IA et APT : ce que révèle le rapport ESET 2025

Les attaques APT (Advanced Persistent Threats) ne font pas plus de bruit en 2025. Elles font pire : elles s’installent, s’adaptent, et attendent le bon moment. Le rapport ESET APT Activity Report Q2 2025–Q3 2025 (période avril–septembre 2025) rappelle une réalité que je vois souvent sur le terrain : le problème n’est pas l’absence d’outils, c’est le délai entre “quelque chose cloche” et “on agit”.

C’est là que l’intelligence artificielle dans la cybersécurité devient vraiment utile. Pas comme un gadget, mais comme un moyen de réduire le temps de détection, de prioriser ce qui compte et de repérer des schémas APT que des règles statiques et des tableaux de bord surchargés laissent passer.

Ce billet transforme les enseignements clés d’un rapport de veille APT (même si l’on n’a que le résumé RSS) en un plan d’action concret : comment exploiter ce type de renseignement, quoi automatiser avec l’IA, et quelles décisions prendre dès maintenant pour éviter l’intrusion “silencieuse” qui finit en crise.

Ce qu’un rapport APT dit (vraiment) de votre niveau de risque

Un rapport d’activité APT n’est pas une liste de menaces “au loin”. C’est un signal : des groupes structurés, patients et méthodiques continuent d’opérer, trimestre après trimestre, en ajustant leurs techniques au contexte géopolitique, aux chaînes d’approvisionnement et aux opportunités.

La valeur pratique de ce type de rapport tient en trois points :

• Les tendances de TTP (tactics, techniques, procedures) : ce que les attaquants réutilisent, ce qu’ils abandonnent, ce qu’ils testent.
• La preuve par l’activité : les APT ne sont pas théoriques. Elles laissent des traces, des infrastructures, des familles de malwares, des comportements.
• La temporalité : Q2–Q3 2025 couvre une demi-année. C’est suffisamment long pour repérer des cycles (campagnes, réoutillages, changements d’infrastructure).

Un bon rapport APT ne sert pas à “faire peur”. Il sert à décider : où mettre l’argent, quoi surveiller, et quoi automatiser.

Dans une entreprise, le risque APT se matérialise rarement par “un malware détecté”. Il arrive plus souvent comme :

• un compte “légitime” qui se met à faire des choses bizarres à 02h17,
• un serveur qui initie des connexions sortantes inhabituelles,
• une série d’échecs d’authentification qui ne déclenche aucune alerte parce que “ça arrive”.

Et c’est précisément le terrain où l’IA est efficace : détection comportementale, corrélation multi-sources, priorisation.

Pourquoi les méthodes classiques arrivent trop tard face aux APT

La détection traditionnelle (règles SIEM, signatures, listes de blocage) reste nécessaire. Mais face aux APT, elle est souvent en retard d’un coup.

Les APT jouent sur la “normalité”

Une APT mature cherche à ressembler à l’activité normale. Elle utilise des identifiants valides, des outils systèmes, des chemins réseau plausibles. Les indicateurs “simples” (hash, domaine, IP) changent vite.

Conséquence : les équipes SOC se retrouvent à gérer :

• des milliers d’alertes basées sur des règles génériques,
• des investigations longues pour des signaux faibles,
• un manque de temps pour relier des événements épars.

Le coût du délai : l’ennemi invisible

Ce qui fait mal n’est pas seulement l’intrusion. C’est la durée : plus un acteur persiste, plus il :

• cartographie le SI,
• escalade les privilèges,
• exfiltre lentement,
• prépare un impact (chantage, sabotage, espionnage).

Dans un contexte fin 2025, on voit aussi une pression accrue sur :

• les environnements hybrides (AD + SaaS + cloud),
• les identités (MFA contourné, fatigue MFA, jetons volés),
• les postes gérés “à moitié” (télétravail, prestataires, filiales).

Là encore, l’IA n’empêche pas tout. Mais elle raccourcit la fenêtre.

Le rôle de l’IA dans la lutte anti-APT : trois usages qui marchent

L’IA en cybersécurité n’est pas une solution unique. Elle devient utile quand on l’applique à des problèmes précis. Voici les trois usages les plus rentables pour contrer des tactiques APT, en lien direct avec l’intérêt d’un rapport comme celui d’ESET.

1) Détection comportementale : repérer l’anomalie “cohérente”

Le point fort des modèles (ML/IA) est de repérer des comportements atypiques en combinant plusieurs signaux : authentification, réseau, processus, accès fichiers, API cloud, etc.

Exemples concrets d’anomalies APT que l’IA détecte mieux que des règles isolées :

• un compte de service qui accède soudainement à des partages qu’il n’a jamais touchés,
• un poste utilisateur qui émet des requêtes DNS au même “rythme” vers des domaines récemment vus,
• une séquence “connexion → élévation → mouvement latéral” étalée sur plusieurs heures.

Ce qui compte : l’enchaînement, pas l’événement isolé.

2) Corrélation et priorisation : arrêter de “trier” à la main

Un rapport APT est une mine de patterns : familles de malwares, infrastructures, méthodes d’accès initial, techniques de persistance. L’IA peut intégrer ces signaux comme features ou comme règles enrichies.

Objectif : passer de “500 alertes” à “5 dossiers d’investigation”.

Une approche qui fonctionne bien :

1. Ingestion de threat intelligence (renseignements exploitables, pas seulement IOC bruts).
2. Scoring combinant criticité métier + exposition + similarité avec TTP APT.
3. Regroupement (clustering) d’événements qui “racontent la même histoire”.

