IA et cybermenaces 2025 : le vrai signal du rapport ESET

La statistique qui devrait faire tiquer n’importe quel responsable sécurité est simple : un nouveau vecteur d’attaque, ClickFix, a bondi de plus de 500% au premier semestre 2025 par rapport au second semestre 2024. Et ce n’est pas “juste un nouveau scam” de plus. C’est le symptôme d’un basculement : les attaquants ne cherchent plus seulement à contourner la technique, ils industrialisent la manipulation.

Dans notre série « Intelligence artificielle dans la cybersécurité », j’aime partir d’un constat concret avant de parler d’IA. Le rapport de menaces H1 2025 d’ESET fournit exactement ça : des tendances mesurées (télémétrie), des familles de malwares identifiées, et une dynamique claire côté rançongiciels. Mon point de vue est direct : si votre défense reste “signatures + procédures manuelles”, vous jouez avec un temps de retard structurel. L’IA n’est pas un gadget ; c’est l’outil pragmatique pour regagner de la vitesse et de la précision.

Ce billet transforme les enseignements clés du rapport en plan d’action : quoi surveiller, comment l’IA aide réellement (détection, priorisation, réponse), et quelles décisions prendre en 2026 pour éviter de courir après les alertes.

ClickFix : quand l’ingénierie sociale devient un “vecteur”

Réponse directe : ClickFix montre que l’ingénierie sociale est désormais un mécanisme d’exécution à part entière, et l’IA est l’une des rares approches capables de suivre son rythme.

ClickFix s’installe comme le 2ᵉ vecteur d’attaque le plus courant après le phishing, avec une hausse > 500%. Le principe est sournois : l’utilisateur voit une fausse erreur (“mise à jour”, “problème système”, “vérification”), puis on le pousse à copier-coller et exécuter une commande. On n’exploite pas une faille logicielle ; on exploite le réflexe humain de “réparer vite”.

Pourquoi ClickFix est si difficile à stopper avec des outils classiques

La difficulté vient de la variabilité : la charge utile peut être un infostealer, un rançongiciel, voire un malware lié à des États. Autrement dit, vous ne pouvez pas traiter ClickFix comme une seule “famille”. Il s’agit plutôt d’un pipeline de compromission adaptable, compatible Windows, Linux et macOS.

Ce que j’observe souvent en entreprise : on essaie de le contrer uniquement par de la sensibilisation (“ne cliquez pas”). C’est nécessaire… mais insuffisant. La réalité ? Une partie des utilisateurs fera toujours “la mauvaise manip”, surtout dans les périodes chargées (clôtures, pics commerciaux, congés de fin d’année).

Ce que l’IA peut faire concrètement contre ClickFix

Là où le machine learning est utile, c’est sur la détection comportementale et contextuelle :

• Détection d’actions anormales : lancement d’interpréteurs (powershell, cmd, bash) depuis un navigateur ou une app inattendue, exécution de commandes rarement vues dans votre parc.
• Corrélation multi-signaux : séquence “page web → copier-coller → commande → création de tâche → connexion sortante”, même si chaque étape isolée semble “banale”.
• Priorisation intelligente : distinguer un admin qui automatise une tâche d’un poste utilisateur qui exécute une commande sortie de nulle part.

Une phrase à retenir : ClickFix n’est pas un IOC, c’est une chorégraphie. Et l’IA excelle à repérer des chorégraphies.

Infostealers : l’économie de la donnée volée change de mains

Réponse directe : la montée de SnakeStealer et les perturbations de services “malware-as-a-service” confirment que l’IA doit servir autant à détecter qu’à réduire l’impact.

Côté infostealers, ESET note un basculement : Agent Tesla décline, tandis que SnakeStealer (Snake Keylogger) devient le plus détecté dans sa télémétrie. En parallèle, des opérations de perturbation ciblent Lumma Stealer et Danabot.

