IA en cybersécurité : 5 signaux forts à retenir en 2025

En 2025, la cybersécurité se joue sur des volumes. Des volumes de messages, de comptes, de journaux d’événements, de tentatives de fraude, d’identifiants volés. Quand Meta annonce avoir supprimé 6,8 millions de comptes WhatsApp liés à des centres d’arnaque sur le premier semestre 2025, le message est simple : on n’est plus dans « quelques incidents », mais dans une industrie.

Et c’est exactement pour ça que cette édition estivale du point mensuel de Tony Anscombe (ESET) mérite d’être lue comme autre chose qu’un résumé d’actualité. Ces faits divers, mis bout à bout, dessinent une tendance : les attaques s’industrialisent plus vite que les organisations ne renforcent leurs défenses. La réponse n’est pas « plus d’outils », mais mieux d’analyse, plus tôt, plus automatiquement. Autrement dit : de l’intelligence artificielle en cybersécurité, appliquée au bon endroit.

Ce qui suit : 5 signaux forts (et très concrets) observés en 2025, ce qu’ils changent pour les équipes sécurité, et comment l’IA peut aider—sans promesses marketing irréalistes.

1) Les arnaques à grande échelle : l’économie du faux devient industrielle

Point clé : la fraude par messagerie n’est plus opportuniste, elle est organisée et massive.

La suppression de 6,8 millions de comptes WhatsApp liés à des campagnes d’escroquerie montre un angle souvent sous-estimé : la surface d’attaque, ce n’est pas seulement votre SI, c’est aussi vos utilisateurs, vos clients, vos candidats, vos partenaires. Les centres d’arnaque travaillent avec des scripts, des listes, des « opérateurs », et surtout des variantes infinies de messages.

Ce que l’IA change (si on l’utilise bien)

L’IA est particulièrement utile quand le signal est faible, répétitif et volumineux. Concrètement, elle aide à :

• Détecter des patterns linguistiques (formulations, intentions, structures) au-delà des mots-clés.
• Repérer des campagnes multi-canaux (WhatsApp + SMS + email) via la corrélation d’indicateurs.
• Accélérer le tri : ce qui est « probablement du spam » vs « potentiellement une compromission ».

Mais le bon cadrage est essentiel : l’IA ne « remplace » pas la prévention. Elle réduit le temps entre apparition et détection. C’est ce délai qui fait mal, surtout pendant les périodes sensibles (fin d’année, soldes, campagnes RH de janvier) où les fraudeurs savent que tout le monde court.

Action immédiate côté entreprise

• Mettre en place un processus simple de signalement interne des arnaques (Teams/Slack + formulaire), avec tri et enrichissement.
• Créer une bibliothèque de scénarios (faux livreur, faux support, fausse RH) et entraîner vos règles/assistants de tri dessus.

2) Chiffrement et « backdoors » : la sécurité ne se négocie pas à moitié

Point clé : affaiblir le chiffrement fragilise tout le monde, pas seulement « les criminels ».

Le fait que le gouvernement britannique ait renoncé à demander une « porte dérobée » sur des données chiffrées dans le cloud illustre un débat récurrent : sécurité publique vs sécurité technique. Sur le terrain, une backdoor devient tôt ou tard :

• une cible,
• un précédent,
• un risque systémique.

Le lien direct avec l’IA en cybersécurité

On entend parfois : « Avec l’IA, on peut inspecter plus, donc on peut chiffrer moins. » Mauvaise direction. La réalité opérationnelle, c’est l’inverse : plus ça attaque, plus il faut chiffrer, et utiliser l’IA pour sécuriser autour du chiffrement, pas contre lui.

L’IA peut renforcer :

• la détection d’anomalies côté endpoints (activité inhabituelle avant exfiltration),
• la surveillance des accès (impossible travel, sessions anormales),
• l’analyse comportementale (UEBA) quand le contenu est chiffré mais les métadonnées et événements restent observables.

Phrase à retenir : le chiffrement protège les données, l’IA protège le contexte d’accès.

Action immédiate côté entreprise

• Prioriser une approche Zero Trust : identité, appareil, posture, contexte.
• Exiger une journalisation complète des accès cloud (authentification, tokens, changements de permissions).

3) Infrastructures critiques : l’eau, l’énergie, la santé n’ont pas de « mode dégradé » acceptable

Point clé : les attaques sur des installations d’eau en Europe rappellent que l’OT n’est plus « à part ».

Les attaques attribuées à des acteurs alignés Russie contre des installations d’eau (notamment en Norvège et en Pologne) remettent une évidence sur la table : les systèmes industriels ont été conçus pour la disponibilité et la sécurité physique, pas pour la menace cyber actuelle.

Là où l’IA est réellement utile en OT

Dans les environnements industriels, on ne peut pas patcher comme en IT, et on ne peut pas « tester en prod ». Ce qui marche bien :

• Détection d’anomalies de process (une séquence de commandes qui n’a jamais existé).
• Modèles qui apprennent le rythme normal (heures, cycles, volumes) et déclenchent des alertes « hors profil ».
• Corrélation entre événements IT (phishing, compromission AD) et signaux OT (changement d’état, nouvelles connexions).

