Rapport APT 2025 : comment l’IA détecte l’invisible

Intelligence artificielle dans la cybersécurité••By 3L3C

Analyse APT 2025 et défense : comment l’IA améliore la détection comportementale, la corrélation et la réponse pour contrer les menaces persistantes.

APTThreat IntelligenceIAXDRPhishingDĂ©tection comportementale
Share:

Featured image for Rapport APT 2025 : comment l’IA détecte l’invisible

Rapport APT 2025 : comment l’IA détecte l’invisible

En six mois (04–09/2025), les équipes de recherche ont observé un point commun à des campagnes APT pourtant très différentes : les attaquants misent sur des techniques discrètes, répétables et “industrielles”. Ce n’est pas spectaculaire. C’est précisément ce qui les rend dangereux.

Le dernier panorama d’activités APT sur Q2–Q3 2025 montre des groupes très actifs, alignés sur des intérêts géopolitiques (Chine, Iran, Corée du Nord, Russie), et une accélération de tactiques qui compliquent la vie des défenseurs : adversary-in-the-middle, spearphishing “interne”, exploitation de serveurs exposés, wipers destructifs, et même des signaux de contenu probablement généré par IA.

Dans cette série « Intelligence artificielle dans la cybersécurité », je prends ce type de rapport comme un révélateur : si votre détection repose encore surtout sur des signatures et des alertes isolées, vous jouez à cache-cache en retard d’une guerre. La réponse réaliste, c’est une défense orientée comportements, corrélation et continuité — et c’est exactement là que l’IA est utile.

Ce que le terrain APT 2025 dit vraiment aux équipes sécurité

Réponse directe : les APT gagnent quand la défense manque de contexte et de continuité. Les campagnes observées entre avril et septembre 2025 illustrent une cybermenace structurée, patiente, et multi-étapes. L’objectif n’est pas seulement d’entrer, mais de tenir, observer, puis monétiser ou détruire.

Un APT moderne ressemble rarement à “un malware qui s’exécute et c’est fini”. On voit plutôt :

  • un premier accès (phishing, serveur web exposĂ©, chaĂ®ne de confiance dĂ©tournĂ©e) ;
  • une phase de persistance (webshell, VPN, backdoor) ;
  • du mouvement latĂ©ral ;
  • une collecte ciblĂ©e (identifiants, emails, docs, messageries) ;
  • parfois une phase destructrice (wipers) ou d’extorsion indirecte.

Le détail qui compte : les attaquants savent se fondre dans vos outils (VPN, proxies, DLL, comptes mail compromis). La frontière “malveillant vs légitime” devient floue. Et plus c’est flou, plus la détection par corrélation (et donc par IA/ML) devient déterminante.

Quatre tendances concrètes à retenir

  1. Montée de l’“adversary-in-the-middle” (AitM) : utile pour voler des sessions et contourner des protections, mais aussi pour faciliter la propagation interne.
  2. Spearphishing à haut rendement : notamment quand les emails partent… d’une boîte interne déjà compromise.
  3. Compromission par services exposés : serveurs web publics, webshells, infrastructures VPN et proxy maintenues en continu.
  4. Destruction ciblée : les wipers sont pensés comme armes économiques, pas comme “gros coup” médiatique.

Des tactiques qui évoluent : pourquoi l’IA devient une nécessité

Réponse directe : l’IA est particulièrement efficace quand l’attaque ressemble à du trafic normal, mais avec de “mauvais enchaînements”. Ce rapport illustre exactement ça : les APT n’ont pas besoin d’être bruyants.

AitM et mouvement latéral : l’IA voit l’enchaînement, pas juste l’événement

Quand des groupes utilisent des techniques d’interception (adversary-in-the-middle) pour l’accès initial ou le mouvement latéral, le signal faible n’est pas forcément “un IOC”. C’est un scénario :

  • une authentification “rĂ©ussie” mais depuis un contexte inhabituel ;
  • une session qui change de gĂ©ographie/ASN ;
  • une navigation interne qui suit une logique de cartographie (accès Ă  des partages, interrogation d’annuaires, rebonds) ;
  • des actions proches de l’admin, mais au mauvais moment.

