IA contre cyberdéfense : Quand les attaquants se développent plus vite que les défenseurs 

L'émergence de l'IA générative a non seulement transformé la création de contenu, le développement de logiciels et l'engagement des clients, mais a également modifié de manière irréversible la dynamique des risques de sécurité liés à l'IA. Dans les salles de conférence à travers l'Europe et au-delà, les leaders de la sécurité et de la technologie posent une question simple mais urgente : Avons-nous encore le contrôle ? La réponse est de plus en plus souvent négative.

En 2024, un employé du service financier d'une multinationale autorise un paiement de 25 millions de dollars après avoir reçu ce qui semble être un appel vidéo de son PDG. La voix, le visage et le contexte semblaient authentiques, mais ce n'était pas le cas. Il s'agissait d'un deepfake, une usurpation d'identité synthétique générée par l'IA, impossible à distinguer de la réalité. Cet incident n'était pas isolé et représentait l'accélération d'une tendance plus large : La cybercriminalité basée sur l'IA se développe plus rapidement que les défenses conventionnelles ne peuvent y répondre. 

L'IA n'est pas un simple vecteur d'attaque. C'est un multiplicateur de force, qui abaisse la barrière à l'entrée pour les acteurs de la menace et augmente la sophistication, le volume et le taux de réussite des campagnes malveillantes. En réponse, les stratégies de sécurité doivent évoluer de manière exponentielle. 

L'IA générative entre les mains des attaquants 

Si l'IA recèle un énorme potentiel d'innovation et d'efficacité, son adoption par les acteurs malveillants a été tout aussi rapide. Au cours des deux dernières années seulement, IBM X-Force a signalé une augmentation de 1000 % des volumes d'hameçonnage au niveau mondial, une grande partie de cette croissance étant attribuée au contenu généré par l'IA. Les attaquants n'ont plus besoin de compétences linguistiques, d'expertise en ingénierie sociale, ni même d'avoir accès à des kits de développement de logiciels malveillants coûteux. Un seul modèle génératif peut désormais composer en quelques secondes des milliers de messages de phishing sur mesure, avec le langage interne de l'entreprise. 

Dans de nombreux cas, ces messages ne sont pas seulement parfaits sur le plan linguistique, ils sont également intelligents sur le plan contextuel. Ils imitent le ton des cadres supérieurs, font référence à des réunions récentes et ciblent des personnes en fonction de leur rôle, de leur région ou de leur niveau d'accès. Résultat : une augmentation spectaculaire des taux de réussite et une baisse significative de la détection des utilisateurs.  

Mais l'hameçonnage n'est qu'un début. Les technologies de clonage vocal sont désormais utilisées pour créer des imitations audio synthétiques de dirigeants. De fausses vidéos sont déployées en temps réel pour valider des transactions frauduleuses ou influencer des décisions prises au niveau du conseil d'administration. Les logiciels malveillants générés par l'IA sont écrits, testés et redéployés en quelques minutes, avec des variations de code conçues pour échapper à la détection basée sur les signatures. En bref, la cybercriminalité s'est industrialisée. 

Amplification de l'IA 

Au cœur de cette transformation se trouve le concept d'"amplification de l'IA" - l'effet composé de l'application de l'intelligence artificielle aux activités de cybermenaces et l'amplification des risques de sécurité liés à l'IA. Ce qu'il fallait auparavant des semaines à une équipe d'opérateurs qualifiés pour préparer peut désormais être orchestré par un seul acteur à l'aide de quelques prompts et d'un modèle prêt à l'emploi. Des tâches telles que "l'obfuscation" (ou brouillage) du code, l'analyse des vulnérabilités et le profilage des utilisateurs sont automatisées à un degré jamais atteint auparavant.

Ce qui rend l'amplification de l'IA particulièrement dangereuse, c'est son adaptabilité. Contrairement aux attaques scénarisées, les menaces générées par l'IA peuvent évoluer au cours de leur exécution, ce qui élargit encore le paysage des risques de sécurité liés à l'IA. Par exemple, une campagne de phishing basée sur l'IA peut s'améliorer continuellement en fonction des modèles d'interaction des utilisateurs. Certains logiciels malveillants adaptent désormais leurs actions en fonction de l'appareil qu'ils infectent, en surveillant les conditions du système, les outils de sécurité installés ou le comportement de l'utilisateur pour décider quand et comment s'exécuter. Même les fausses voix peuvent changer de ton au milieu d'une conversation pour imiter le stress ou l'urgence.

Pourquoi les défenses sont-elles à la traîne ? 

Malgré une prise de conscience croissante, de nombreuses entreprises restent mal équipées pour contrer ce changement. Il y a quatre raisons à cela : 

• Tout d'abord, la plupart des systèmes de détection ne sont pas conçus pour identifier les menaces générées par l'IA. Les outils basés sur les signatures, bien qu'utiles, ne parviennent pas à repérer les logiciels malveillants polymorphes ou les messages d'hameçonnage créés synthétiquement qui s'écartent des modèles connus. Même les analyses comportementales avancées peinent à repérer les "deepfakes" diffusés par le biais de plateformes de collaboration légitimes. 

