IA en cybersécurité : 5 alertes à transformer en actions

Les cyberattaques ne se contentent plus de « passer » une fois par trimestre : elles s’enchaînent, se répondent et s’industrialisent. En mai 2025, plusieurs signaux forts l’ont rappelé : des attaques contre des enseignes britanniques, des routeurs en fin de vie enrôlés en botnets, une facture potentielle de 400 millions de dollars après un incident, et une explosion continue des fraudes au virement.

Voici ce que je retiens, avec un angle très concret pour notre série « Intelligence artificielle dans la cybersécurité » : les récapitulatifs mensuels d’experts sont précieux… mais ils arrivent après coup. L’IA, elle, peut transformer ces enseignements en détection en temps réel, en prévention automatisée, et en réduction mesurable du risque.

Ce billet reprend cinq sujets marquants du mois et les convertit en un plan d’action : quoi surveiller, quoi automatiser, et où l’humain doit rester aux commandes.

1) Attaques « retail » : la vraie cible, c’est l’identité

Le point central derrière les vagues d’attaques qui ont touché des distributeurs (et l’alerte sur le déplacement de groupes vers de nouvelles zones géographiques), c’est rarement « un serveur non patché » en premier. La porte d’entrée la plus rentable reste l’identité : comptes employés, prestataires, support, accès VPN, outils SaaS, services d’assistance.

L’IA est particulièrement utile ici parce qu’elle sait repérer les comportements anormaux dans un bruit énorme : connexions inhabituelles, impossible travel, création de jetons suspects, escalades de privilèges, modifications de règles de messagerie, etc. Un SOC humain peut le faire… mais pas à l’échelle, ni à la seconde.

Ce que l’IA détecte mieux (si elle est bien alimentée)

• Anomalies d’authentification : nouveaux appareils, horaires atypiques, géolocalisation incohérente
• Séquences d’attaque : une connexion réussie suivie d’un export massif, puis d’une tentative d’accès à une console admin
• Détournements de session : cookies/token réutilisés depuis un contexte différent

Action immédiate (côté organisation)

1. Imposer MFA résistante au phishing (passkeys/FIDO2) sur les comptes à privilèges et le support.
2. Mettre une politique « least privilege » réelle : droits temporaires, just-in-time admin.
3. Activer une surveillance IA centrée sur l’identité (UEBA/ITDR), avec des réponses automatisées graduées.

Phrase à garder en tête : si vos identités ne sont pas protégées, votre réseau n’est qu’un décor.

2) Données clients exfiltrées : l’IA doit servir la prévention, pas seulement l’enquête

Lorsqu’une entreprise confirme un vol de données clients, le public retient « fuite ». Les équipes sécurité, elles, devraient retenir deux choses : où l’attaquant a trouvé la donnée, et pourquoi il a pu l’exfiltrer sans déclencher d’alarme.

La difficulté en 2025 : la donnée est partout. CRM, plateformes e-commerce, tickets support, exports Excel, environnements cloud, sauvegardes, outils marketing. La prévention ne peut pas dépendre d’un audit annuel.

Comment l’IA aide réellement sur l’exfiltration

• Classification automatique (PII, données de paiement, identifiants) pour savoir ce qui est sensible avant l’incident
• Détection de mouvements anormaux : volumes, destinations, formats (ZIP chiffrés, archives fractionnées)
• Corrélation multi-sources : endpoint + proxy + CASB + journaux cloud

Checklist « prête à déployer »

• Mettre des règles de Data Loss Prevention (DLP) là où c’est utile : exports CRM, partages externes, stockage cloud.
• Définir un seuil d’exfiltration (par type de donnée) et des alertes basées sur comportement.
• Automatiser des réponses : quarantaine de session, blocage de partage externe, rotation de clés, invalidation de tokens.

3) BEC et fraude au virement : 60% des sinistres, donc 60% des efforts

Les chiffres d’assurance cyber publiés sur les sinistres 2024 sont un rappel brutal : les compromissions de messagerie (BEC) et la fraude au transfert de fonds (FTF) représentent 60% des déclarations. Beaucoup d’entreprises continuent pourtant d’investir surtout sur le ransomware, parce que c’est ce qui fait peur.

Je suis assez tranché là-dessus : si vous n’avez pas un programme anti-BEC solide, vous financez l’attaquant à crédit.

Pourquoi l’IA est décisive sur le BEC

Le BEC joue sur la psychologie, le timing et la crédibilité. Les signaux sont subtils : une tournure de phrase, une urgence artificielle, un changement d’IBAN, un fournisseur « pressé ». L’IA (NLP + modèles de risque) peut :

• détecter des patterns linguistiques de pression ou d’usurpation
• repérer des dérives de conversation (nouvel interlocuteur, fil transféré, domaine ressemblant)
• scorer les demandes de paiement selon contexte (montant, historique, fournisseur, urgence)

Mesures prioritaires anti-fraude (simple, mais non négociable)

1. Processus de paiement en deux canaux : si l’email demande un changement bancaire, validation par appel sur numéro connu.
2. DMARC/DKIM/SPF correctement configurés (et monitorés), pour réduire l’usurpation de domaine.
3. Détection IA + règles : alerter sur mots-clés (« urgent », « confidentiel », « nouveau RIB »), pièces jointes atypiques, redirections.
4. Formation courte et régulière : 10 minutes/mois valent mieux qu’une journée/an.

