Identité numérique : l’IA contre phishing et ransomware

En 2025, la frontière du SI n’est plus le réseau. C’est l’identité. Quand un attaquant obtient un identifiant, un mot de passe ou un accès privilégié, il n’a plus besoin de « casser » un pare-feu : il se connecte, comme un employé. Et ça change tout.

Les chiffres donnent le ton : en 2024, l’abus d’identifiants a été impliqué dans 22 % des violations de données. Et la collecte de mots de passe s’industrialise : 3,2 milliards d’identifiants auraient été volés en un an, dont 75 % via des infostealers (malwares spécialisés dans l’exfiltration de mots de passe et cookies). La réalité, c’est qu’une posture cybersécurité solide commence par une question simple : qui a accès à quoi, quand, et pourquoi.

Dans cette série « Intelligence artificielle dans la cybersécurité », on s’intéresse ici à un angle très concret : comment l’IA renforce la sécurité des identités (IAM), réduit la surface d’attaque liée au phishing / vishing / smishing, et limite l’impact des intrusions qui dégénèrent en ransomware.

L’identité est la nouvelle frontière (et les attaquants l’ont compris)

Point clé : si vos ressources sont dans le cloud, sur des postes nomades, via des prestataires et des API, l’identité devient le passage obligé. Les attaquants ciblent donc les identifiants, pas vos murs.

Le modèle « château et douves » a vécu. Entre SaaS, IaaS, télétravail, terminaux mobiles, accès tiers (MSP, infogérance, intégrateurs), la plupart des systèmes sont exposés… mais surtout interconnectés. Un seul compte compromis peut servir de tremplin.

C’est exactement le scénario classique des attaques modernes :

1. Vol d’identifiants (phishing/vishing, infostealer, fuite de base de mots de passe).
2. Connexion légitime (VPN, O365, portail IAM, application métier).
3. Escalade de privilèges (droits trop larges, comptes admins mal gérés).
4. Mouvement latéral vers des systèmes plus sensibles.
5. Ransomware ou exfiltration + extorsion.

« Les attaquants n’entrent plus par effraction : ils passent la porte avec un badge volé. »

Le vrai problème n’est pas seulement la compromission initiale. C’est la portée (le blast radius) rendue possible par des droits excessifs, des comptes dormants, et des identités machines non gouvernées.

Les 4 voies principales du vol d’identifiants (et pourquoi elles marchent)

Point clé : la collecte d’identifiants est rentable, scalable, et difficile à détecter si vous ne surveillez pas le comportement.

1) Infostealers : la filière industrielle

Les infostealers se propagent via phishing, faux installateurs, applications piégées, téléchargements furtifs, arnaques sur réseaux sociaux. Ils récupèrent mots de passe de navigateurs, tokens, cookies de session, parfois des portefeuilles crypto. Résultat : l’attaquant peut parfois contourner l’authentification forte en réutilisant une session.

Ce qui rend ces malwares dangereux, c’est le modèle économique : les données volées finissent en lots sur des forums, puis sont réutilisées pour du credential stuffing ou des intrusions ciblées.

2) Phishing, smishing, vishing : l’humain reste une API

Le phishing est connu, mais les campagnes sont plus ciblées. Le vishing (appel téléphonique) est particulièrement efficace contre les centres de support et les prestataires : un attaquant qui imite un cadre pressé, un nouveau salarié, ou un technicien peut obtenir une réinitialisation de mot de passe en quelques minutes.

La force de ces attaques : elles exploitent la pression, l’urgence, et les procédures trop permissives.

3) Fuites de bases de mots de passe : l’effet domino

Une fuite chez un prestataire, un sous-traitant ou une filiale suffit. Et si les mots de passe sont réutilisés (ou proches), l’attaquant teste en chaîne. C’est banal, mais c’est encore l’un des meilleurs retours sur investissement pour les groupes criminels.

4) Brute force et dérivés : stuffing, spraying, dictionnaire

Le brute force « pur » est bruyant. Mais ses variantes sont redoutables :

• Credential stuffing : test automatique de combinaisons issues de fuites.
• Password spraying : test d’une courte liste de mots de passe fréquents sur beaucoup de comptes.
• Dictionnaire : test de mots/phrases usuels et de mots de passe déjà divulgués.

Si votre politique de verrouillage, MFA et détection d’anomalies est faible, ces méthodes finissent par passer.

Pourquoi “least privilege” et la gestion des identités font gagner (ou perdre) une crise

Point clé : un compte compromis n’est pas forcément un incident majeur. Il le devient quand les privilèges et le cycle de vie des identités sont mal maîtrisés.

Deux amplificateurs reviennent dans presque tous les retours d’expérience :

Comptes sur-privilégiés : un seul vol, beaucoup de dégâts

Le principe du moindre privilège est simple : donner le minimum nécessaire, pour la durée nécessaire. Sur le terrain, je vois souvent l’inverse : droits cumulés au fil des années, groupes AD “fourre-tout”, accès admin permanents « pour gagner du temps », comptes de service jamais revus.

Résultat : l’attaquant n’a pas besoin d’être brillant. Il a juste besoin d’un compte qui « ouvre trop de portes ».

Sprawl d’identités : des angles morts partout

Le sprawl d’identités, c’est l’accumulation non gouvernée de comptes utilisateurs, comptes machines, clés API, identités cloud, robots RPA, et maintenant agents IA. Plus le SI est complexe, plus il crée des identités “oubliées” :

• comptes dormants après départ d’un salarié,
• accès de prestataires jamais coupés,
• tokens longs vécus dans des scripts,
• comptes techniques partagés.

Et une identité oubliée est une identité facile à détourner.

