IA et cybersécurité : le plan d’action après novembre

Fin novembre 2025, un chiffre a fait l’effet d’une douche froide dans beaucoup d’équipes sécurité : le gang de rançongiciel Akira aurait encaissé 244 millions de dollars de rançons. Ce n’est pas “juste” une histoire de malware. C’est un rappel brut : l’économie de l’extorsion fonctionne, et elle finance des opérations de plus en plus rapides, industrielles, et difficiles à stopper.

Dans le même temps, un autre signal d’alarme est passé (presque) pour une anecdote : de grandes entreprises “AI-first” laissent fuiter des secrets (clés API, tokens, identifiants) dans leurs dépôts de code. Ça paraît banal… jusqu’au jour où un token ouvre la porte à vos données clients, à vos modèles internes, ou à votre cloud.

Cette édition de fin 2025 de notre série « Intelligence artificielle dans la cybersécurité » prend les faits marquants du point de vue opérationnel : comment l’IA aide concrètement à détecter plus tôt, répondre plus vite, et réduire l’impact — sans se raconter d’histoires. L’IA ne remplace pas une hygiène de base. Mais bien utilisée, elle donne un avantage net.

Les fuites de secrets dans GitHub : l’IA peut éviter le “pire jour”

La réponse directe : oui, l’IA peut réduire drastiquement les fuites de secrets, à condition de l’intégrer dans le cycle de développement et pas seulement en audit après-coup. Le problème, c’est la vitesse : commits, forks, CI/CD, multi-repos… L’erreur humaine finit toujours par arriver.

Quand une clé API ou un token traîne dans un dépôt, l’attaque est souvent simple :

• collecte automatique de secrets (scanners, bots),
• test des clés sur des services courants,
• escalade (accès à des buckets, à des pipelines, à des consoles),
• exfiltration discrète ou sabotage.

Ce que l’IA change vraiment (et ce qu’elle ne change pas)

J’ai constaté que beaucoup d’équipes achètent un outil de “secret scanning” et s’arrêtent là. Or, le gain majeur vient de la priorisation intelligente et de la réduction du bruit.

Un dispositif IA utile fait trois choses :

1. Détecte les secrets “non évidents” : tokens personnalisés, formats internes, clés obfusquées, secrets dans des fichiers de config générés.
2. Classe le risque : une clé expirée dans un repo privé n’a pas le même impact qu’un token actif donnant accès à la prod.
3. Orchestre la remédiation : ouverture automatique de ticket, rotation de clé, invalidation, mise à jour des variables d’environnement, vérification post-rotation.

Ce que l’IA ne fera pas à votre place : gérer votre dette de droits. Si une clé donne trop d’autorisations, l’IA peut vous le signaler, mais c’est à vous de corriger la politique (moindre privilège, séparation dev/prod, rotation).

Checklist actionnable (30 jours) pour stopper l’hémorragie

• Bloquer les secrets à la source : hooks pre-commit + scan dans CI.
• Rotation automatique (quand possible) : clés courtes durées, tokens éphémères.
• Inventaire des secrets : où vivent-ils, qui les crée, qui les consomme.
• Politique de moindre privilège : une clé = un usage, pas “admin partout”.
• Détection d’usage anormal : IA sur les logs (pics, pays inhabituels, appels API inédits).

Phrase à garder en tête : “Le secret qui fuit n’est pas un incident. C’est un incident en attente.”

Akira et l’industrialisation du rançongiciel : l’IA, oui… mais surtout l’anticipation

La réponse directe : l’IA est utile contre les rançongiciels surtout avant le chiffrement — quand il reste encore du temps pour agir. Après, c’est de la gestion de crise.

Le cas Akira (244 M$) illustre une réalité : les groupes rentables investissent dans des playbooks rodés, du support “client” cynique, et des méthodes d’intrusion répétables. Votre meilleur levier, c’est d’empêcher l’attaque d’atteindre ses étapes clés.

Là où l’IA détecte plus tôt que les règles classiques

Les défenses traditionnelles (signatures, règles statiques) ratent souvent les signaux faibles : un compte qui “bouge bizarrement”, une latéralisation qui ressemble à de l’admin légitime, un outil dual-use lancé au mauvais moment.

L’IA apporte de la valeur sur :

• analyse comportementale (UEBA) : anomalies d’authentification, usage anormal d’outils,
• corrélation multi-sources : endpoint + identité + réseau + cloud,
• détection de chaînes d’attaque : reconnaissance → accès → élévation → exfiltration → chiffrement.

Le trio anti-rançongiciel qui marche (sans magie)

1. Identité verrouillée : MFA résistant au phishing, réduction des admins permanents, PAM.
2. Sauvegardes testées : restauration chronométrée, copies immuables/isolées.
3. Détection+réponse assistées par IA : isolement automatique d’hôtes, blocage de comptes, mise en quarantaine de processus.

Si vous ne deviez mesurer qu’une chose : votre MTTR (temps moyen de réponse). L’IA sert à le faire chuter, parce qu’elle automatise le tri et propose des actions cohérentes.

