llhedgehogll - stock.adobe.com

Les dirigeants français effrayés par les cyberattaques dopées à l’IA

L’IA se pose comme outil indispensable dans la détection des menaces et l’assistance aux analystes SOC. C’est aussi un outil mis à profit par les attaquants pour créer de nouvelles attaques et accroître leur rapidité d’exécution. Une menace qui préoccupe les dirigeants français.

Une étude de Palo Alto Networks, réalisée par Vitreous World et bouclée en janvier 2025 auprès des cadres dirigeants de plus de 450 entreprises et professionnels de la sécurité en Europe, montre que ceux-ci sont préoccupés par les risques cyber liés aux IA. 66 % des répondants estiment qu’en 2025, les menaces basées sur l’intelligence artificielle sont le plus grand risque cyber. Les dirigeants français en sont convaincus à 74 %. 

Les arnaques au président mettant en œuvre des deep fakes ont été fortement médiatisées. Il y eut, début 2024, le spectaculaire vol de 200 millions de dollars hongkongais à l’encontre d’une société financière lors d’une visioconférence animée par plusieurs complices dont les visages et les voix étaient maquillés par IA. Même Ferrari a été visée par une attaque de ce type en juillet 2024. Ajoutez à cela le discours particulièrement anxiogène des éditeurs sur ce risque et tout cela explique sans doute cette inquiétude.

L’impact de l’IA dans les cyberattaques reste difficile à évaluer

Helmut Reisinger, CEO EMEA de Palo Alto Networks, est affirmatif. Pour lui, l’impact de l’IA dans la multiplication des attaques informatiques est évident : « en septembre 2024, nous avons détecté 2,3 millions d’attaques par jour, en moyenne. Un an plus tôt, en septembre 2023, ce nombre était alors de 1,6 million. C’est une explosion qui vient de l’IA ».

Le responsable estime que l’IA est désormais mise en œuvre tant par les Nations, que les organisations criminelles ou les hacktivistes environnementaux qui s’en sont pris à des projets de gazoducs en Amérique latine. Selon lui, l’IA est notamment mise en œuvre dans les campagnes de déstabilisation menées par la Russie lors des élections en Roumanie, ou encore par l’Iran contre l’Arménie.

Outre les deep fakes utilisés à des fins de manipulation des opinions ou d’escroquerie, beaucoup d’experts considèrent que l’IA et, en particulier, les LLM participent à l’amélioration de la qualité des campagnes de phishing. Certains ont évoqué la hausse du hameçonnage au Japon, grâce à la capacité des IA de générer du japonais…

On évoque aussi l’existence de chatbots entraînés pour extorquer des informations personnelles à un utilisateur… Les experts évoquent également le rôle des IA dans la découverte de vulnérabilités dans les logiciels, et encore pour échapper à la détection par un IDS ou un EDR. Ils craignent notamment la mise en œuvre d’IA de type Adversarial Machine Learning pour déjouer les IA mises en œuvre par les briques de détection.

Une accélération spectaculaire de la rapidité d’action des attaquants

L’équipe de renseignement sur les menaces Unit42 de Palo Alto a en outre constaté une accélération spectaculaire du délai entre la compromission du SI, c’est-à-dire l’accès initial de l’attaquant, et l’exfiltration des données. Ce délai, qui était de 10 jours en 2021, est passé à 2 jours seulement en 2023. Dans 45 % des cas analysés par Palo Alto, l’exfiltration a eu lieu en moins d’une journée… La marge de manœuvre pour les SOC est devenue extrêmement étroite.

Certains mettent sur le compte de l’IA l’efficacité accrue des attaquants, mais c’est plus que discutable, en l’absence de contextualisation au cas par cas, pour prendre en compte les vulnérabilités, les configurations fragiles, ou encore l’industrialisation côté attaquants (comme Cl0p l’a montré) et l’utilisation de ressources cloud, à commencer par des machines virtuelles dans des IaaS ayant pignon sur rue.

Les attaquants ont à leur disposition toute une palette d’outils mettant en œuvre diverses techniques de persistance, ainsi que des solutions de tunneling prêtes à l’emploi. Ils ont la capacité de déployer sur AWS, ou un autre fournisseur cloud, une infrastructure ad hoc pour mener à bien leur attaque. Cette approche « industrielle » suppose de disposer d’une plateforme bien packagée et immédiatement opérationnelle. L’IA joue peut-être un rôle dans certaines attaques, mais son impact reste encore difficile à évaluer sur le flot d’attaques auquel font face les entreprises. 

L’approche plateforme doit encore convaincre

Face à ce risque avéré et/ou futur de l’IA, 46 % des décideurs français interrogés considèrent que la complexité technique et le manque d’interopérabilité des solutions de cybersécurité restent le premier défi à relever. La réponse de Palo Alto Networks, commanditaire de cette étude et grand promoteur de l’approche plateforme, consiste à dire qu’il faut rationaliser les systèmes de sécurité pour faire face à cette menace. Néanmoins, 93 % des répondants français ont confiance dans la sécurité des applications d’IA utilisées dans leur entreprise et 79 % d’entre eux estiment déjà exploiter au maximum cette technologie…

Selon les résultats de l’étude, toutefois, la fragmentation des briques de cybersécurité entraînerait des dépenses d’achat en augmentation pour 46 % des répondants, des coûts de formation en hausse pour 44 % et une charge de travail accrue pour les analystes (45 % d’entre eux).

Mais l’approche plateforme prônée par l’éditeur est loin de faire l’unanimité. Poids de l’existant, mais aussi volonté de ne pas confier l’intégralité de sa sécurité à un seul éditeur, seuls 40 % des décideurs ont pour l’instant consolidé leurs systèmes cyber sur une plateforme unique… L’IA pourrait bien les pousser à le faire un jour, tant ce modèle, avec la centralisation des données en un seul point, se prête bien à la mise en œuvre de modèles IA. Et encore, des exemples comme celui de Nomios avec l’IA générative de Qevlar laissent largement ouverte la porte à des approches intégrées, mais sans consolidation sur un même et unique fournisseur.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)