APT 2025 : détecter l’invisible grâce à l’IA

Entre avril et septembre 2025, des groupes APT (Advanced Persistent Threats) ont continué à s’implanter dans des organisations publiques et privées pour voler du renseignement, perturber des services essentiels ou financer leurs opérations. Le plus inquiétant n’est pas la « sophistication » au sens marketing du terme : c’est leur patience. Une APT ne cherche pas toujours le coup d’éclat. Elle cherche la durée.

Un exemple parlant ressort des observations de la recherche sécurité sur la période Q2–Q3 2025 : des attaques destructrices visant le secteur des céréales en Ukraine, attribuées à un groupe aligné sur des intérêts étatiques (Sandworm). Le signal est clair : l’APT moderne ne se contente plus d’espionner, elle s’attaque aux chaînes de valeur et à l’économie réelle.

Dans cette édition de notre série « Intelligence artificielle dans la cybersécurité », je prends ces enseignements comme point de départ pour une idée simple : les APT se détectent moins par un “événement” que par une somme d’anomalies. Et c’est exactement là que l’IA, bien utilisée, devient un outil décisif.

Ce que les APT font (vraiment) : s’installer, puis vivre sur place

Une APT réussit quand elle ressemble à de l’activité normale. Son objectif n’est pas uniquement d’entrer, mais de rester : établir une persistance, cartographier l’environnement, élever ses privilèges, pivoter d’un réseau à l’autre, puis agir (exfiltration, sabotage, rançon, influence).

La période Q2–Q3 2025 rappelle une réalité que beaucoup d’équipes sous-estiment : les frontières “secteur public / secteur privé” ne protègent plus. Un prestataire, une filiale, un équipement industriel, un outil collaboratif : tout peut devenir un point d’entrée ou un relais.

Le trio “qui, où, comment” : une grille de lecture utile

Pour piloter une défense réaliste, je reviens souvent à trois questions opérationnelles :

• Qui vous vise ? (groupe étatique, sous-traitants, cybercriminels opportunistes, hybrides)
• Où l’attaque cherche à s’enraciner ? (identités, endpoints, messagerie, cloud, OT/IoT)
• Comment elle se maintient et progresse ? (vol d’identifiants, living-off-the-land, vulnérabilités, chaînes d’approvisionnement)

Cette grille colle bien à l’observation des campagnes APT : elles s’adaptent au contexte, exploitent les frictions organisationnelles (droits trop larges, logs incomplets, shadow IT) et capitalisent sur les zones grises entre outils.

Pourquoi 2025 rend les APT plus dangereuses : volume, vitesse, brouillage

Le risque APT augmente en 2025 pour trois raisons concrètes.

1) La surface d’attaque explose, surtout côté identités

Les environnements hybrides (SaaS + cloud + on-prem) multiplient les identités humaines et non humaines : comptes de service, clés API, tokens, automatisations. Or beaucoup d’APT se comportent comme des utilisateurs légitimes dès qu’elles ont un accès initial.

Résultat : si votre sécurité repose surtout sur des signatures ou sur la détection “à l’ancienne” d’un malware connu, vous voyez l’entrée… mais pas la suite.

2) Le sabotage redevient central

Les opérations destructrices (effaceurs de données, perturbation d’activité) ne sont plus une exception. L’attaque évoquée contre le secteur des céréales illustre un point clé : l’objectif peut être économique et stratégique, pas seulement technique.

Quand un système est visé pour être rendu inutilisable, la détection doit être précoce. Après un effacement, “répondre” n’est plus une option : c’est trop tard.

3) Les signaux faibles deviennent la norme

Une APT “moderne” évite les comportements trop bruyants. Elle préfère :

• un compte admin utilisé à des horaires inhabituels,
• un accès à un coffre-fort de secrets qui n’était jamais consulté,
• une requête vers un stockage cloud rarement utilisé,
• une authentification “impossible” (impossible travel),
• une création de règles de transfert dans la messagerie.

Chaque signal pris seul peut être expliqué. La corrélation dans le temps, elle, raconte une histoire.

Là où l’IA est vraiment utile contre les APT : corréler et prioriser

L’IA n’est pas une baguette magique. Mais elle est très efficace pour deux tâches qui font défaut aux équipes : relier des indices dispersés et trier l’important du bruit.

Détection basée sur comportements : mieux que la chasse au “malware”

Une approche IA bien conçue s’appuie sur des modèles de comportement (utilisateurs, machines, services) :

• Qu’est-ce qu’un poste “normal” dans le contexte de l’entreprise ?
• Quels flux réseau sont habituels pour cette application ?
• Quels accès sont cohérents avec le rôle d’un utilisateur ?

Quand une APT “vit sur place” en utilisant des outils légitimes (powershell, wmic, rundll32, ssh, etc.), la signature ne suffit plus. L’IA aide à détecter l’écart, pas seulement l’outil.

Une phrase que je répète souvent : une APT se repère par la cohérence qui se casse, pas par un indicateur isolé.

