IA en cybersécurité : leçons des attaques de 05/2025

Les attaques les plus coûteuses ne commencent presque jamais par une “faille magique”. Elles démarrent par une boîte mail, un appel au support, un identifiant réutilisé, un routeur oublié dans un placard… et une organisation qui manque de visibilité en temps réel.

En mai 2025, plusieurs signaux forts ont rappelé une réalité simple : la surface d’attaque s’étend plus vite que les équipes ne peuvent l’observer à la main. Entre des offensives visant des distributeurs britanniques, des campagnes de détournement de routeurs en fin de vie pour constituer des botnets, la hausse persistante des fraudes de type BEC, et un incident majeur chez un acteur crypto, le message est clair : la défense doit devenir plus rapide, plus “continue” — et l’IA est l’un des rares moyens d’y arriver à l’échelle.

Ce billet s’inscrit dans notre série « Intelligence artificielle dans la cybersécurité ». Mon angle est volontairement pragmatique : partir des faits marquants de mai 2025 et montrer comment l’IA peut renforcer la détection, réduire le temps de réaction, et mieux prioriser les risques.

Ce que mai 2025 dit vraiment sur les menaces

Mai 2025 illustre une tendance nette : les attaquants privilégient les chemins les plus “humains” et les actifs les plus négligés. Et ça marche, parce que ces vecteurs génèrent énormément de signaux faibles difficiles à trier.

On a vu :

• Des attaques attribuées à un groupe connu (souvent désigné sous le nom Scattered Spider) visant des entreprises de distribution, avec un risque d’extension vers d’autres zones géographiques.
• La confirmation, côté enseignes, de vols de données clients dans le cadre de perturbations opérationnelles.
• Un constat chiffré côté cyber-assurance : les compromissions de messagerie et la fraude au virement représentent 60% des sinistres de l’année précédente, avec un ransomware toujours très destructeur.
• Une alerte sur des malwares ciblant des routeurs en fin de vie pour les enrôler dans des botnets.
• Un incident coûteux dans l’écosystème crypto, avec un impact potentiel chiffré jusqu’à 400 millions de dollars.

Ce qui relie tous ces événements : la vitesse. Vitesse de propagation, vitesse de pivot, vitesse d’exploitation de la confusion. Et c’est précisément là que l’IA, bien utilisée, apporte un avantage concret.

Commerce et grande distribution : l’IA pour voir venir l’escalade

Dans les attaques contre des enseignes, l’objectif n’est pas seulement la donnée. C’est aussi l’arrêt de service (commandes en ligne interrompues, systèmes indisponibles, opérationnel sous stress). L’attaquant mise sur la pression : un incident visible, une perte de chiffre d’affaires, puis une négociation ou une exploitation secondaire.

Les signaux précoces sont là… mais noyés

Avant l’incident “public”, on retrouve souvent :

• Des tentatives de connexion inhabituelles (géolocalisation, horaires, appareils).
• Des réinitialisations de mots de passe ou de MFA.
• Des demandes au support (ingénierie sociale) pour changer un numéro, un e-mail, un facteur d’authentification.
• Des accès anormaux à des outils internes (ITSM, helpdesk, gestion d’identité).

Le problème : chaque élément pris isolément peut sembler banal. La valeur est dans la corrélation, et c’est exactement le terrain naturel du machine learning.

Ce que l’IA fait bien ici

Une approche IA solide en cybersécurité permet de :

1. Détecter l’anomalie comportementale (User & Entity Behavior Analytics) : “cet utilisateur n’agit jamais comme ça”.
2. Corréler des événements multi-sources (IAM, VPN, EDR, messagerie, helpdesk) pour identifier un scénario d’attaque.
3. Prioriser : réduire 10 000 alertes à 10 investigations pertinentes.

Une phrase que je répète souvent : l’IA ne remplace pas l’équipe SOC, elle remplace surtout le bruit.

Action immédiate (sans projet pharaonique)

• Centralisez les logs d’identité (SSO, MFA, resets) et du helpdesk.
• Définissez 5 à 10 “histoires de menace” (ex. prise de contrôle de compte) et mesurez le temps de détection.
• Utilisez des modèles pour scorer les sessions à risque (nouvel appareil + reset MFA + accès admin = priorité 1).

BEC et fraude au virement : le terrain de jeu idéal pour l’IA

Quand un assureur observe que BEC et fraude au transfert de fonds pèsent 60% des sinistres, ce n’est pas un détail. Ça signifie que, dans beaucoup d’organisations, le point faible n’est pas la techno, c’est le processus : validation des paiements, contrôle des changements d’IBAN, gouvernance des accès.

Pourquoi c’est si rentable pour les attaquants

• Faible coût : un e-mail crédible, parfois un appel.
• Faible bruit : pas besoin de déposer du malware.
• Fort rendement : un virement suffit.

Comment l’IA réduit le risque, concrètement

1. Détection d’usurpation et de style : analyse linguistique, signature rédactionnelle, incohérences (ton, formulations, urgence inhabituelle).
2. Protection contre la compromission de compte : scoring de risque en temps réel, détection d’accès impossible, changements d’artefacts (règles de transfert, boîtes partagées).
3. Analyse des flux financiers : détection d’anomalies de paiement (montant, bénéficiaire, fréquence, nouvelle banque).

Ce qui marche particulièrement bien : lier l’IA “messagerie” à l’IA “comptabilité/ERP”. Un e-mail demande un changement d’IBAN ? Le modèle doit aussi regarder : “ce fournisseur a-t-il déjà été payé sur ce compte ?”, “ce RIB est-il nouveau ?”, “le timing colle-t-il avec le cycle habituel ?”.