Le gain n’est pas seulement technique : c’est du temps humain récupéré.

3) Réponse semi-automatisée : contenir vite, enquêter ensuite

Face aux APT, la réponse doit souvent être progressive : on isole, on limite, on observe, puis on éradique. L’IA (couplée à l’automatisation SOAR) aide à exécuter des actions sûres, déclenchées par des seuils.

Actions typiques (à valider selon votre contexte) :

• isoler un endpoint du réseau sauf vers le SOC,
• révoquer des jetons et sessions cloud à risque,
• forcer une réauthentification et un reset ciblé,
• bloquer des flux sortants rares (exfiltration lente).

Le principe : contenir l’hémorragie avant d’avoir “tout compris”.

Transformer un rapport ESET APT (Q2–Q3 2025) en plan d’action

Même avec un résumé, on peut utiliser la logique d’un rapport APT ESET comme un cadre opérationnel. Voilà comment je recommande de procéder, en 60 à 90 minutes d’atelier interne.

Étape 1 : cartographier les surfaces où l’APT gagne du temps

Posez ces questions très concrètes :

• Où sont nos identités les plus puissantes (AD, IAM cloud, comptes de service) ?
• Où avons-nous des logs incomplets (DNS, proxy, EDR, SaaS) ?
• Quels segments réseau restent “plats” (mouvement latéral facile) ?

Un acteur APT exploite en priorité les zones grises : là où personne ne regarde bien.

Étape 2 : aligner vos détections sur les TTP, pas sur les IOC

Les IOC expirent vite. Les techniques durent.

Concrètement, convertissez le contenu du rapport en une liste de détections axées sur :

• accès initial (phishing ciblé, exploitation de services exposés, supply chain),
• persistance (tâches planifiées, services, modifications IAM),
• mouvement latéral (RDP, SMB, WMI, outils natifs),
• exfiltration (DNS tunneling, HTTP “faible bruit”, stockage cloud).

Puis demandez : qu’est-ce qu’on détecte déjà, qu’est-ce qu’on ne détecte pas du tout ?

Étape 3 : entraîner vos modèles avec des “histoires” d’attaque

L’IA a besoin de contexte. Pas seulement d’événements.

Trois pratiques efficaces :

• créer des séquences d’attaque (kill chain) dans le SIEM, utilisées comme données d’apprentissage ou comme scénarios d’évaluation,
• utiliser des baselines par rôle (comptabilité, IT, direction, prestataires) plutôt qu’une moyenne globale,
• valider les détections avec des exercices de type purple team (attaque simulée + réglage défensif).

Étape 4 : décider ce qui doit être automatique (et ce qui ne doit jamais l’être)

Je suis pro-automatisation, mais pas aveuglément. La bonne règle :

• Automatique : isolement endpoint, désactivation session, blocage IOC à faible risque de faux positifs.
• Semi-automatique : reset compte, suppression clés API, quarantaines email.
• Manuel : actions destructrices (suppression massive, rotation globale, coupure réseau large).

L’IA doit accélérer la réponse, pas déclencher une panne.

Questions fréquentes (et réponses utiles) sur l’IA contre les APT

L’IA peut-elle “prédire” la prochaine attaque APT ?

Elle ne prédit pas une date et une cible avec certitude. En revanche, elle anticipe des modes opératoires : si vos logs montrent des précurseurs (reconnaissance, accès anormal, essais d’authentification, exfiltration lente), un modèle peut détecter plus tôt la trajectoire d’attaque.

Faut-il un gros SOC pour que l’IA serve à quelque chose ?

Non. Mais il faut de la discipline sur les données : qualité des logs, normalisation, rétention. Une petite équipe peut très bien gagner en efficacité si l’IA sert à réduire le bruit.

Par où commencer si on veut intégrer la threat intelligence à l’IA ?

Commencez par un seul cas d’usage : par exemple détection d’anomalies sur les identités. C’est souvent l’endroit où les APT obtiennent le meilleur ROI.

• Centralisez les logs d’authentification (on-prem + cloud)
• Définissez 10 comportements “normaux” par population
• Ajoutez 10 signaux “APT-like” inspirés des TTP
• Mesurez le taux de faux positifs, puis ajustez

Ce que j’attendrais d’une organisation “prête APT” fin 2025

Si je devais résumer une posture réaliste, compatible avec les contraintes budget/équipes, je chercherais ceci :

1. Une visibilité solide sur les identités (MFA bien configuré, détection des anomalies, gestion des comptes de service).
2. Un EDR déployé largement et correctement télémétré.
3. Un SIEM qui corrèle + un minimum d’automatisation (SOAR) pour contenir.
4. Une boucle de renseignement : chaque rapport APT (comme celui d’ESET) devient un backlog de détections à créer/améliorer.
5. Des exercices réguliers (au moins trimestriels) pour valider que “ça sonne” quand ça doit sonner.

La réalité ? Les APT ne gagnent pas parce qu’elles sont magiques. Elles gagnent parce qu’elles ont le temps.

Si cette publication s’inscrit dans notre série « Intelligence artificielle dans la cybersécurité », c’est pour marteler une idée simple : l’IA est un multiplicateur de vigilance. Elle ne remplace pas la stratégie, mais elle rend la stratégie applicable à l’échelle.

Vous voulez aller plus loin ? Prenez votre dernier rapport de threat intel (ESET ou autre) et posez une question très concrète à votre équipe : “Quelle détection mettrait fin à cette campagne en moins de 15 minutes chez nous ?” Si la réponse est floue, vous avez un chantier prioritaire pour 2026.