IA et cybersécurité : les 5 alertes à retenir en 2025

En 2025, une réalité s’impose : la cybersécurité est devenue une affaire de volume. Volume de messages frauduleux, de comptes compromis, de tentatives d’intrusion, d’indices faibles disséminés dans les logs. À ce rythme, les équipes sécurité ne “manquent pas d’outils” — elles manquent de temps, d’attention et de capacité à trier le signal du bruit.

Août 2025 a offert une démonstration assez brutale de ce décalage. Entre la suppression de 6,8 millions de comptes WhatsApp liés à des escroqueries (sur le premier semestre 2025), des attaques visant des installations d’eau en Europe, ou encore des identifiants e-mail gouvernementaux revendus sur des forums clandestins, le message est clair : la défense ne peut plus reposer uniquement sur des contrôles statiques et des analyses manuelles.

Dans notre série « Intelligence artificielle dans la cybersécurité », je prends ces faits comme des “preuves terrain” : l’IA n’est pas un gadget. C’est une réponse opérationnelle pour surveiller en continu, prioriser, détecter plus tôt et réduire l’exposition. Voici les 5 alertes d’août 2025 — et ce qu’elles changent concrètement dans une stratégie de sécurité.

1) Messageries : 6,8 millions de comptes supprimés… et le problème reste entier

Point clé : les messageries sont devenues un canal industriel de fraude, et l’IA est l’un des seuls moyens réalistes de lutter à l’échelle.

WhatsApp a indiqué avoir supprimé 6,8 millions de comptes associés à des activités d’escroquerie sur le premier semestre 2025. Ce chiffre n’est pas “juste impressionnant” : il décrit un modèle économique. Les fraudeurs créent des comptes en masse, testent des scripts, adaptent les scénarios, et recommencent.

Pourquoi l’IA est incontournable ici

Les arnaques par messagerie évoluent vite : orthographe corrigée, messages plus naturels, personnalisation, alternance de langues, usurpation de proches ou de services clients. Les filtres classiques (mots-clés, règles) se font contourner.

Ce qui marche mieux, c’est une approche IA combinant :

• Détection comportementale (fréquence d’envoi, patterns de création de comptes, graphes de contacts)
• NLP (analyse linguistique et intentionnelle, détection de persuasion et d’urgence artificielle)
• Corrélation multi-signal (appareil, réseau, historique, réputation, anomalies)

Action côté entreprise (oui, même si c’est “WhatsApp”)

Même si vous ne contrôlez pas la plateforme, vous pouvez réduire l’impact :

1. Former sur des scénarios actuels (faux support, faux RH, faux dirigeant, fausse livraison) plutôt que des exemples datés.
2. Mettre en place une procédure “pause + vérification” pour toute demande urgente de paiement ou d’accès.
3. Déployer une protection anti-phishing orientée identité (détection d’usurpation, look-alike, anomalies de connexion), car le but final est souvent le vol de comptes.

Phrase à garder en tête : “Quand l’attaque est industrialisée, la défense doit l’être aussi.”

2) Chiffrement : l’abandon d’une “porte dérobée” change la posture sécurité

Point clé : préserver le chiffrement de bout en bout et le chiffrement cloud, ce n’est pas un débat abstrait — c’est une mesure de réduction du risque.

Le gouvernement britannique a accepté d’abandonner une demande visant à obtenir une forme de “backdoor” sur des données utilisateurs chiffrées dans le cloud. C’est un signal fort : créer une exception au chiffrement finit presque toujours par créer une faille exploitable, tôt ou tard.

Le lien direct avec l’IA en cybersécurité

Quand les données sont mieux chiffrées, l’attaque se déplace :

• vers l’identité (vol d’identifiants, contournement MFA, session hijacking)
• vers les endpoints (poste de travail, mobile)
• vers les intégrations (API, connexions SaaS)

C’est précisément là que l’IA apporte de la valeur : détecter des anomalies d’authentification et d’usage (impossible travel, nouveaux appareils, écarts de comportement, accès à des volumes anormaux) et prioriser les alertes.

Action concrète : sécuriser l’accès plutôt que “lire les données”

Si vous voulez profiter d’un monde plus chiffré, il faut investir dans :

• MFA résistante au phishing (passkeys, FIDO2) pour les comptes sensibles
• Gestion des sessions (durées, renouvellements, restrictions par contexte)
• Détection UEBA (User and Entity Behavior Analytics) pilotée par IA

Le chiffrement protège le contenu. L’IA protège l’usage.

3) Infrastructures critiques : l’eau visée en Europe, et personne n’a le droit d’être “moyen”

Point clé : les attaques sur les installations d’eau montrent que l’OT (Operational Technology) est un front cyber à part entière, et l’IA doit aider à y détecter l’anormal.

Des acteurs alignés avec la Russie ont été associés à des attaques visant des installations d’eau en Norvège et en Pologne. Ce type d’incident n’a pas besoin d’être “spectaculaire” pour être grave : perturber, dégrader, semer le doute, forcer des arrêts, déclencher des coûts… c’est déjà une victoire pour l’attaquant.

Pourquoi les défenses OT classiques ne suffisent plus

Les environnements industriels ont souvent :

• des équipements anciens, difficiles à patcher
• des protocoles spécifiques
• des contraintes d’exploitation (on ne “redémarre pas” une chaîne comme un serveur)

L’IA est utile ici surtout pour la détection d’anomalies : sur les flux réseau industriels, sur les séquences de commandes, sur les accès opérateurs.

