IA & cybersécurité : les leçons clés de juillet 2025

En cybersécurité, un mois suffit pour changer la hiérarchie des risques. Juillet 2025 l’a rappelé avec une série d’histoires « qui bougent l’aiguille », pour reprendre l’esprit du récapitulatif vidéo de Tony Anscombe : des menaces plus rapides, des fraudes plus crédibles, et des équipes sécurité qui doivent décider en quelques minutes… avec des budgets et des effectifs qui, eux, n’accélèrent pas.

Voici ma lecture (très opérationnelle) de ces tendances, dans le fil de notre série « Intelligence artificielle dans la cybersécurité » : ce que ces signaux disent du terrain, où l’IA aide réellement, et comment éviter les pièges classiques (automatisation aveugle, faux positifs, dépendance à un seul contrôle).

Phrase à garder en tête : “Les attaquants industrialisent ; la défense doit s’industrialiser aussi.” L’IA n’est pas un gadget. C’est un multiplicateur d’efficacité quand elle est bien gouvernée.

Ce que juillet 2025 révèle : vitesse, volume, crédibilité

Réponse directe : les incidents marquants de l’été 2025 confirment trois constantes : le volume d’alertes explose, le temps de réaction se contracte, et l’ingénierie sociale devient plus crédible.

Même quand un récap mensuel ne détaille pas tous les cas, le schéma est connu dans les SOC : plus de tentatives, plus d’automatisation côté attaquants, et une pression accrue sur les équipes (astreintes, congés d’été, turn-over). En juillet, cette réalité est encore plus sensible : les organisations tournent parfois en effectif réduit, alors que les campagnes, elles, ne prennent pas de vacances.

Pourquoi l’IA devient “non optionnelle” dans un SOC moderne

Réponse directe : l’IA est indispensable dès qu’on doit trier, corréler et prioriser des signaux à grande échelle, sans sacrifier la qualité.

Concrètement, l’IA aide à :

• Réduire le bruit (détection d’anomalies, regroupement d’alertes similaires).
• Accélérer le triage (score de risque, enrichissement automatique d’indicateurs).
• Améliorer la cohérence (mêmes critères d’analyse, même quand l’équipe change).

Mon avis : une organisation qui s’appuie encore principalement sur des règles statiques et des analyses manuelles pour “suivre le rythme” est déjà en retard. Pas parce que les analystes sont mauvais, mais parce que le problème est devenu industriel.

Menaces et fraudes : l’IA, côté attaquants… et côté défense

Réponse directe : les tendances mensuelles mettent souvent en lumière la même tension : les attaquants utilisent l’automatisation (et parfois l’IA) pour augmenter la portée ; la défense doit utiliser l’IA pour augmenter la précision et la vitesse.

Fraudes plus crédibles : deepfakes, usurpation et “business email compromise” augmenté

Réponse directe : la fraude la plus dangereuse n’est pas la plus technique ; c’est celle qui passe les contrôles humains.

On voit de plus en plus de tentatives d’usurpation par :

• voix synthétique lors d’un appel “urgent” (validation de virement, changement de RIB) ;
• emails mieux rédigés et plus contextualisés (ton, signature, références internes) ;
• messages multi-canaux (email + SMS + Teams/WhatsApp) pour créer une pression.

Ce que l’IA peut faire côté défense (si on la branche au bon endroit) :

1. Détection d’anomalies de communication : changements soudains de style, d’horaire d’envoi, de pays de connexion, de chaîne de validation.
2. Scoring de risque transactionnel : virement inhabituel + nouveau bénéficiaire + urgence + absence d’historique = escalade automatique.
3. Assistants d’investigation : génération d’un résumé d’incident et des hypothèses probables pour accélérer la décision (sans remplacer la validation).

Ce qui marche bien dans la vraie vie : un “circuit de confirmation” non contournable (double validation, call-back sur numéro connu, seuils dynamiques). L’IA sert à déclencher ces garde-fous au bon moment, pas à “deviner” seule.

Attaques sur identités : le vrai point faible reste l’authentification

Réponse directe : dans beaucoup d’incidents, l’intrusion commence par un compte, pas par un exploit spectaculaire.

Les signaux typiques :

• connexions impossibles (voyage impossible) ;
• création de tokens, sessions persistantes, règles de transfert ;
• élévations de privilèges discrètes.

Apport IA concret : modèles d’UEBA (User and Entity Behavior Analytics) pour repérer des séquences anormales. Exemple parlant : un compte qui ne touche jamais aux paramètres de messagerie et qui, soudain, crée des règles de redirection et télécharge massivement des pièces jointes. Ce n’est pas “mystique”, c’est une série d’événements corrélés.

Mon point de vue : si votre stratégie IAM se limite à “MFA partout”, vous êtes à moitié couvert. Il faut aussi surveiller l’usage de l’identité (comportements), pas seulement sa présence.