• Deuxièmement, les centres d'opérations de sécurité (SOC) sont débordés. Le volume d'alertes, dont beaucoup sont des faux positifs, fait perdre un temps précieux aux analystes. Lorsque de véritables menaces émergent, en particulier des menaces nouvelles ou peu fréquentes, elles sont souvent ignorées. Et si l'IA peut contribuer à réduire cette charge, seule une minorité de SOC intègrent actuellement l'analyse pilotée par l'IA à grande échelle. 

• Troisièmement, la pénurie de talents s'aggrave. Les organisations sont confrontées à des pénuries persistantes de personnel de cybersécurité, l'expertise spécifique à l'IA étant particulièrement rare. Selon des données récentes, plus de 50 % des RSSI affirment que leurs équipes n'ont pas les compétences nécessaires pour identifier ou atténuer les menaces liées à l'IA. En outre, l'intégration des nouvelles générations dans la main-d'œuvre va accroître la menace des risques d'origine humaine. Par exemple, parmi les employés aux États-Unis, seuls 31 % des membres de la génération Z ont déclaré se sentir capables de reconnaître les tentatives d'hameçonnage, tandis que 72 % ont admis avoir ouvert au moins un lien au travail qui semblait suspect - plus que n'importe quelle génération plus ancienne. 

• Enfin, l'inertie structurelle est un facteur. Les investissements en matière de sécurité donnent souvent la priorité à la conformité réglementaire plutôt qu'à l'adaptabilité aux menaces. Les frameworks sont audités chaque année, alors que les attaquants itèrent quotidiennement. 

Il en résulte un désavantage stratégique. Alors que les entreprises s'adaptent progressivement, les attaquants évoluent continuellement. 

Trois scénarios de menace auxquels les organisations sont aujourd'hui confrontées 

1. L'hameçonnage piloté par l'IA à grande échelle 

Dans de nombreux secteurs, les campagnes d'hameçonnage sont passées de courriels génériques et grossiers à des leurres élaborés avec précision. Des modèles d'intelligence artificielle formés à partir de données internes (violations antérieures, communiqués de presse et biographies de dirigeants) élaborent des messages qui contournent à la fois les filtres techniques et le scepticisme humain. Dans de nombreux cas, les employés n'ont pas agi par négligence, mais parce que les messages étaient tout simplement trop convaincants. 

• Les courriers électroniques imitent parfaitement le langage et le formatage de l'entreprise. 

• Les lignes d'objet et le calendrier sont adaptés aux événements internes. 

• La personnalisation ne se limite plus aux noms, mais s'étend aux fonctions et à l'historique des rencontres. 

2. Fraude basée sur la technique Deepfake 

Les attaques par usurpation d'identité à l'aide de "deepfakes" sont de plus en plus fréquentes. Les cibles sont généralement des professionnels de la finance ou des ressources humaines, à qui l'on demande d'agir de toute urgence sur ce qui semble être une vidéo en direct ou un message vocal d'un dirigeant. La pression psychologique, combinée à des indices visuels ou auditifs, conduit souvent à la conformité. Le succès de ces attaques n'est pas dû à la brillance technologique, mais à la confiance que les utilisateurs accordent à des formats familiers tels que les appels vidéo, les notes vocales ou les canaux internes. 

• Les faux appels vocaux en temps réel ciblent de plus en plus les applications de messagerie mobile. 
• Les deepfakes audio sont utilisés pour contourner les systèmes de vérification de la voix. 
• Les attaquants associent souvent les deepfakes à un contexte d'e-mail ou de chat pour renforcer la légitimité. 

Une menace similaire concerne l'utilisation de l'IA pour générer des personnalités numériques entièrement synthétiques, avec de faux courriels, de faux profils LinkedIn et même des empreintes vocales. Ceux-ci sont utilisés pour infiltrer les organisations, accéder à des systèmes restreints ou construire une crédibilité au fil du temps dans les écosystèmes de la chaîne d'approvisionnement. Cette menace est particulièrement pertinente pour les organisations ayant des politiques d'intégration distribuées, d'accès à distance ou des portails de chaîne d'approvisionnement tiers. 

• Les acteurs de la menace créent des "employés fantômes" pour s'inscrire sur les portails des fournisseurs ou demander un accès. 
• Des identités synthétiques ont été repérées comme étant à l'origine d'escroqueries interentreprises par l'intermédiaire d'équipes chargées des achats. 
• Des images et des CV générés par l'IA sont utilisés pour postuler à des postes à distance dans des fonctions sensibles. 

