IA et cybersécurité : 5 signaux forts de juin 2025

Les attaques ne “montent” pas en puissance : elles changent de forme. En juin 2025, on a vu la même histoire se répéter avec des variantes très modernes : obligations de déclaration des rançons en 72 heures, deepfakes d’exécutifs en visioconférence, campagnes ciblant des secteurs précis, et un DDoS à 7,3 térabits par seconde — l’équivalent d’environ 9 000 films HD en 45 secondes.

Ce qui relie ces événements ? La vitesse. Les attaquants opèrent en minutes, parfois en secondes. Et beaucoup d’équipes cyber, même bien organisées, continuent à fonctionner “au rythme humain” : vérifications manuelles, alertes trop nombreuses, décisions tardives. C’est exactement là que l’intelligence artificielle dans la cybersécurité devient utile : pas comme un gadget, mais comme un moyen de détecter plus tôt, prioriser mieux et répondre plus vite.

Dans cette édition de notre série Intelligence artificielle dans la cybersécurité, je prends les faits marquants évoqués par Tony Anscombe (édition juin 2025) et je les traduis en leçons pratiques : ce que ça dit du paysage de menaces, et comment l’IA peut aider concrètement.

1) Paiements de rançon déclarés en 72 h : la conformité devient “temps réel”

La règle est simple : quand une organisation paie une rançon, certaines doivent désormais déclarer le paiement sous 72 heures (exemple cité : nouvelles obligations en Australie). Ce n’est pas juste un sujet juridique. C’est un révélateur : la gestion de crise cyber bascule vers une exigence de traçabilité quasi immédiate.

Ce que ça change côté opérationnel

Dans beaucoup d’entreprises, le “qui sait quoi, quand” est flou pendant un incident. Or, une obligation de déclaration courte impose de pouvoir répondre vite à des questions basiques :

• Quel système a été chiffré ?
• Quel compte a été compromis ?
• Quelles données ont pu sortir ?
• Quand a-t-on détecté l’attaque ?
• Quelles décisions ont été prises (et par qui) ?

Si ces informations sont dispersées entre tickets, emails et journaux systèmes, les 72 heures deviennent une course contre la montre.

Là où l’IA aide vraiment

L’IA n’écrit pas votre dossier réglementaire à votre place. En revanche, elle peut réduire le temps de preuve :

• Corrélation d’événements (SIEM “augmenté”) : regrouper automatiquement les logs et alertes qui appartiennent au même incident.
• Synthèse d’incident : produire un résumé exploitable (chronologie, actifs touchés, hypothèses probables) à partir de données hétérogènes.
• Priorisation : distinguer ce qui est critique (exfiltration, comptes à privilèges) du bruit.

Une bonne règle interne : si vous ne pouvez pas générer une chronologie d’incident en moins de 2 heures, vous êtes déjà en retard sur la conformité.

2) Deepfakes d’exécutifs : l’ingénierie sociale passe en “haute fidélité”

Un des signaux les plus inquiétants de juin 2025 : des acteurs alignés sur la Corée du Nord (cas BlueNoroff cité) ont utilisé des deepfakes d’exécutifs pendant des appels Zoom pour pousser des employés à installer un malware sur macOS.

Ce n’est pas une simple arnaque “mail du PDG”. C’est une mise en scène : visage, voix, contexte, pression. Et ça fonctionne parce que les entreprises continuent de traiter l’authentification humaine comme un détail.

Ce que ça révèle

• La confiance est devenue une surface d’attaque.
• Les contrôles basés sur “je reconnais la personne” ne suffisent plus.
• Les procédures d’urgence (“installe ça vite, on est en réunion”) sont un point faible structurel.

Antidote : des garde-fous non négociables

Voici ce que j’ai vu fonctionner sur le terrain, y compris dans des environnements pressés :

1. Règle de “double validation” pour toute action à risque (installation d’un outil, changement MFA, paiement, partage de secrets).
2. Canal de vérification secondaire : si la demande arrive par visio, validation par un canal distinct (messagerie interne + numéro enregistré, pas celui donné dans l’appel).
3. Blocage technique : limiter l’installation de logiciels via MDM/EDR (listes d’autorisation) — même si quelqu’un se fait manipuler.

Où l’IA apporte un avantage

• Détection comportementale côté endpoint : un utilisateur installe un binaire inhabituel juste après un appel visio, puis déclenche des actions anormales (accès Trousseau, persistance, exfiltration). L’IA excelle à repérer ces chaînes.
• Analyse de contenu (avec garde-fous) : classification automatique des demandes “sensibles” dans la messagerie interne, avec déclenchement de workflow de validation.

La réalité ? Le deepfake n’a pas besoin d’être parfait. Il doit juste être assez crédible pendant 30 secondes.

3) Scattered Spider : la menace suit les métiers, pas les pays

Le même groupe peut frapper le retail au Royaume-Uni, puis aux États‑Unis, puis se déplacer vers l’assurance. Ce schéma (mentionné pour Scattered Spider) est typique d’une cybercriminalité “orientée business” : on vise les secteurs où l’accès, la fraude et la pression économique sont favorables.

Pourquoi l’assurance est une cible logique

• Données sensibles à forte valeur (identité, santé, finance).
• Processus lourds, multi-intervenants, donc plus d’angles morts.
• Importance de la continuité de service (sinistres, indemnisations) qui augmente la pression.