Ce que l’IA apporte vraiment à la sécurité des identités

Point clé : l’IA n’est pas là pour remplacer IAM/MFA/PAM. Elle sert à détecter plus tôt, corréler plus large, et prioriser plus juste.

Là où les équipes sécurité perdent du temps, c’est sur deux sujets : le volume de signaux (logs, alertes) et l’ambiguïté (activité légitime ou intrusion ?). Les approches IA, bien configurées, améliorent la précision en combinant identité + contexte + comportement.

Détection d’anomalies d’authentification (UEBA)

L’IA est forte pour repérer des écarts de comportement :

• connexions impossibles (pays/heure/vitesse),
• changement brutal de pattern (nouveaux appareils, nouveaux ASNs),
• enchaînement suspect (échec MFA puis succès, réinitialisation puis connexion),
• accès à des applications inhabituelles pour le rôle.

Ce n’est pas magique : il faut des données propres et des règles de sécurité. Mais quand c’est en place, on réduit fortement le délai entre compromission et détection.

Analyse anti-phishing plus pragmatique (email + navigation + identité)

Les filtres email classiques ne suffisent plus. L’IA peut améliorer la défense en croisant :

• similarité de domaines et d’expéditeurs,
• style linguistique et intention (ex. demande de réinitialisation, urgence),
• réputation d’URL et redirections,
• signaux d’identité (qui reçoit quoi, et quel est son niveau de risque).

Plus intéressant encore : l’IA peut pousser des contrôles adaptatifs. Exemple : si un utilisateur « à risque » clique sur un lien de réauthentification, alors imposer une MFA renforcée + vérification du poste.

Gouvernance des privilèges avec scoring de risque

L’IA peut aider à répondre à une question opérationnelle : quels accès faut-il corriger en premier ?

En pratique, on peut prioriser :

• comptes ayant des privilèges élevés + activité rare,
• chemins d’escalade (groupes, rôles cloud, droits sur coffres secrets),
• comptes de service avec tokens non rotatifs,
• prestataires avec accès persistant.

Un bon modèle ne « supprime pas des droits ». Il propose des remédiations, avec explication, et laisse un workflow de validation (IT + métiers).

Réponse accélérée via MDR et automatisation

Quand une identité est compromise, les minutes comptent. Les dispositifs MDR renforcés par IA permettent souvent de :

• isoler un poste,
• révoquer des tokens,
• forcer une réauthentification,
• suspendre un compte,
• déclencher une rotation de secrets,
• ouvrir automatiquement un incident avec les bons éléments.

Le bénéfice n’est pas “faire moins d’alertes”. C’est contenir avant la phase ransomware.

Plan d’action en 30 jours : réduire le risque “identité” sans chantier interminable

Point clé : la meilleure stratégie est multi-couches. Vous n’avez pas besoin d’un Big Bang, mais d’une trajectoire.

Semaine 1 : verrouiller l’essentiel

• Généraliser MFA (apps d’authentification ou passkeys, éviter SMS quand c’est possible).
• Imposer des mots de passe uniques + gestionnaire de mots de passe.
• Bloquer les authentifications legacy (protocoles anciens, accès non conditionnels).

Semaine 2 : nettoyer et fermer les portes oubliées

• Désactiver/supprimer les comptes dormants.
• Industrialiser le provisioning/deprovisioning (onboarding/offboarding).
• Inventorier les accès des prestataires et limiter la durée.

Semaine 3 : maîtriser les privilèges

• Mettre en place un socle PAM (accès admin « juste-à-temps », rotation des secrets).
• Retirer les droits permanents non justifiés.
• Séparer comptes nominaux et comptes d’administration.

Semaine 4 : brancher la détection “identité” et la rendre exploitable

• Centraliser les journaux d’authentification (cloud + on-prem).
• Déployer des scénarios de détection : impossible travel, password spraying, réinitialisations suspectes.
• Ajouter une couche IA/UEBA pour prioriser et réduire les faux positifs.

Objectif réaliste : passer de « on apprendra l’intrusion par le ransomware » à « on la verra au moment de la prise de pied ».

Ce que 2026 va amplifier : identités machines, IoT et agents IA

Point clé : la prochaine vague n’est pas seulement humaine. Elle est machine.

Entre IoT, workloads éphémères, API, conteneurs, automatisations et agents IA, le nombre d’identités non humaines explose. Or ces identités ont souvent des secrets statiques (tokens, clés) et des permissions larges.

La discipline à adopter dès maintenant :

• secrets courts et rotatifs,
• authentification forte pour les accès administratifs,
• inventaire continu des identités machines,
• surveillance comportementale (accès à des ressources inhabituelles).

L’IA devient alors utile non pas pour “faire joli”, mais pour corréler des milliers de micro-événements que personne ne peut lire manuellement.

Prochaine étape : passer d’une sécurité “par règles” à une sécurité “par preuves”

La cybersécurité centrée sur l’identité fonctionne quand on exige des preuves : preuve que l’utilisateur est bien lui, que l’appareil est sain, que le contexte est cohérent, et que l’accès demandé est justifié. C’est l’esprit Zero Trust : ne pas faire confiance par défaut, vérifier à chaque fois.

Si vous devez choisir un axe prioritaire pour 2026, je prends position : investissez dans la protection des identités avec une couche IA orientée détection comportementale et priorisation. Les ransomwares adorent les environnements où les comptes sont trop puissants, trop nombreux, et trop peu surveillés.

Vous voulez une approche pragmatique ? Commencez par cartographier vos identités critiques (admins, comptes de service, prestataires), branchez une détection centrée sur l’authentification, puis automatisez les réponses de base. La question qui reste, fin 2025, est simple : si un mot de passe est volé lundi à 09h12, le saurez-vous avant mardi matin ?