3. Les logiciels malveillants génératifs et les charges utiles évasives 

Des logiciels malveillants générés par l'IA sont déjà observés dans la nature. Ces charges utiles ne sont pas seulement créées rapidement, elles sont conçues pour muter. Certains peuvent se tester eux-mêmes contre des outils de sécurité et adapter leurs signatures en temps réel. D'autres intègrent une logique permettant de détecter s'ils s'exécutent dans un bac à sable, retardant l'exécution jusqu'à ce que les conditions soient "sûres". Pour les outils antivirus ou EDR traditionnels, ces menaces représentent un défi de taille. 

• L'obscurcissement des logiciels malveillants est désormais généré de manière dynamique et constamment actualisé. 
• Certaines souches utilisent l'intelligence artificielle pour éviter sélectivement d'être détectées uniquement dans des environnements surveillés.
• Les outils d'IA offensifs tels que WormGPT réduisent les obstacles à l'écriture de codes évasifs. 

Comment les organisations peuvent répondre aux risques de sécurité liés à l'IA 

Pour faire face à de tels problèmes à l'échelle de l'IA, il faut changer totalement d'état d'esprit. Il ne s'agit plus seulement de contenir les menaces, mais d'agir de manière proactive pour les anticiper. Pensez-y : 

• Détection des menaces modernes avec IA intégrée : les plateformes de sécurité qui utilisent l'apprentissage automatique et l'analyse comportementale peuvent repérer des anomalies subtiles, telles qu'un cadre se connectant à une heure inhabituelle ou un appareil téléchargeant des volumes de données inattendus. Ces outils ne sont pas des solutions miracles, mais ils constituent une base nécessaire pour fonctionner à grande vitesse et à grande échelle. À l'avenir, les agents de l'IA et les humains travailleront en étroite collaboration pour soutenir l'éventail des attaques futures. 

• La résilience par la prise de conscience : Les utilisateurs humains restent à la fois une vulnérabilité et une force. Les programmes de sensibilisation actualisés doivent désormais inclure une formation sur les médias synthétiques, la détection des fausses informations (deepfake) et l'ingénierie sociale basée sur l'IA. L'objectif n'est pas d'inculquer la paranoïa, mais l'esprit critique : faire confiance, mais vérifier, surtout lorsque la demande émane d'une voix ou d'un visage familier. 

• La confiance zéro (Zero trust) par défaut : Les cadres de confiance zero trust, dont on parle depuis longtemps, sont désormais essentiels. La vérification continue des utilisateurs, des appareils et des flux de données empêche les attaquants de se déplacer latéralement une fois à l'intérieur du périmètre. L'authentification multifactorielle (MFA), l'accès conditionnel et la microsegmentation ne devraient plus être optionnels. 

• Renseignements intégrés sur les menaces : Pour comprendre les méthodes des attaquants, il faut plus que de la télémétrie interne. L'intégration avec des flux de renseignements sur les menaces en temps réel - en particulier ceux qui suivent les outils assistés par l'IA et l'activité du dark web - donne aux défenseurs le contexte nécessaire pour agir avant que les incidents ne s'aggravent. Les cadres de collaboration entre les industries joueront également un rôle crucial. 

Un aperçu de ce à quoi l'avenir pourrait ressembler dans la pratique est apparu récemment lorsque le système "Big Sleep" de Google, piloté par l'IA, a empêché l'exploitation d'une vulnérabilité critique de SQLite avant que les acteurs de la menace ne puissent agir. Bien que cette technologie ne soit pas encore accessible au public, elle illustre la prochaine évolution de la cyberdéfense : des systèmes d'IA capables d'identifier et de neutraliser les menaces de manière autonome, souvent avant même qu'une intervention humaine ne soit possible. De tels développements laissent entrevoir un avenir où les architectures proactives d'autodéfense deviendront la norme, transformant la cyberdéfense d'une réponse réactive à une anticipation intelligente. 

Combler le fossé commence maintenant 

La course aux armements en matière de cybersécurité est entrée dans une nouvelle phase. L'IA a fait basculer l'équilibre des forces en faveur de l'attaquant, introduisant une nouvelle ère de risques de sécurité liés à l'IA, mais ce changement n'est pas permanent. Les entreprises qui agissent maintenant en adoptant la détection moderne, en améliorant la sensibilisation du personnel et en engageant des partenaires stratégiques peuvent reprendre l'initiative.

La fenêtre d'adaptation est étroite. Mais l'opportunité est claire. 

Chez Getronics, nous travaillons déjà avec des organisations dans les domaines de la finance, de la santé, de la fabrication et du gouvernement pour construire des défenses prêtes pour l'IA. Nous vous invitons à les rejoindre. 

Contactez-nous ou téléchargez notre livre blanc pour découvrir comment votre organisation peut transformer la défense en avantage. 

Combinons l'automatisation avec l'automatisation, et gagnons ensemble.