IA et attaques APT : détecter plus tôt, répondre mieux

Un chiffre met tout le monde d’accord côté défense : la plupart des intrusions sérieuses sont détectées trop tard. Pas parce que les équipes sont mauvaises. Parce que les attaques APT (menaces persistantes avancées) sont conçues pour ressembler à du bruit de fond : une connexion “presque” normale, un compte “presque” légitime, un outil “presque” administratif.

Le rapport d’activité APT couvrant Q4 2024 à Q1 2025 (octobre 2024 à mars 2025) publié par les chercheurs d’ESET rappelle une réalité simple : les groupes APT restent actifs, patients et très ciblés, avec des objectifs allant de l’espionnage à la destruction de données, en passant par le gain financier. Ce n’est pas une vague menace abstraite. C’est une pression continue sur les organisations, y compris en Europe.

Dans cette série « Intelligence artificielle dans la cybersécurité », je défends une idée claire : si vous traitez les APT avec des méthodes 100% “règles et signatures”, vous jouez en défense avec un temps de retard. L’IA n’est pas une baguette magique, mais c’est l’approche la plus pragmatique aujourd’hui pour détecter les signaux faibles, prioriser, et accélérer la réponse quand l’adversaire sait se cacher.

Ce que les APT changent vraiment (et pourquoi l’IA devient indispensable)

Les APT ne gagnent pas en “force brute”, elles gagnent en discrétion et en adaptation. Le cœur du problème, c’est que beaucoup de contrôles de sécurité classiques reposent sur une hypothèse implicite : “si c’est connu, on bloque”. Or, les APT excellent dans le pas tout à fait connu.

Le rapport ESET sur Q4 2024–Q1 2025 met l’accent sur trois constantes :

• Des campagnes longues, avec des phases de repérage, de latéralisation, puis d’actions ciblées.
• Un ciblage géographique et sectoriel : les groupes choisissent leurs terrains, leurs chaînes d’approvisionnement, leurs périodes.
• Des objectifs variés : espionnage, sabotage, vol, parfois destruction.

L’IA intervient précisément là où l’humain et la règle statique plafonnent : repérer des écarts subtils dans des volumes massifs d’événements, et relier des signaux faibles entre eux.

Une phrase que j’utilise souvent en atelier SOC : « Les APT ne font pas “plus de logs”, elles font de meilleurs écarts. » L’IA aide à voir ces écarts.

APT : le “qui, où, comment” est une donnée défensive

Comprendre qui attaque, où et comment n’est pas seulement “intéressant” : c’est une entrée pour construire une posture défensive plus intelligente.

• Qui : style opératoire, outils préférés, objectifs habituels.
• Où : zones et secteurs privilégiés, mais aussi opportunités liées à des événements (conflits, élections, tensions économiques).
• Comment : chaînes d’attaque, tactiques de persistance, mouvements latéraux.

L’IA transforme ces éléments en quelque chose d’exploitable : scoring de risque, détection comportementale, et anticipation via des modèles entraînés sur de grands historiques.

Techniques APT : là où la détection “comportementale” fait la différence

Les APT utilisent souvent des techniques qui ne sont pas intrinsèquement malveillantes. Elles “empruntent” des outils légitimes : PowerShell, WMI, RDP, scripts, comptes de service, accès VPN… Sur le papier, tout peut sembler conforme.

Ce qui trahit l’attaque, c’est le contexte et la séquence.

Exemple concret : l’administration système utilisée comme camouflage

Scénario typique (et terriblement efficace) :

1. Un compte valide se connecte à une heure inhabituelle.
2. Il exécute un script “admin” rarement utilisé.
3. Il consulte des partages réseau sensibles qu’il n’ouvre jamais.
4. Il déclenche une authentification vers une machine où il ne va jamais.

Aucune étape n’est forcément “bloquable” par signature. La combinaison, elle, est anormale.

Là, une approche IA (ou plus largement ML) aide sur trois axes :

• Détection d’anomalies : écarts par rapport aux habitudes d’un compte, d’un poste, d’une équipe.
• Analyse de séquence : enchaînements d’événements “banals” mais suspects une fois corrélés.
• Priorisation : remonter au SOC les 1% d’événements qui méritent une enquête immédiate.

Le vrai enjeu : le temps, pas la perfection

On attend parfois de la détection “intelligente” qu’elle soit parfaite. Mauvais objectif.

Pour une APT, gagner 48h sur la détection peut suffire à :

• empêcher l’élévation de privilèges,
• casser le mouvement latéral,
• éviter l’exfiltration massive,
• réduire drastiquement l’impact si une phase destructrice démarre.

L’IA est surtout une machine à réduire le délai de détection et à accélérer la qualification.

De la détection à la prédiction : ce que l’IA apporte en 2025

En 2025, l’IA en cybersécurité n’est plus seulement un “radar”. Elle devient un copilote. Le rapport APT (Q4 2024–Q1 2025) montre un paysage d’attaques actif et multi-objectifs. Dans ce contexte, l’IA utile n’est pas celle qui “fait joli” sur une présentation, mais celle qui aide à décider vite.