Ce que je recommande (pragmatique, pas théorique)

1. Segmentation stricte IT/OT avec des passerelles contrôlées.
2. Inventaire réel (actifs, versions, communications attendues). Sans ça, pas de détection fiable.
3. Surveillance OT orientée anomalies (baselines + alertes contextualisées).
4. Plans de réponse OT testés (qui fait quoi, en combien de temps, avec quels scénarios).

L’IA ne remplace pas l’ingénierie industrielle. Elle réduit le temps entre “ça commence” et “on réagit”.

4) Cybercriminalité transnationale : le démantèlement ne suffit pas, il faut couper les flux

Point clé : les réseaux d’arnaques et de fraude se comportent comme des entreprises. Les arrêter demande de traiter les signaux faibles et les infrastructures, pas uniquement les individus.

Le Nigeria a expulsé plus de 100 ressortissants étrangers dans le cadre d’une action contre un grand syndicat cybercriminel. C’est utile, mais ce n’est pas “la fin” du problème : ces organisations savent se reconstituer, déplacer leurs opérations, relancer des campagnes.

Où l’IA fait la différence

• Détection de clusters : relier des comptes, numéros, domaines, appareils, adresses IP qui semblent “différents” mais appartiennent au même réseau.
• Scoring de risque : prioriser ce qui est le plus probablement frauduleux.
• Automatisation de la réponse : blocage, mise en quarantaine, vérification renforcée.

Côté entreprise : protéger les parcours qui génèrent du chiffre

Les fraudeurs ciblent là où c’est rentable : onboarding, paiement, support, changement d’IBAN, récupération de compte.

Checklist courte, qui évite des pertes réelles :

• KYC/KYB renforcé sur les parcours sensibles
• Détection de fraude en temps réel (signaux device + comportement)
• Contrôles sur les changements (RIB, bénéficiaires, emails de contact)
• Double validation hors bande pour les actions à impact financier

Si vous attendez “une alerte SOC” pour traiter la fraude, vous arrivez souvent après le virement.

5) Identifiants gouvernementaux revendus : la compromission devient un produit

Point clé : les identifiants volés ne sont plus un sous-produit du hacking, ce sont un marché structuré. La défense doit donc être pensée comme une lutte contre la “revente”.

Des cybercriminels ont mis aux enchères des identifiants e-mail actifs appartenant à la police et à des organismes gouvernementaux. Ce scénario a deux effets directs :

1. Accès initial pour des attaques plus profondes (espionnage, sabotage, extorsion)
2. Crédibilité pour des campagnes de phishing (un e-mail officiel compromet la confiance)

Comment l’IA aide, concrètement

• Détection d’accès anormal (horaires, géolocalisation, appareil, volume de mails)
• Analyse de contenu (tentatives d’exfiltration, règles de transfert suspectes, patterns de BEC)
• Corrélation avec signaux endpoint et réseau (un compte compromis laisse rarement un seul indice)

Mesures “à impact rapide” (souvent négligées)

• MFA résistante au phishing sur les boîtes sensibles
• Désactivation de l’authentification héritée (protocoles anciens)
• Alertes sur création de règles de transfert et délégations
• Rotation et contrôle des accès privilégiés (PAM)

Le marché des identifiants prospère quand les comptes restent valides longtemps. Réduire la “durée de vie” d’un compte compromis, c’est casser l’économie de l’attaque.

Passer de la veille mensuelle à la défense continue : le rôle de l’IA

Point clé : une synthèse mensuelle est précieuse pour comprendre la tendance, mais la protection se joue à la minute. L’IA sert à transformer la tendance en mécanismes de détection et de réponse.

Je vois beaucoup d’organisations consommer des actualités cyber, puis… ne rien changer pendant des mois. Le bon réflexe, c’est d’utiliser chaque signal (messageries, OT, identités, chiffrement, marchés clandestins) pour alimenter une boucle simple :

1. Observer (menaces + logs + événements)
2. Modéliser (comportements attendus, risques, scénarios)
3. Détecter (anomalies et corrélations avec IA)
4. Répondre (automatisation, playbooks)
5. Durcir (contrôles et hygiène)

Mini-FAQ (les questions qu’on me pose tout le temps)

L’IA réduit-elle vraiment la charge des équipes SOC ? Oui, si vous l’utilisez pour prioriser et corréler (moins d’alertes, plus de contexte). Non, si vous ajoutez un outil de plus sans règles d’exploitation.

Faut-il choisir entre IA et expertise humaine ? Non. L’IA traite le volume et repère l’anormal. L’humain décide, arbitre, investigue et améliore les playbooks.

Par où commencer si on a peu de maturité ? Par l’identité (MFA, accès conditionnel), la visibilité (collecte logs), et un premier cas d’usage IA : détection d’anomalies sur connexions et comptes.

Prochaine étape : une posture “IA-ready” pour 2026

Ces signaux d’août 2025 convergent vers une même idée : la surface d’attaque s’étend plus vite que les capacités humaines. La messagerie, l’identité, les infrastructures critiques et les marchés d’identifiants se renforcent mutuellement. Une compromission devient un levier pour la suivante.

Si vous voulez transformer cette veille en résultats, je vous conseille une démarche simple : choisir 2 cas d’usage IA à fort impact (par exemple, fraude par messagerie + détection d’anomalies de connexion), les instrumenter proprement, puis étendre.

Et si, en 2026, votre objectif n’était pas “d’éviter tous les incidents”, mais de détecter en moins de 10 minutes et de contenir en moins d’une heure ? C’est souvent là que l’IA fait gagner le plus.