Check-list anti-BEC (orientée entreprise)

• Double validation hors e-mail (appel sur numéro connu, portail fournisseur).
• Blocage/alerte sur création de règles de redirection et forwarding.
• Politique stricte sur changements d’IBAN : délai, contrôle, traçabilité.
• Modèle IA de “paiement atypique” pour alerter avant l’exécution.

Routeurs en fin de vie et botnets : l’IA au service de l’hygiène réseau

Les routeurs end-of-life (EoL) sont une bombe à retardement : plus de correctifs, souvent exposés, parfois avec des identifiants par défaut ou des services ouverts “par confort”. Les campagnes visant ces équipements cherchent à les enrôler dans un botnet pour :

• Lancer des attaques DDoS
• Servir de relais (proxy) pour masquer l’origine
• Héberger ou distribuer des charges malveillantes

Ce que l’IA apporte dans la supervision réseau

La plupart des entreprises sous-estiment ce point : vous n’avez pas besoin d’une vulnérabilité zero-day si l’actif est déjà obsolète.

L’IA aide à :

• Découvrir les actifs (device discovery) et repérer les équipements “fantômes”.
• Classifier ce qui est critique et ce qui est remplaçable.
• Détecter des patterns botnet : pics de connexions sortantes, DNS anormal, communications vers des infrastructures suspectes.

Une méthode simple pour réduire l’exposition en 30 jours

1. Inventaire : “quels routeurs, où, quel firmware, quelle fin de support ?”
2. Segmentation : isoler ces équipements et limiter les flux sortants.
3. Remplacement planifié : prioriser les sites les plus exposés.
4. Détection : modèle d’anomalie sur trafic sortant + alertes sur nouveaux domaines.

Incident crypto et coûts : l’IA comme outil de réduction du « temps cher »

Un coût annoncé pouvant aller jusqu’à 400 millions de dollars rappelle un point que beaucoup découvrent trop tard : l’incident a un prix avant même la rançon ou le remboursement.

• Heures perdues (IT, juridique, com, direction)
• Interruption d’activité
• Réponse à incident et forensique
• Réassurance clients et contrôle régulateur

Là où l’IA pèse vraiment sur la facture

L’IA n’efface pas un incident. Elle réduit deux métriques qui font exploser le coût :

• MTTD (Mean Time To Detect) : temps moyen de détection
• MTTR (Mean Time To Respond/Recover) : temps moyen de réponse/rétablissement

Une détection plus rapide limite : l’exfiltration, la latéralisation, la compromission d’autres comptes, et les effets dominos.

Mon point de vue : si votre “IA sécurité” ne se traduit pas en baisse mesurable du MTTD/MTTR, vous avez acheté un outil, pas une capacité.

Mettre l’IA au bon endroit : un plan d’action orienté leads (et utile)

Beaucoup d’entreprises démarrent par “acheter une brique IA”. Mauvais réflexe. Commencez par 3 cas d’usage où l’IA est naturellement forte et où vos données sont déjà disponibles.

1) Détection d’anomalies d’identité (priorité n°1)

• Sources : SSO, MFA, VPN, EDR, logs cloud.
• Objectif : repérer la prise de contrôle de compte et l’escalade.
• KPI : réduction du temps entre anomalie et investigation.

2) Protection messagerie contre BEC (priorité n°2)

• Sources : e-mail, calendrier, règles de boîte, CRM.
• Objectif : stopper l’usurpation et la fraude au virement.
• KPI : taux d’e-mails BEC bloqués + réduction des “presque incidents”.

3) Détection réseau et actifs oubliés (priorité n°3)

• Sources : NetFlow/DNS/Proxy, inventaire, scan interne.
• Objectif : repérer botnets et routeurs EoL.
• KPI : nombre d’actifs EoL retirés + réduction des flux suspects.

Si vous ne deviez retenir qu’une règle : l’IA donne de la valeur quand elle s’appuie sur des données propres et des décisions claires (bloquer, isoler, exiger une validation).

Questions fréquentes (et réponses franches)

“Est-ce que l’IA suffit contre des groupes organisés ?”

Non. L’IA améliore la détection et la priorisation, mais sans segmentation, MFA robuste, sauvegardes, et procédures de validation, vous restez vulnérable.

“Est-ce que l’IA augmente les faux positifs ?”

Mal configurée, oui. Bien déployée, elle fait l’inverse : elle réduit le bruit en apprenant ce qui est “normal” chez vous.

“Par quoi démarrer si on a une petite équipe ?”

Identité + messagerie. C’est là que vous bloquez une grande partie des scénarios BEC et des prises de contrôle, avec un effort raisonnable.

La vraie leçon de mai 2025 : apprendre plus vite que l’attaquant

Les événements marquants de mai 2025 pointent tous vers la même exigence : la sécurité doit apprendre en continu. Les attaquants s’adaptent chaque semaine. Les organisations qui se contentent d’audits trimestriels ou de règles figées se retrouvent à courir derrière.

L’IA en cybersécurité n’est pas une promesse abstraite. C’est une manière de rendre votre défense vivante : observer, corréler, décider. Si vous cherchez un premier pas concret, choisissez un cas d’usage (identité, BEC, actifs EoL), fixez un KPI (MTTD/MTTR), et itérez.

La question à se poser pour 2026 est simple : votre sécurité apprend-elle au rythme des attaques, ou au rythme de vos comités ?