Traduction pour votre stratégie de défense

Arrêtez de piloter la sécurité uniquement par listes de vulnérabilités. Il faut aussi piloter par scénarios métier :

• compromission d’un compte support,
• réinitialisation frauduleuse MFA,
• accès à un CRM/outil sinistres,
• extraction par lots,
• fraude aux paiements.

Comment l’IA renforce la détection (sans noyer l’équipe)

• UEBA (User and Entity Behavior Analytics) : détection d’écarts d’usage (horaires, volumes, séquences d’accès) sur comptes humains et comptes de service.
• Détection d’anomalies sur données : repérer une extraction “légale” en apparence mais atypique (ex. export CRM inhabituel, requêtes massives).
• Priorisation par risque : l’IA doit remonter 10 alertes actionnables, pas 10 000 alertes “à vérifier”.

Une sécurité efficace n’empêche pas tout. Elle réduit le temps entre “premier signal” et “action certaine”.

4) DDoS à 7,3 Tbps : l’échelle dépasse l’humain

Un pic à 7,3 Tbps illustre une réalité : à certaines échelles, il n’y a pas de “gestion manuelle” possible. Un DDoS massif se traite par automatisation, capacité réseau, et orchestration.

Ce que les entreprises sous-estiment

• Un DDoS n’est pas toujours “juste” une panne. Il peut être une diversion pendant une intrusion.
• Les équipes NOC/SOC peuvent s’épuiser à traiter des symptômes (latence, saturation) sans voir la cause globale.

Là où l’IA est utile (et où elle ne l’est pas)

Utile :

• Détecter tôt des signaux faibles (montée de trafic sur patterns rares).
• Recommander des actions standardisées (règles WAF, rate limiting, bascule).
• Identifier si l’événement ressemble à un scénario déjà vu (clustering de patterns).

Pas suffisant :

• L’IA ne remplace pas un fournisseur de mitigation DDoS, un CDN, ou une capacité d’absorption.

Une bonne posture en 2025 : combiner infrastructure prête (mitigation) + analyse rapide (IA) + playbooks (SOAR).

5) Rapports de menaces mensuels : l’IA transforme l’info en décisions

Les récapitulatifs mensuels et les threat reports (comme ceux évoqués par ESET) sont précieux… à condition de ne pas finir en PDF oublié. Le problème n’est pas l’absence d’information. C’est l’absence de conversion : transformer une tendance en contrôle concret.

Méthode simple : du signal à l’action (en 30 jours)

Voici un cycle que j’aime bien, réaliste pour une DSI ou un RSSI :

1. Sélectionner 3 tendances maximum (ex. deepfakes en visio, macOS ciblé, DDoS record).
2. Pour chaque tendance, définir :
   • l’actif critique concerné,
   • le scénario d’attaque,
   • le contrôle à vérifier.
3. Tester (exercice table-top + test technique) sous 30 jours.
4. Industrialiser : règle EDR, durcissement, procédure, formation ciblée.

Comment l’IA accélère ce cycle

• Extraction de thèmes : résumer et catégoriser automatiquement les tendances (techniques, secteurs, vecteurs).
• Mapping automatique vers votre référentiel (MITRE, contrôles internes) pour créer une backlog.
• Mesure d’exposition : recherche dans vos logs pour savoir si vous observez déjà des indicateurs compatibles.

Le bénéfice est concret : moins de réunions “threat intel” et plus de changements mesurables dans l’environnement.

Questions que vos équipes vont poser (et les réponses utiles)

“Est-ce que l’IA remplace le SOC ?”

Non. Elle réduit le volume d’analyse et augmente la vitesse, mais elle ne remplace ni la responsabilité, ni la connaissance de votre SI, ni la décision en contexte.

“Quel est le premier cas d’usage IA à déployer ?”

Celui qui élimine la douleur quotidienne : triage d’alertes + corrélation + résumé d’incident. C’est souvent là que le ROI apparaît le plus vite.

“Comment éviter que l’IA crée de nouveaux risques ?”

En posant des limites claires :

• données sensibles masquées,
• journalisation des décisions,
• modèles gouvernés (droits, validation, audit),
• pas d’actions automatiques irréversibles sans contrôle.

Ce que juin 2025 dit clairement sur la cybersécurité en 2026

Les signaux de juin 2025 convergent : la menace est rapide, ciblée et de plus en plus crédible socialement. Entre les obligations de déclaration en 72 heures, l’essor des deepfakes opérationnels, les attaques sectorielles et les DDoS extrêmes, la défense “à l’ancienne” devient trop lente.

L’IA en cybersécurité n’est pas une promesse abstraite : c’est un moyen pragmatique de passer d’une sécurité réactive à une sécurité pilotée par le risque, capable d’absorber le volume, d’accélérer l’analyse et d’aider les équipes à décider.

Si vous deviez choisir une seule prochaine étape avant fin 2025 : prenez un incident récent (même mineur) et demandez-vous combien de temps il vous a fallu pour produire une chronologie fiable. Puis outillez ce point précis avec de l’automatisation et de l’IA. La question qui compte pour 2026 n’est pas “aurez-vous une attaque ?”, mais “à quelle vitesse saurez-vous ce qui se passe ?”.