Pourquoi les infostealers comptent plus que leur “popularité”

On sous-estime parfois les infostealers parce qu’ils ne chiffrent pas. Erreur. Dans les faits, ils alimentent :

• le vol de sessions (cookies, tokens),
• la prise de contrôle de messageries,
• la fraude financière,
• et très souvent… le rançongiciel derrière (accès initial, latéralisation, exfiltration).

L’enjeu n’est pas uniquement “détecter un malware”, mais couper la chaîne de valeur : empêcher l’exfiltration, invalider les sessions, et réduire la réutilisation des identifiants.

Apports IA : détection + réponse automatisée (sans automatiser le chaos)

L’IA aide surtout sur deux points :

1. Détection d’anomalies d’authentification (impossible travel, changements de device, patterns de connexion inhabituels). Un modèle bien entraîné sur vos flux IAM/SSO repère les écarts plus tôt qu’une règle figée.
2. Orchestration de réponse guidée par le risque : forcer la réauthentification, révoquer des tokens, isoler un poste, ouvrir un ticket enrichi (timeline, artefacts, suspicion score).

Mon opinion : l’automatisation doit être conditionnée à la confiance. Commencez par automatiser des actions réversibles (réauthentification, blocage temporaire), puis montez en puissance.

Android : adware + fraude NFC, la menace “du quotidien”

Réponse directe : sur mobile, l’IA est utile parce qu’elle relie des signaux faibles (apps, permissions, comportements réseau) qu’on ne regarde pas assez.

ESET observe une hausse de 160% des détections d’adware sur Android, largement tirée par une menace baptisée Kaleidoscope. Sa technique “evil twin” consiste à distribuer des apps malveillantes qui ressemblent à des apps légitimes, mais qui bombardent l’utilisateur de publicités intrusives et dégradent l’appareil.

Plus inquiétant encore : la fraude basée sur le NFC explose de plus de 35 fois, portée par le phishing et des techniques de relais. Même si les volumes restent “modestes”, la trajectoire est claire : les attaquants investissent un terrain qui touche directement le paiement.

Pourquoi le mobile est un angle mort (surtout en environnement pro)

Dans beaucoup d’organisations, la sécurité mobile reste traitée comme un sujet “MDM + conformité”. Or les attaques se jouent souvent sur :

• l’installation d’apps “quasi légitimes”,
• les permissions (accessibilité, notifications),
• les redirections via navigateur,
• les proxys/VPN douteux,
• et des comportements réseau anormaux.

Apports IA : scoring de risque applicatif et détection de patterns NFC

Des modèles peuvent aider à attribuer un score de risque à une app en combinant : réputation, permissions, similarité avec une app connue (clone), fréquence d’affichage pub, endpoints contactés, et timing des communications.

Pour le NFC, l’intérêt est de repérer des séquences (phishing → installation/activation → usage NFC inhabituel → relais) et d’alerter avant que cela ne devienne un incident financier.

Rançongiciels : plus d’attaques, moins de paiements… et plus d’instabilité

Réponse directe : le chaos côté ransomware renforce l’intérêt de l’IA pour la prédiction opérationnelle et la priorisation, pas seulement pour “détecter un chiffrement”.

Le rapport met en avant une situation paradoxale issue des données annuelles 2024 : les attaques et le nombre de gangs augmentent, mais les paiements de rançon chutent nettement. Plusieurs causes probables : démantèlements, “exit scams”, et surtout perte de confiance dans la capacité des groupes à tenir parole (déchiffrement, non-divulgation).

C’est un détail qui change la stratégie des défenseurs. Quand le “business model” se fragilise, les attaquants :

• multiplient les opérations opportunistes,
• diversifient les extorsions,
• et accélèrent les cycles attaque→impact.

Ce que l’IA doit prédire (vraiment) en matière de ransomware

L’objectif n’est pas de “prédire le futur” au sens magique. Il est beaucoup plus terre-à-terre : anticiper les chemins probables vers l’impact.