4) Routeurs en fin de vie : l’angle mort parfait pour les botnets

Les alertes sur des malwares ciblant des routeurs end-of-life ne sont pas un détail technique. C’est l’archétype du risque « silencieux » : un équipement fonctionne, donc personne n’y touche… jusqu’au jour où il sert de relais à une attaque, ou de passerelle vers votre SI.

En décembre 2025, le contexte est encore plus sensible : télétravail hybride, sites secondaires, prestataires, IoT, petites agences. Les parcs réseaux deviennent hétérogènes, et l’inventaire n’est pas toujours à jour.

Où l’IA apporte de la valeur sur le réseau

• Découverte d’actifs et détection d’équipements non gérés via analyse du trafic
• Détection d’anomalies réseau : DNS suspect, connexions C2, scans latéraux, pics de trafic sortant
• Priorisation du risque : un routeur EOL exposé n’a pas la même criticité s’il est isolé… ou en frontal d’un site

Politique « EOL » qui évite les mauvaises surprises

• Tenir une liste des équipements EOL/EOS et une date de remplacement.
• Bloquer l’administration depuis Internet, imposer VPN, segmenter.
• Surveiller le trafic sortant : un routeur compromis « parle » souvent plus qu’on ne le croit.

5) L’addition peut atteindre 400 M$ : l’IA doit réduire le coût total d’incident

Quand une entreprise anticipe une facture d’incident pouvant aller jusqu’à 400 millions de dollars, ce n’est pas seulement une histoire de sécurité. C’est un sujet de direction générale : continuité d’activité, confiance client, régulateurs, coûts juridiques, opérations, communication.

L’IA n’empêche pas tout. En revanche, elle peut faire gagner ce qui manque le plus pendant une crise : du temps. Et en cybersécurité, le temps se convertit directement en coût.

Les 4 endroits où l’IA fait baisser la facture

1. MTTD (temps de détection) : corrélation d’événements à grande échelle.
2. MTTR (temps de réponse) : playbooks automatiques (isolement poste, blocage compte, révocation token).
3. Tri d’alertes : réduction du bruit, focus sur les chaînes d’attaque plausibles.
4. Forensique assistée : regroupement d’artefacts, chronologie, hypothèses testables plus vite.

Une règle simple : l’IA qui n’est pas reliée à une action n’est qu’un tableau de bord.

Mettre l’IA au bon endroit : une approche pragmatique en 30 jours

Beaucoup d’équipes veulent « faire de l’IA ». La bonne question est plutôt : où l’IA peut-elle réduire mon risque cette semaine ? Voici un plan réaliste sur 30 jours, inspiré directement des menaces observées.

Semaine 1 : identité et messagerie

• Prioriser les comptes à privilèges et le support
• Déployer MFA résistante au phishing
• Activer détection IA sur connexions et règles de messagerie

Semaine 2 : paiements et anti-BEC

• Cartographier le processus de changement de coordonnées bancaires
• Mettre un contrôle « deux canaux »
• Définir un scoring IA des emails à risque et une procédure d’escalade

Semaine 3 : exposition EOL et réseau

• Inventaire des routeurs et versions
• Plan de remplacement EOL
• Détection d’anomalies réseau (DNS, C2, volumes sortants)

Semaine 4 : réponse à incident pilotée par scénarios

• Écrire 3 playbooks : compromission compte, exfiltration, fraude au virement
• Tester un exercice de crise (90 minutes)
• Mesurer MTTD/MTTR avant et après automatisation

Questions fréquentes (et réponses franches)

« Est-ce que l’IA remplace l’analyste SOC ? »

Non. Elle remplace surtout les tâches répétitives : tri, corrélation, enrichissement. L’analyste garde la décision, l’enquête, et la stratégie.

« Par quoi commencer si on a peu de ressources ? »

Par BEC + identité. Parce que c’est là que se trouve la fréquence (fraude) et l’impact (accès aux systèmes).

« Quel est le risque principal avec l’IA en sécurité ? »

Le risque n°1, c’est l’illusion de protection : acheter un outil IA, le laisser en mode « observation », et ne rien automatiser. Le risque n°2 : alimenter l’IA avec des logs incomplets ou de mauvaise qualité.

Ce que je retiens pour décembre 2025

Les signaux de mai 2025 dessinent une trajectoire très nette : les attaquants misent sur l’identité, la fraude, et les angles morts techniques (EOL). Les récapitulatifs d’experts restent essentiels pour comprendre les tendances, mais une posture de sécurité efficace exige une couche de détection et réponse augmentées par l’IA, en continu.

Si vous voulez générer des leads, réduire les sinistres et tenir face à des attaques industrialisées, l’étape suivante est simple : choisissez un cas d’usage mesurable (BEC, identité, exfiltration), connectez l’IA à des actions (playbooks), puis mesurez MTTD/MTTR sur 30 jours.

Et vous, sur quel point votre organisation perd-elle le plus de temps aujourd’hui : la détection, le tri des alertes, ou la validation des paiements ?