L’IA n’est pas magique : elle dépend de capteurs, de journaux, de segmentation. Mais quand ces prérequis existent, elle devient un accélérateur de vigilance.

Action immédiate côté entreprise

• Segmenter OT/IT avec des règles strictes et des sauts contrôlés.
• Mettre en place une surveillance des changements (config, firmware, accès distants) avant même de viser la détection avancée.

4) Cybercriminalité transnationale : ce n’est plus « du numérique », c’est du terrain

Point clé : l’arrestation et la déportation de plus de 100 ressortissants étrangers au Nigeria, dans une opération visant un grand syndicat, rappelle que la cybercriminalité est une chaîne logistique.

On associe encore trop souvent les attaques à un « hacker isolé ». En réalité, beaucoup d’opérations sont structurées comme une entreprise : recrutement, formation, outils, supervision, blanchiment. Les centres d’arnaque et les réseaux organisés exploitent la friction : juridictions multiples, langues, plateformes.

Ce que l’IA peut apporter aux équipes sécurité

• Détection de réutilisation d’infrastructures (mêmes patterns de domaines, hébergements, certificats, kits).
• Aide à l’enrichissement automatique des alertes (qui, quoi, quand, probable mode opératoire).
• Meilleure priorisation : distinguer le bruit des signaux d’une campagne coordonnée.

J’ai vu des équipes gagner des heures chaque semaine simplement en automatisant l’étape « comprendre ce qui se passe ». C’est souvent là que les projets IA en cybersécurité produisent un ROI rapide : réduction du temps d’investigation, pas « suppression du risque ».

Action immédiate côté entreprise

• Formaliser un pipeline : collecte → normalisation → corrélation → priorisation.
• Mesurer un KPI simple : MTTD (Mean Time To Detect) et MTTR (Mean Time To Respond). Sans ça, impossible de savoir si l’IA aide.

5) Identifiants gouvernementaux en vente : la compromission d’accès devient le point de rupture

Point clé : la revente d’identifiants actifs (police, administrations) sur des forums clandestins illustre la menace la plus rentable : l’accès.

Le ransomware fait du bruit, mais l’accès volé est souvent la pièce maîtresse : il permet l’espionnage, la fraude, l’escalade de privilèges, puis éventuellement l’extorsion. Les identifiants circulent, se revendent, se testent, se combinent à des fuites anciennes.

IA + identité : la combinaison la plus sous-exploitée

L’IA excelle dans la détection de comportements « presque normaux » mais pas tout à fait :

• Connexion à 03h12 depuis un appareil jamais vu.
• Multiples échecs puis succès depuis un ASN inhabituel.
• Création de règles de transfert email, changements de MFA, consentements OAuth suspects.

Dans un SOC moderne, l’IA est utile si elle sert une règle simple : tout événement d’identité à forte criticité doit être expliqué en langage clair, avec une recommandation d’action.

Action immédiate côté entreprise

• Imposer MFA résistant au phishing (passkeys, FIDO2 quand possible).
• Surveiller activement les signaux IAM : créations de comptes, élévations de privilèges, changements de politiques.

Un plan concret : où placer l’IA dans votre stratégie cyber (sans disperser le budget)

Réponse directe : placez l’IA là où vous avez trop de données et pas assez de temps humain.

Voici une approche pragmatique en 4 chantiers, fréquente chez les organisations qui passent un cap :

1. Triage d’alertes et réduction du bruit
   • Objectif : -30 à -50% d’alertes non exploitables.
2. Détection comportementale (identité, endpoint, email)
   • Objectif : détecter les compromissions avant mouvement latéral.
3. Automatisation de la réponse (SOAR léger)
   • Objectif : isoler, révoquer, bloquer en minutes, pas en heures.
4. Threat intelligence opérationnelle
   • Objectif : relier vos incidents à des campagnes et modes opératoires.

Une règle de bon sens : si votre équipe ne peut pas expliquer pourquoi l’IA a alerté, vous aurez du mal à agir vite.

Ce que ces signaux 2025 disent de 2026

On se dirige vers une cybersécurité où la bataille se joue sur la vitesse et la cohérence : vitesse de détection, cohérence des contrôles (identité, cloud, endpoints, OT), et capacité à transformer un événement en décision. Les signaux observés en 2025—fraudes massives, débats sur le chiffrement, attaques OT, criminalité structurée, revente d’accès—convergent vers un même besoin : automatiser l’analyse sans automatiser l’aveuglement.

Dans cette série « Intelligence artificielle dans la cybersécurité », je défends une position claire : l’IA apporte le plus de valeur quand elle sert la discipline (journalisation, segmentation, IAM solide) plutôt que de la remplacer.

Si vous voulez transformer ces constats en plan d’action, commencez par une question très simple à poser à votre équipe : qu’est-ce qui nous prend 2 heures aujourd’hui et devrait prendre 2 minutes demain ? C’est souvent là que l’IA devient un vrai levier.