Corrélation multi-sources : l’ennemi des angles morts

Les environnements modernes distribuent les traces : EDR, IAM, logs cloud, proxy, DNS, messagerie, SIEM, outils ITSM. Une IA bien intégrée peut :

• regrouper des alertes qui concernent le même acteur (utilisateur, appareil, identité de service),
• reconstruire une chaîne d’attaque (reconnaissance → élévation → mouvement latéral → exfiltration/sabotage),
• réduire les faux positifs via le contexte.

Ce point est central pour les APT : elles gagnent quand votre visibilité est fragmentée.

Priorisation orientée risque : arrêter de courir après tout

Le piège classique : une avalanche d’alertes, une équipe débordée, et les signaux APT passent dans les interstices.

Les moteurs IA peuvent prioriser en combinant :

• criticité de l’actif touché,
• probabilité que l’activité soit malveillante,
• similarité avec des techniques connues (alignement MITRE ATT&CK côté SOC),
• présence de “points de non-retour” (création de persistance, accès coffre-fort, suppression de logs).

Le bénéfice attendu est très concret : moins d’alertes traitées “à la main”, plus d’enquêtes qui aboutissent.

Cas d’usage : comment l’IA peut détecter une attaque destructrice avant l’impact

Prenons un scénario réaliste inspiré des tendances observées en 2025 : une organisation agro-industrielle ou un acteur logistique est ciblé pour être perturbé.

Les signaux avant-coureurs (ce que vous pouvez capter)

Avant un effacement de données ou une perturbation d’OT, on observe souvent :

1. Accès initial via phishing ciblé, exploitation de service exposé ou identifiants volés.
2. Reconnaissance interne (inventaire, partages réseau, AD, comptes à privilèges).
3. Prépositionnement (outils de contrôle, comptes dormants, tâches planifiées).
4. Désactivation de protections / effacement de traces.
5. Action (wiper, chiffrement opportuniste, arrêt de services, sabotage).

Une IA peut détecter l’enchaînement (2→3→4) plus vite qu’un humain, parce qu’elle peut maintenir une vue d’ensemble en continu.

Ce qui change si votre SOC a de l’IA (et une vraie hygiène)

• L’accès “légitime” devient suspect s’il dévie du comportement historique.
• Un mouvement latéral entre segments rarement traversés ressort immédiatement.
• Les tentatives de suppression de logs déclenchent une escalade automatique.
• La réponse (isolation endpoint, invalidation tokens, reset secrets) peut être orchestrée plus tôt.

Le point dur : l’IA ne compense pas des logs absents. Si vous ne collectez pas, elle ne “devine” pas.

Plan d’action en 30 jours : rendre votre organisation moins APT-friendly

Les APT adorent les organisations où l’on peut rester sans être vu. Voici ce que je recommande souvent quand on veut progresser vite (sans lancer un chantier d’un an).

Semaine 1 : sécuriser l’identité (le vrai périmètre)

• Activer MFA partout où c’est possible, en priorité sur comptes admin et accès distants.
• Traquer les comptes à privilèges : lesquels existent, lesquels sont utilisés, lesquels devraient disparaître.
• Mettre des alertes sur : création d’admin, ajout à des groupes sensibles, élévation de privilèges, connexions anormales.

Semaine 2 : rendre les endpoints observables

• Déployer/optimiser EDR sur les postes et serveurs critiques.
• Standardiser les logs (horodatage, conservation, centralisation).
• Définir 10 comportements “interdits” et les surveiller (désactivation AV, suppression logs, lsass dump, création de tâches planifiées suspectes, etc.).

Semaine 3 : connecter IA + SIEM (avec un objectif clair)

• Choisir 3 parcours d’attaque APT à corréler (identité → endpoint → cloud).
• Mettre en place une priorisation “risque” : criticité + comportement + portée.
• Tester une automatisation de réponse sur 2 actions simples : isolation machine et révocation de sessions.

Semaine 4 : exercices et preuve par l’usage

• Lancer une chasse aux menaces (threat hunting) guidée par hypothèses : “et si un compte de service était compromis ?”.
• Faire un exercice “wiper” : que fait-on dans la première heure ? qui décide ? qui coupe quoi ?
• Mesurer 3 métriques : temps de détection, temps de qualification, temps de containment.

Ce que je retiens de Q2–Q3 2025 : l’IA est une nécessité, pas un gadget

Les enseignements de la période Q2–Q3 2025 sont difficiles à ignorer : les attaques APT touchent des secteurs stratégiques, et certaines opérations visent clairement la perturbation économique. La défense basée sur des contrôles statiques et des alertes isolées ne tient pas la distance.

L’IA en cybersécurité apporte un avantage précis : détecter plus tôt des chaînes d’attaque longues en exploitant des signaux faibles et distribués. À condition de faire les choses sérieusement : télémétrie propre, corrélation multi-sources, priorisation orientée risque, et processus de réponse qui suit.

Si votre organisation devait découvrir aujourd’hui une présence APT vieille de trois mois, seriez-vous capables de reconstruire le chemin complet en moins de 24h — et de prouver que l’attaquant est vraiment parti ?