. Ceci est particulièrement important face à la prolifération de l'IA parallèle au sein des organisations, où les équipes développent leurs propres modèles et outils sans supervision centrale, une tendance qu'IBM souligne dans son rapport le plus récent. Coût d'une violation de données travailler dans un secteur à risque important. 

Du côté de la réponse, l'IA peut vous aider à agir plus rapidement et de manière plus cohérente. Certains centres d'opérations de sécurité utilisent déjà des systèmes basés sur l'IA pour recommander des mesures de confinement en temps réel et pour synthétiser les longs calendriers d'enquête à destination des analystes humains. L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) décrit plusieurs de ces utilisations dans son rapport. ressources en intelligence artificielle, démontrant comment l'IA peut aider à détecter les activités réseau inhabituelles et à analyser de grands flux de données sur les menaces à travers les systèmes fédéraux.

Rien de tout cela ne dispense du jugement humain. Au contraire, l'IA démultiplie les efforts. Elle prend en charge la surveillance constante, la détection des tendances et une partie du tri initial, permettant ainsi aux équipes de défense humaines de consacrer plus de temps à des investigations approfondies et à des questions de conception complexes, telles que la stratégie d'identité et la segmentation.

Comment commencer à avancer dans cette direction

Si vous êtes responsable de la sécurité, tout cela peut paraître complexe et abstrait. La bonne nouvelle, c'est que le passage d'une approche réactive à une approche proactive commence généralement par quelques étapes concrètes plutôt que par une transformation radicale.

La première étape consiste à structurer vos flux de données. L'IA n'est utile que si les signaux qu'elle reçoit sont pertinents. Si votre fournisseur d'identité, vos outils de sécurité des terminaux, vos systèmes de contrôle réseau et vos plateformes cloud envoient tous les journaux dans des silos distincts, chaque modèle présentera des angles morts et les attaquants des failles de sécurité. Investir dans une vue centralisée de vos données télémétriques les plus importantes est rarement une tâche passionnante, mais c'est le fondement même d'une assistance efficace de l'IA.

La deuxième étape consiste à choisir des cas d'usage spécifiques plutôt que d'intégrer l'IA à tous les niveaux. De nombreuses équipes commencent par l'analyse comportementale des comptes utilisateurs, la détection d'anomalies dans les environnements cloud ou une détection plus intelligente des e-mails et du phishing. L'objectif est de cibler les domaines où les risques sont déjà identifiés et où la reconnaissance de formes dans de vastes ensembles de données peut clairement apporter une aide précieuse.

La troisième étape consiste à associer chaque nouvel outil d'IA à un ensemble explicite de garde-fous. Cela inclut de définir ce que le modèle est autorisé à faire de manière autonome, ce qui nécessite systématiquement une intervention humaine et comment vous mesurerez l'intégrité et l'utilité du système dans le temps. Ici, la réflexion sous-jacente est la suivante : Cadre d'IA du NIST et les conseils d'organismes comme la CISA peuvent vous éviter de tout réinventer vous-même.

Pourquoi la sécurité proactive de l'IA ne peut pas attendre

Les cyberattaques tendent à devenir une menace constante plutôt qu'une urgence ponctuelle, et les attaquants n'hésitent pas à laisser l'intelligence artificielle prendre en charge une grande partie du travail. Le coût augmente, les points d'entrée se multiplient et les outils des attaquants deviennent chaque année plus performants. Un modèle réactif, qui attend des alertes retentissantes avant de réagir, est tout simplement inadapté à cette réalité.

Adopter une approche proactive axée sur l'IA, c'est moins suivre une tendance éphémère que se consacrer au travail de fond, certes peu glamour, d'organisation des données, d'intégration d'analyses comportementales et de mise en place de garde-fous clairs autour des nouveaux systèmes d'IA afin qu'ils renforcent les défenses au lieu de les surprendre. L'écart entre attaquants et défenseurs est bien réel, mais il n'est pas figé, et les choix que vous faites aujourd'hui concernant l'utilisation de l'IA dans votre architecture de sécurité détermineront qui progressera le plus rapidement dans les prochaines années.