1) Modéliser le risque à partir de votre exposition réelle

Une organisation n’a pas besoin d’une peur générique des APT. Elle a besoin d’un modèle de risque concret.

L’IA peut aider à croiser :

• la surface d’attaque (identités, endpoints, cloud, VPN, messagerie),
• les actifs critiques (AD, ERP, secrets industriels, données perso),
• les comportements “normaux” observés,
• et les signaux de campagnes (tactiques déjà vues, infrastructure suspecte, patterns de phishing).

Résultat attendu : des priorités actionnables, pas une liste interminable d’alertes.

2) Automatiser la réponse… sans automatiser la catastrophe

L’automatisation est tentante : isoler un poste, révoquer un token, bloquer un domaine, désactiver un compte.

Mon avis : automatiser oui, mais avec des garde-fous. En pratique, on obtient de bons résultats avec une approche “semi-automatique” :

• l’IA propose une action (avec justification),
• un humain valide sur les incidents à fort impact,
• l’automatisation totale s’applique sur des cas à faible risque (IoC confirmés, malwares évidents, machines de test).

Pour les APT, cette discipline évite de couper la prod sur un faux positif, tout en gagnant du temps sur les cas évidents.

3) Exploiter l’IA générative pour l’investigation (le bon usage)

L’IA générative est utile quand elle sert à :

• résumer une chronologie d’incident,
• transformer des logs hétérogènes en récit d’investigation,
• proposer des hypothèses (“si A puis B, vérifier C”),
• aider à rédiger un rapport d’incident clair pour la direction.

Elle n’est pas fiable si on lui demande de “deviner” une attribution APT. On l’utilise comme accélérateur d’analyse, pas comme juge.

Mettre en place une défense IA contre les APT : plan concret (30-60-90 jours)

Le meilleur moment pour se préparer, c’est avant l’incident. Et en décembre, beaucoup d’équipes IT tournent en effectif réduit : c’est précisément une période où les attaquants tentent leur chance. Voici un plan réaliste, orienté résultats.

30 jours : rendre vos données de sécurité “IA-ready”

Objectif : alimenter correctement vos moteurs de détection.

• Normaliser les logs (endpoint, identité, VPN, messagerie, cloud).
• Garantir la qualité : horodatage cohérent, champs stables, rétention suffisante.
• Définir 10–15 “événements pivots” (création de compte admin, MFA désactivé, nouvelle clé API, exécution script rare, etc.).

60 jours : passer à la détection comportementale sur 3 cas APT fréquents

Objectif : produire des alertes qui mènent à de vraies enquêtes.

Choisissez 3 cas d’usage à fort rendement :

1. Anomalies d’identité : connexions impossibles, MFA contourné, tokens inhabituels.
2. Mouvement latéral : RDP/SMB/WMI hors norme, sauts de machines atypiques.
3. Exfiltration discrète : volumes sortants, destinations nouvelles, compression/archivage étrange.

Mesurez : temps de détection, taux de faux positifs, temps de triage.

90 jours : industrialiser la réponse et tester le pire

Objectif : réduire l’impact en cas de vrai scénario APT.

• Playbooks de réponse (isolement endpoint, reset comptes, rotation secrets).
• Simulations : phishing ciblé, compromission d’un compte de service, exfiltration.
• Table-top “destruction de données” (oui, même si c’est inconfortable).

Une APT ne se contente pas de “voler des données”. Certaines cherchent à briser la confiance et à paralyser.

Questions qu’on me pose souvent sur l’IA et les APT

“L’IA remplace-t-elle un SOC ?”

Non. Elle remplace surtout des heures de tri, et elle améliore la cohérence de la détection. Mais l’enquête, le contexte métier, et la décision restent humains.

“Est-ce que l’IA augmente le risque (données, conformité) ?”

Ça dépend du déploiement. Une IA bien gouvernée (journalisation, contrôle d’accès, minimisation des données, chiffrement) est compatible avec des exigences fortes. Le risque vient des déploiements “shadow”, non cadrés.

“Quels signaux montrent qu’on a besoin d’IA maintenant ?”

Trois signaux simples :

• trop d’alertes et pas assez d’enquêtes,
• des incidents découverts par un tiers (client, partenaire, CERT),
• une surface cloud/identités qui grandit plus vite que l’équipe sécurité.

La réalité 2025 : les APT s’adaptent, votre défense aussi

Le rapport APT Q4 2024–Q1 2025 rappelle que la menace est persistante, structurée, et opportuniste. Attendre “l’attaque visible” est une stratégie perdante. Ce qui marche, c’est d’investir dans une défense capable de repérer l’inhabituel avant qu’il ne devienne catastrophique.

Si vous ne deviez retenir qu’une idée de cette étape de la série « Intelligence artificielle dans la cybersécurité » : l’IA est la meilleure façon de transformer la connaissance des APT (qui/où/comment) en décisions rapides et mesurables.

Si vous voulez passer de la théorie à un plan opérationnel, commencez petit : 3 cas d’usage, des métriques claires, et une réponse progressive. Une question guide bien la suite : dans votre organisation, quel événement “presque normal” vous coûterait le plus cher s’il était en fait le début d’une intrusion APT ?