Exemples concrets de signaux exploitables par IA :

• explosion soudaine de tentatives de connexion sur VPN/RDP,
• créations anormales de comptes admins,
• accès inhabituels à des partages sensibles,
• exfiltration progressive vers des services cloud,
• désactivation ou contournement d’outils de sécurité.

Un modèle de risque alimenté par vos logs (EDR, IAM, proxy, DNS, SIEM) peut fournir un score d’escalade : plus il monte, plus on déclenche des mesures fortes (isolement, blocage, MFA renforcée, chasse proactive).

Mettre l’IA au travail : une feuille de route en 30-60-90 jours

Réponse directe : l’IA en cybersécurité apporte des résultats quand elle est branchée sur les bons flux, mesurée avec des KPI clairs, et gouvernée pour éviter les faux positifs coûteux.

Voici une approche pragmatique que j’ai vue fonctionner, y compris dans des organisations publiques où les contraintes sont fortes.

0–30 jours : rendre vos données exploitables

• Cartographier les sources : EDR, messagerie, SSO/IAM, DNS/proxy, MDM.
• Normaliser et conserver : horodatage cohérent, identifiants, enrichissement (poste, user, entité).
• Définir 5 scénarios prioritaires alignés sur le rapport : ClickFix, infostealer, Android evil twin, fraude NFC, pré-ransomware.

30–60 jours : détection “comportement + corrélation”

• Déployer des modèles/heuristiques sur les séquences (et pas seulement sur des fichiers).
• Mettre en place une boucle analyste → modèle : chaque triage améliore la pertinence.
• Mesurer : taux de faux positifs, temps moyen de triage, incidents évités.

60–90 jours : automatiser la réponse, progressivement

• Automatisations réversibles : réauth, révocation token, blocage temporaire, quarantaine mail.
• Automatisations conditionnelles : isolement poste si score dépasse un seuil + validation analyste.
• Exercices : simulations d’incidents (table-top) centrées sur ClickFix et infostealers.

Indicateur simple : si l’IA ne réduit pas votre MTTD (délai de détection) et votre MTTR (délai de remédiation) en quelques semaines, le problème vient souvent des données, pas du modèle.

Questions fréquentes (et réponses franches)

“On a déjà un SIEM/EDR, pourquoi ajouter de l’IA ?”

Parce que le rapport illustre une vérité : les attaques évoluent plus vite que vos règles. L’IA sert à repérer des écarts et des séquences inédites, pas à remplacer l’EDR.

“Le risque, c’est de noyer le SOC sous des alertes.”

Exact. Une IA mal gouvernée empire la situation. La bonne approche : priorisation + preuves (timeline, signaux corrélés) et automatisation limitée au début.

“Est-ce pertinent pour une PME ou une collectivité ?”

Oui, si l’objectif est clair : réduire l’exposition sur quelques scénarios (phishing/ClickFix, vol d’identité, ransomware). Une IA ciblée vaut mieux qu’un “grand projet” flou.

Ce que le rapport ESET H1 2025 change pour 2026

Le rapport ESET H1 2025 ne décrit pas seulement des menaces ; il dessine une contrainte opérationnelle : les attaquants gagnent en vitesse, en adaptabilité et en industrialisation (ClickFix), pendant que l’écosystème des malwares se recompose (infostealers) et que le mobile redevient un terrain d’innovation criminelle (Kaleidoscope, NFC).

Si vous devez choisir une priorité pour 2026, je tranche : investissez dans une défense pilotée par les données, où l’IA sert à détecter des séquences, corréler des signaux faibles et déclencher une réponse proportionnée. C’est exactement ce que ces tendances rendent indispensable.

Vous voulez tester votre maturité ? Prenez un cas simple : un poste utilisateur exécute une commande après un faux message “correctif”. Votre organisation le détecte-t-elle en moins de 10 minutes, et sait-elle isoler la machine sans bloquer tout le monde ? Si la réponse est non, vous savez par où commencer.