Les modèles de détection comportementale (UEBA), combinés à la corrélation SIEM/XDR, permettent de prioriser les chaînes plutôt que les alertes unitaires. Et c’est une différence énorme : un SOC peut gérer 30 alertes “basses” ; il ne peut pas rater une chaîne qui fait 12 signaux faibles cohérents.

Phrase à garder en tête : une APT passe souvent “sous les seuils”, mais rarement “hors scénario”.

Serveurs exposés + webshells : l’IA aide à repérer la persistance “banale”

Le ciblage de serveurs web publics et le déploiement de webshells restent un classique, notamment contre des secteurs sensibles. La difficulté, ce n’est pas d’admettre que “ça arrive”. La difficulté, c’est de le voir vite.

L’IA aide sur deux plans :

  • DĂ©tection d’anomalies applicatives : requĂŞtes rares, patterns d’URI, paramètres “trop riches”, rĂ©ponses atypiques, changements de taille de rĂ©ponse.
  • CorrĂ©lation infra : apparition d’outils de tunneling, connexions sortantes nouvelles, Ă©changes vers des infrastructures proxy/VPN.

Ce n’est pas magique : il faut des logs (reverse proxy, WAF, OS, EDR) et de la discipline. Mais avec de la télémétrie, l’IA devient un accélérateur de tri et d’enquête.

Géopolitique, secteurs ciblés, et “surface d’attaque” réelle

Réponse directe : vos risques ne sont pas abstraits ; ils suivent vos métiers, vos partenaires et vos dépendances. Le rapport met en avant des ciblages très sectoriels : administrations, ingénierie, transport maritime, santé, énergie, finance, défense, logistique, agriculture.

Ce que j’en retiens pour une organisation française ou européenne fin 2025 :

  • Les chaĂ®nes logistiques et les prestataires IT restent des portes d’entrĂ©e privilĂ©giĂ©es.
  • Les secteurs rĂ©gulĂ©s (santĂ©, Ă©nergie, finance) ont une exposition forte, parce que la disponibilitĂ© et les donnĂ©es y valent cher.
  • Les entitĂ©s en lien avec des zones de tension (Ukraine, relations UE/OTAN, projets Ă©nergĂ©tiques) doivent considĂ©rer l’APT comme un risque “business”, pas “IT”.

Quand les attaquants mélangent espionnage et sabotage

Deux profils coexistent :

  • Espionnage : long, discret, orientĂ© documents, identifiants, messageries.
  • Destruction : wipers, interruption d’activitĂ©, fragilisation Ă©conomique.

Ce mélange complique la réponse : une intrusion “silencieuse” peut devenir destructrice si elle est découverte ou si l’objectif change. D’où un impératif : détecter tôt, avant la bascule.

Spearphishing “interne”, zero-days, faux installateurs : la vraie bataille, c’est la confiance

Réponse directe : en 2025, l’attaque la plus rentable consiste à détourner vos canaux de confiance. Plusieurs éléments du rapport convergent :

  • spearphishing envoyĂ© depuis une boĂ®te interne compromise (taux de succès Ă©levĂ©) ;
  • exploitation de vulnĂ©rabilitĂ©s (y compris zero-day) pour dĂ©poser des charges utiles ;
  • usurpation de marque et installeurs trojanisĂ©s ;
  • vol d’identifiants via techniques comme le DLL search order hijacking.

Le point commun : l’attaquant ne “force” pas toujours. Il se fait inviter.

Ce que l’IA change sur l’email et l’identité

Sur l’email, la bonne approche n’est plus seulement de bloquer des pièces jointes. C’est de combiner :

  • analyse sĂ©mantique (tonalitĂ©, intention, urgence, incohĂ©rences) ;
  • analyse de graphe des relations (qui Ă©crit Ă  qui, Ă  quelle frĂ©quence, sur quels sujets) ;
  • dĂ©tection d’usurpation interne (un compte qui “parle” diffĂ©remment, ou qui contacte soudain toute une Ă©quipe) ;
  • signaux d’identitĂ© (impossible travel, MFA fatigue, changements de device, sessions anormales).

