L’IA accélère les cyberattaques et force les organisations à repenser leur résilience

Les attaques n’attendent plus que votre plan de prévention soit parfait. Avec l’IA, la menace change de nature, accélère, se duplique, et touche autant la technique que la confiance, via l’automatisation et la génération de contenus crédibles. Dans ce contexte, l’idée de tout empêcher perd du terrain au profit d’un objectif plus opérationnel, absorber le choc, reprendre vite, continuer à servir clients et salariés.

Cette bascule se voit dans les priorités des équipes cyber, qui sortent du seul périmètre protection pour entrer dans la gouvernance et la continuité. Le sujet dépasse la conformité, même si des cadres comme NIS2 pèsent en toile de fond. Le mot qui revient est simple, résilience, avec un impératif très concret, savoir redémarrer après une attaque, plutôt que parier sur une invulnérabilité qui n’existe pas.

Laurent Gelu alerte sur l’IA qui accélère l’échelle des attaques

Le constat porté par Laurent Gelu, responsable cyber et résilience chez Kyndryl, est d’abord un changement de rythme. L’IA ne se contente pas d’ajouter un outil de plus dans l’arsenal offensif, elle modifie la vitesse et l’échelle des attaques. L’automatisation permet de tester plus d’angles, plus vite, sur plus de cibles, sans forcément augmenter le nombre d’attaquants humains.

Dans cette logique, la cybersécurité cesse d’être un exercice où l’on espère fermer toutes les portes. Les approches défensives classiques montrent leurs limites quand la surface d’attaque grandit et que les scénarios se multiplient. La priorité devient la capacité à encaisser, isoler, restaurer. C’est moins spectaculaire qu’un nouveau pare-feu, mais c’est la différence entre un incident contenu et une activité à l’arrêt.

Ce déplacement est aussi organisationnel. Les équipes cyber ne restent plus cantonnées à la protection des systèmes, elles interviennent dans la gouvernance des usages de l’IA. Pourquoi elles, et pas seulement l’IT ou la data, parce qu’elles ont une vision des risques et des chemins d’attaque que d’autres équipes n’ont pas. Et quand les métiers lancent leurs propres initiatives, la visibilité devient le nerf de la guerre.

La nuance, c’est que parler de résilience ne doit pas servir d’excuse à relâcher la prévention. Préparer la reprise ne remplace pas l’hygiène de base, segmentation, sauvegardes, contrôle des accès. Mais le message est clair, même avec une prévention solide, l’attaque peut passer. Donc l’organisation doit être prête à redémarrer rapidement, avec des décisions pré-écrites et des responsabilités déjà attribuées.

Inventaire des usages IA: la visibilité devient la première mesure de sécurité

Avant de sécuriser l’IA, encore faut-il savoir où elle est utilisée. La multiplication des initiatives portées par les métiers change la donne, un service client teste un assistant, une équipe RH expérimente un outil, un service achats automatise des synthèses. La recommandation mise en avant est pragmatique, faire un inventaire des usages de l’IA dans l’entreprise, puis cartographier les risques.

Ce travail d’inventaire n’est pas un tableau Excel oublié après deux réunions. Il sert à repérer les données manipulées, les flux, les dépendances, les fournisseurs, les points de sortie. Un outil utilisé pour résumer des documents internes n’a pas le même impact qu’un usage branché sur des données sensibles. Et dans une entreprise, le problème revient souvent, les usages se créent plus vite que les processus de validation.

La cartographie des risques permet ensuite de prioriser. Les équipes cyber apportent leur lecture, chemins d’attaque, exfiltration, compromission d’identités, effets de rebond. Les équipes IT, data et métiers apportent la réalité terrain, contraintes opérationnelles, délais, dépendances. L’enjeu est une orchestration, pas une bataille de périmètres. Sans ce dialogue, l’entreprise se retrouve avec une IA partout et une sécurité nulle part.

Point de vigilance, l’inventaire ne doit pas se limiter aux outils officiellement achetés. Les usages informels existent, via des comptes personnels ou des solutions gratuites. Ils créent un angle mort et un risque de fuite de données. La réponse ne peut pas être uniquement punitive, sinon les équipes contournent. Il faut proposer des alternatives encadrées, et des règles compréhensibles, pour ramener les usages dans un cadre gouverné.

Microsoft met en avant l’IA pour réduire les temps de réponse

Si l’IA accélère l’attaque, elle peut aussi accélérer la défense. La position présentée par Microsoft est que l’IA appliquée à la cybersécurité aide à améliorer la détection, réduire les temps de réponse, gagner en évolutivité et automatiser des processus. Autrement dit, elle sert à trier l’énorme volume de signaux, et à faire remonter plus vite ce qui mérite une action humaine.