Détection et réponse : où l’IA apporte un gain immédiat

Réponse directe : les gains les plus rapides se trouvent dans trois zones : priorisation, corrélation, réponse guidée.

1) Prioriser les alertes avec un score de risque exploitable

Un score utile combine :

• criticité de l’actif (serveur finance ≠ poste de test) ;
• exposition (internet, VPN, SaaS) ;
• probabilité (pattern proche d’incidents passés) ;
• contexte (période de congés, changements récents, nouveaux accès).

Une bonne IA ne se contente pas de dire “alerte critique”. Elle dit : “critique parce que A+B+C, et voici les 5 éléments de preuve.” C’est cette explicabilité qui fait gagner du temps.

2) Corréler les signaux pour reconstruire une attaque

Les histoires mensuelles “qui ont fait bouger l’aiguille” ont souvent un point commun : l’attaque a été visible… mais dispersée entre outils.

L’IA sert à regrouper :

• logs endpoint (EDR),
• événements identité,
• proxy/DNS,
• cloud (SaaS/IaaS),
• messagerie.

Résultat attendu : une chronologie. Pas 200 alertes.

3) Réponse guidée (SOAR + copilote) plutôt que réponse automatique totale

Automatiser, oui. Automatiser sans garde-fous, non.

Une approche robuste :

1. l’IA propose une action (isoler un poste, révoquer une session, bloquer un domaine) ;
2. elle affiche l’impact (utilisateurs concernés, services dépendants) ;
3. elle demande validation humaine au-delà d’un seuil.

“Automatiser la fermeture d’une porte, c’est bien. Automatiser la fermeture du bâtiment, ça se discute.”

Le “kit” IA minimal pour être plus résilient dès 2026

Réponse directe : si vous devez choisir, investissez d’abord dans les capacités qui réduisent le temps moyen de détection et de réaction.

Une checklist pragmatique (à adapter)

1. Télémétrie unifiée : centraliser les logs critiques (identité, endpoint, email, cloud). Sans données fiables, l’IA amplifie le flou.
2. Cas d’usage IA priorisés : commencez par 3 scénarios à fort ROI.
   • Compromission de compte (impossible travel + règles mailbox)
   • Fraude au virement (nouveau bénéficiaire + urgence)
   • Exfiltration (download massif + compression + transfert)
3. Mesures de qualité : suivez 4 chiffres, chaque mois.
   • temps de triage (MTTT)
   • temps de détection (MTTD)
   • temps de réponse (MTTR)
   • taux de faux positifs sur les 10 alertes top-volume
4. Gouvernance et sécurité de l’IA : droits d’accès, journalisation, tests de dérive, validation.

“People Also Ask” version terrain

L’IA remplace-t-elle un analyste SOC ? Non. Elle remplace surtout des tâches répétitives : regroupement, enrichissement, rédaction de premiers résumés, suggestions d’actions.

Faut-il un modèle IA sur-mesure ? Pas forcément. Dans beaucoup de cas, un bon paramétrage, des connecteurs propres et des playbooks bien conçus apportent 80% de la valeur.

Quel est le risque principal ? La surconfiance. Une IA qui se trompe vite et à grande échelle fait des dégâts. D’où l’importance d’une réponse guidée et d’audits réguliers.

Ce que j’aurais aimé voir dans chaque récap mensuel (et que vous pouvez faire en interne)

Réponse directe : le meilleur usage d’un “monthly security recap”, c’est d’en faire un exercice interne de préparation.

Prenez 45 minutes, une fois par mois, et posez ces questions :

• Si ce scénario arrive chez nous, qui est réveillé à 02h00 ?
• Quelles données nous manqueraient pour comprendre en 15 minutes ?
• Qu’est-ce qu’on pourrait automatiser sans risque ?
• Quel contrôle “simple” casserait la chaîne (MFA résistante au phishing, segmentation, durcissement email) ?

L’IA devient alors un outil au service d’un objectif clair : réduire la fenêtre d’opportunité des attaquants.

Prochaines étapes : faire de l’IA un avantage défensif (pas un projet de plus)

Les tendances de juillet 2025 rappellent une chose : la cybersécurité est un sport d’endurance, et l’été est souvent le moment où les organisations se découvrent des angles morts. L’IA en cybersécurité apporte un vrai gain quand elle est branchée sur les bons signaux, encadrée par des règles d’exploitation, et mesurée avec des métriques simples.

Si vous voulez générer des résultats rapidement, je conseille de choisir un seul flux critique (messagerie + identité, par exemple), d’implémenter 2 à 3 cas d’usage IA bien définis, puis de mesurer l’effet sur le MTTD/MTTR sur 30 jours. On apprend vite. Et on corrige vite.

La question qui compte pour 2026 : votre organisation saura-t-elle prendre une décision correcte en moins de 10 minutes, même quand l’attaque ressemble à une demande “normale” ?