Et oui, ça suppose de traiter des sujets sensibles (vie privée, conformité). Mais on peut faire utile sans être intrusif : anonymisation, minimisation, politiques de conservation courtes, et focus sur métadonnées quand c’est pertinent.

Le twist 2025 : des indices de contenu généré par IA chez les attaquants

Le rapport décrit une campagne de spearphishing avec un style très structuré (puces, emojis) rappelant des contenus générés. Même si on ne peut pas “prouver” l’IA au seul style, une réalité s’impose : le phishing s’industrialise.

Conséquence : les défenses “à la main” (règles statiques, listes de mots) s’épuisent vite. Les modèles, eux, peuvent s’adapter… à condition d’être entraînés, évalués, et surveillés.

Plan d’action : 7 mesures “IA + fondamentaux” qui réduisent vraiment le risque APT

Réponse directe : l’IA fonctionne quand les fondamentaux sont en place — logs, hygiène IAM, segmentation, et capacité de réponse. Voilà un plan pragmatique que je recommande souvent.

  1. Centraliser la télémétrie utile : EDR + logs identité (SSO/MFA) + proxy/DNS + messagerie + serveurs exposés.
  2. Passer d’alertes à des “chaînes d’attaque” : corrélation par scénarios (accès initial → persistance → latéral → exfiltration).
  3. Déployer une détection UEBA sur les comptes à privilèges et sur la messagerie (priorité : admins, finance, RH, direction).
  4. Durcir l’exposition Internet : inventaire des actifs, patching, WAF, suppression des services inutiles, supervision des webshells.
  5. Réduire le mouvement latéral : segmentation, least privilege, bastions, contrôles sur RDP/SMB/WinRM.
  6. Automatiser les réponses “sans regret” : isolement endpoint, réinitialisation de session, blocage de token, quarantaine email.
  7. Tester la posture : exercices phishing réalistes + simulation d’APT (purple team) + validation de détection (use cases MITRE).

Une bonne boussole : si un compte interne envoie un email “urgent” avec un lien, votre détection doit se demander “est-ce bien lui ?” en moins de 60 secondes.

Questions que les décideurs posent (et les réponses qui évitent les impasses)

« Est-ce que l’IA suffit contre les APT ? »

Non. L’IA réduit le temps de détection et améliore la priorisation, mais elle ne remplace ni la gestion des correctifs, ni l’IAM, ni les procédures d’incident.

« Qu’est-ce qui donne le meilleur ROI : EDR, SIEM, ou XDR avec IA ? »

Si vous devez trancher : EDR bien opéré d’abord, puis corrélation (SIEM/XDR) et cas d’usage. L’IA apporte sa valeur quand elle a des données et des workflows.

« Comment mesurer que ça marche ? »

Trois indicateurs concrets :

  • baisse du MTTD (temps de dĂ©tection) sur scĂ©narios simulĂ©s ;
  • hausse du taux de corrĂ©lation (alertes regroupĂ©es en incidents) ;
  • baisse des faux positifs “SOC fatigue” sur les comptes critiques.

L’IA, une réponse adaptée à une menace persistante

Les activités APT observées sur Q2–Q3 2025 racontent une histoire simple : les attaquants investissent dans la durée. Ils améliorent les méthodes d’accès, consolident la persistance, et exploitent nos réflexes de confiance (email interne, installateurs, outils légitimes).

Dans la série Intelligence artificielle dans la cybersécurité, c’est un bon rappel : l’IA n’est pas un gadget, c’est un moyen de traiter ce que les humains ne peuvent pas suivre seuls — des milliers d’événements qui, pris séparément, ne disent rien, mais qui, ensemble, racontent une intrusion.

Si vous deviez choisir une prochaine étape dès cette semaine : cartographiez deux chaînes d’attaque APT plausibles pour votre organisation et validez que vos outils (avec IA ou non) les détectent de bout en bout. Ensuite seulement, posez-vous la question qui compte : qu’est-ce qui, dans notre environnement, permettrait à un attaquant de rester 30 jours sans être vu ?