Dans un centre opérationnel de sécurité, l’une des difficultés récurrentes est la surcharge, trop d’alertes, trop de faux positifs, trop de tickets. L’IA peut aider à regrouper, corréler, prioriser, pour que l’analyste se concentre sur les événements dangereux. Ce gain de temps se traduit directement en réduction de l’exposition, une menace détectée plus tôt a moins de temps pour se propager.

Mais cette promesse exige une mise en uvre sérieuse. Automatiser n’est pas déléguer aveuglément. Les entreprises doivent définir ce qui peut être automatisé sans risque, par exemple l’enrichissement d’alertes ou l’ouverture de tickets, et ce qui doit rester soumis à validation. L’objectif est d’augmenter l’efficacité sans créer une machine qui réagit trop vite et coupe des services critiques sur un mauvais signal.

Autre nuance, l’IA n’est pas une baguette magique. Elle dépend des données, de la qualité des journaux, de la cohérence des configurations. Une organisation qui n’a pas de visibilité sur ses actifs ou qui collecte mal ses événements aura une IA aveugle. La modernisation de la détection doit donc aller de pair avec une discipline de collecte, de normalisation et de gouvernance, sinon le bénéfice reste théorique.

NVIDIA présente l’IA comme réponse au volume de données en temps réel

La cybersécurité est présentée comme un problème de données, volumes massifs, signaux multiples, décisions à prendre en temps réel. Dans cette approche, NVIDIA met en avant l’apport du calcul accéléré et de l’IA pour traiter de grands volumes de données, accélérer la détection et l’identification des risques. Le message est clair, sans capacité de traitement, la défense n’arrive plus à suivre.

Cette logique parle particulièrement aux organisations qui doivent surveiller des infrastructures étendues, cloud, datacenters, postes, identités, applications. Plus l’entreprise est numérisée, plus les données de sécurité explosent. L’IA sert à transformer cette masse en décisions exploitables. Et l’IA générative est aussi évoquée comme un levier pour augmenter l’efficacité des analystes, par exemple pour synthétiser des informations et guider des investigations.

Le point intéressant est l’idée qu’il faut aussi sécuriser l’infrastructure et les modèles d’IA. Quand une entreprise déploie des workloads IA, elle crée de nouveaux actifs critiques, données d’entraînement, modèles, pipelines, environnements de calcul. Cela élargit la surface d’attaque. La sécurité doit donc couvrir l’IA elle-même, pas seulement l’IA utilisée comme outil de défense, sinon on déplace le risque au lieu de le réduire.

Cette approche souligne une contrainte budgétaire et technique, tout le monde n’a pas les mêmes moyens pour accélérer la sécurité. Les grandes entreprises peuvent industrialiser, les plus petites doivent souvent arbitrer. D’où l’importance de prioriser les cas d’usage qui apportent un bénéfice concret, réduction du temps de réponse, meilleure détection, automatisation de tâches répétitives, plutôt que de déployer une couche IA partout sans indicateurs de performance.

Deepfakes et IA générative: la confiance devient un actif à protéger

Au-delà des systèmes, l’IA générative fragilise la confiance. Les deepfakes et contenus synthétiques crédibles changent le paysage, car l’attaque peut viser la décision, pas seulement l’infrastructure. Un message audio ou une vidéo peut pousser un salarié à valider un paiement, divulguer une information, ou accélérer une action urgente. La sécurité se déplace vers la vérification et la preuve.

Cette menace touche aussi la communication de crise. Quand une entreprise subit un incident, elle doit informer, rassurer, expliquer. Si des contenus falsifiés circulent, la confusion augmente et la gestion devient plus difficile. Protéger la confiance implique donc des procédures, canaux officiels, règles de validation, mots de passe de crise, et une capacité à démentir vite avec des éléments vérifiables.

Dans la logique de résilience, la question n’est pas seulement comment éviter, mais comment continuer. Une attaque réussie peut entraîner un arrêt de service, une désorganisation interne, une perte de crédibilité. Se préparer à l’inévitable signifie prévoir les modes dégradés, les plans de reprise, les responsabilités, et la coordination entre cyber, IT, juridique, communication et métiers. Sans cette préparation, chaque minute coûte plus cher.

Dernier point, la résilience doit rester accessible. Un commentaire relevé dans les échanges autour du sujet rappelle que certaines petites structures, dont des collectivités, n’ont pas des budgets de dizaines de milliers d’euros par an pour la cyber-résilience. Elles héritent parfois d’outils obsolètes et d’équipes surchargées. Le débat dépasse les outils, il porte sur l’accès à des services qualifiés et à des infrastructures mutualisées, sinon l’écart de sécurité se creuse.