Opérations de démantèlement (type Endgame) : ce que ça change côté défense

La réponse directe : les opérations de police perturbent l’écosystème, mais ne le “suppriment” pas. Les familles de malwares se réorganisent, se renommant, ou migrent vers d’autres infrastructures.

Quand une opération coordonnée vise des infostealers et RATs prolifiques, l’effet immédiat est positif (moins de campagnes, infrastructures saisies). L’effet secondaire, plus sournois : les attaquants adoptent des infrastructures plus fragmentées, du “living off the land”, et des charges utiles plus modulaires.

Comment l’IA aide à tenir après le “coup de filet”

• Suivi de TTP (techniques) plutôt que des noms de malware : l’IA détecte des patterns récurrents.
• Threat intelligence automatisée : ingestion de signaux, regroupement d’indicateurs, priorisation par votre contexte.
• Chasse aux menaces assistée : requêtes suggérées, regroupement d’événements similaires, scoring.

Un bon indicateur : votre capacité à répondre à “qu’est-ce qui ressemble à X, même si ça ne s’appelle plus X ?”. C’est exactement là que les approches ML/IA dépassent les listes d’IOC.

Fonctions de localisation et réseaux sociaux : le risque, c’est l’addition

La réponse directe : les nouvelles fonctions de localisation augmentent la surface de risque, surtout combinées à l’ingénierie sociale et à l’usurpation de compte. Ce n’est pas uniquement un sujet “vie privée”. C’est aussi un sujet de sécurité physique, de chantage, de ciblage et de fraude.

Pour une organisation, l’impact est concret :

• exposition de déplacements de dirigeants,
• repérage de sites sensibles,
• ciblage de collaborateurs en déplacement,
• social engineering plus crédible (“je sais où tu es”).

IA côté attaque, IA côté défense

Côté attaque, l’IA permet d’automatiser :

• la collecte d’indices publics (OSINT),
• la création de scénarios de phishing contextualisés,
• la génération de messages “sans fautes” à grande échelle.

Côté défense, l’IA aide à :

• détecter les usurpations de compte (connexion atypique, appareils inconnus),
• repérer les campagnes de fraude conversationnelle,
• prioriser les signalements internes (tri des alertes + recommandations).

“People also ask” : réponses claires aux questions qu’on me pose en comité

L’IA peut-elle prédire la prochaine cyberattaque ?

Elle ne “prédit” pas comme une boule de cristal. En revanche, elle anticipe en détectant des signaux faibles (anomalies, corrélations) et en identifiant des trajectoires d’attaque probables.

L’IA suffit-elle pour stopper un rançongiciel ?

Non. Sans segmentation, identité robuste et sauvegardes restaurables, l’IA ne compense pas. Elle augmente vos chances en réduisant le délai de détection et en accélérant la réponse.

Par quoi commencer si on a peu de maturité ?

Commencez par un périmètre simple : scanning de secrets + logs d’identité. C’est là que vous obtenez des gains rapides, mesurables, et utiles contre plusieurs menaces à la fois.

Le plan d’action “90 jours” pour une défense IA pragmatique

La réponse directe : le meilleur ROI IA en cybersécurité vient d’un socle propre + automatisation ciblée. Voici un plan réaliste, que j’utilise souvent comme trame.

Jours 0–30 : réduire les risques évidents

• Scan de secrets sur repos + CI/CD, avec rotation.
• MFA résistant au phishing pour les comptes critiques.
• Sauvegardes : test de restauration, preuve par le chronomètre.

Jours 31–60 : rendre l’attaque bruyante

• Centralisation des logs (endpoint, identité, cloud).
• Modèles IA/UEBA sur identité et endpoints.
• Playbooks de réponse : isolement machine, reset sessions, désactivation comptes.

Jours 61–90 : passer à la proactivité

• Threat hunting assisté par IA (requêtes et clustering).
• Table-top exercice rançongiciel : qui fait quoi, en combien de temps.
• KPI : MTTR, taux de faux positifs, temps de rotation de secrets.

Une phrase simple pour piloter : “Si on ne peut pas le mesurer, on ne peut pas l’améliorer.”

Ce que novembre 2025 nous apprend pour 2026

Les sujets remontés ce mois-ci se recoupent tous : les attaquants misent sur l’automatisation, les erreurs humaines, et les angles morts. Les fuites de secrets et les rançongiciels ne sont pas des événements isolés ; ce sont des symptômes d’organisations qui livrent vite, mais sécurisent trop tard.

L’IA dans la cybersécurité n’est pas un gadget : c’est un moyen de tenir le rythme. Elle sert à repérer l’anormal, à relier les points, et à déclencher des réponses cohérentes quand l’équipe est sous l’eau. Si votre objectif 2026 est de réduire les incidents et d’éviter la panique, la bonne question n’est pas “faut-il de l’IA ?”, mais où l’IA doit-elle s’insérer pour faire gagner du temps dès cette semaine.

Si vous deviez choisir un seul chantier maintenant : sécuriser vos secrets et vos identités. C’est là que beaucoup d’attaques commencent, et c’est là que l’IA apporte des résultats rapides. Et vous, quel est le délai maximum acceptable entre une alerte crédible… et une action de blocage ?