IA agentique, ransomware-as-a-service et supply chain : regards croisés des experts de Splunk

L’IA dans les mains des attaquants : « une nouvelle brique pour les malwares »

Ryan Fetterman, chercheur sécurité au sein de l’équipe Surge, n’a pas pour habitude de céder à la panique. Mais depuis l’été 2025, son discours s’est durci : « nous avons vu le premier malware compatible AI, le premier ransomware compatible AI, et même quelque chose appelé packing, qui place un agent IA au cœur d’un workflow d’attaque ».

Il cite l’exemple documenté par le CERT ukrainien en juillet : « le malware attribué à APT28 ne contenait aucune instruction statique. Il envoyait des prompts à un modèle hébergé, qui générait en temps réel les commandes adaptées à la machine ciblée ». Cette adaptabilité ouvre un nouveau front. Là où les maliciels classiques se contiennent de routines prédéfinies, la génération de scripts ad hoc permet une adaptation quasi illimitée : « c’est une capacité dynamique qui n’existait pas auparavant. Les attaquants peuvent ajuster leur code au milieu d’une attaque ».

L’économie souterraine : « plus résiliente que beaucoup d’organisations »

Pour Mick Baccio, ancien CISO de la campagne présidentielle de Pete Buttigieg et aujourd’hui conseiller global en sécurité chez Splunk, le problème n’est pas seulement technique. Il est structurel : « c’est aussi mauvais que l’an dernier, et légèrement plus compatible AI pour empirer les choses ».

Il déroule une démonstration inquiétante : « l’écosystème des ransomwares est devenu une industrie complète. Il y a des investisseurs, des franchisés, des prestataires de support. Quand vous arrêtez un opérateur, vous ne coupez qu’une seule bande d’un ruban. Tout le reste continue de tourner ». Quant aux pirates, « ils sont aussi résilients, sinon plus résilients que beaucoup d’organisations aujourd’hui. Quand un service tombe, un autre prend le relais ».

Et l’IA vient renforcer cette professionnalisation. Mick Baccio cite les deepfakes vocaux utilisés pour réinitialiser des mots de passe, ou la génération automatisée de faux profils par des groupes étatiques.

Ryan Fetterman insiste sur un point peu consensuel : la mesure du retour sur investissement (ROI) en cybersécurité. Car « les attaquants savent exactement combien ils dépensent, combien ils gagnent, et ce qu’ils optimisent. Pourquoi ne serions-nous pas capables de faire la même chose ? »

Il plaide pour des indicateurs qualitatifs, au-delà du temps de détection ou du volume de tickets fermés : « l’IA peut nous aider à évaluer la qualité d’une enquête, la pertinence des corrélations, la cohérence des réponses. C’est un changement de paradigme ».

« les achats ne peuvent plus ignorer la cybersécurité »

Lauren Wilson, CTO terrain pour le Royaume-Uni et l’Irlande, apporte une perspective réglementaire et opérationnelle. Ancienne du National Cyber Security Center (NCSC) britannique, elle a géré des incidents majeurs avant de rejoindre Splunk : « nous demandons désormais aux entreprises d’être responsables non seulement de leur maturité, mais aussi de leurs chaînes logistiques. C’est une rupture : les achats ne peuvent plus ignorer la cybersécurité ».

« Au Royaume-Uni, M&S et Harrods ont été frappés par des attaques similaires. La différence ? Une simple segmentation réseau. Résultat : des impacts financiers radicalement différents ». Pour elle, la réglementation (NIS2, DORA, Cyber Resilience Act) oblige les directions générales à briser les silos : « la cybersécurité n’est plus une affaire de RSSI. Elle doit devenir une culture d’entreprise ».

Vers un affrontement IA contre IA ?

Tous s’accordent sur une perspective : la bataille ne se joue plus entre humains et machines, mais entre IA adverses. Ryan Fetterman le résume : « défenseurs et attaquants sont sur la même courbe d’adoption. L’IA est un accélérateur des deux côtés ».

Mick Baccio complète : « on a beaucoup plus de souris sur le terrain que de chats pour les attraper. Mais les outils défensifs rattrapent leur retard ». Lauren Wilson conclut avec un avertissement aux directions générales : « les attaques frappent désormais le cœur de l’activité – des rayons vides chez des distributeurs, des services publics interrompus. La cybersécurité doit sortir des silos pour irriguer toute l’organisation ».