Pendant des années, lancer une cyberattaque sophistiquée demandait du temps, des compétences rares et un peu de chance. Aujourd’hui, certains outils génératifs abaissent ce seuil au point qu’un attaquant médiocre peut produire des campagnes de phishing indiscernables de communications légitimes. Les experts en sécurité ont un nom pour ça : la démocratisation du mal.

Le chiffre qui circule dans les cercles spécialisés est éloquent : le volume de cyberattaques a progressé de 38 % en 2023 selon Check Point Research. L’IA n’en est pas la seule cause, mais elle en est le catalyseur le plus récent et le plus puissant.

L’IA transforme le profil des attaquants et la surface des menaces

Ce qui change avec l’IA générative, ce n’est pas l’existence des attaques, c’est leur cadence et leur personnalisation. Un email de spear phishing ciblant un dirigeant prenait autrefois plusieurs heures de préparation : recherche OSINT, rédaction, adaptation culturelle. Un modèle de langage le produit en quelques secondes, dans la langue cible, avec le ton juste.

Les défenseurs observent aussi l’émergence de malwares polymorphes assistés par IA, capables de réécrire leur propre code pour échapper aux détections basées sur les signatures. Ce n’est plus de la science-fiction : des chercheurs de CrowdStrike et de Darktrace ont documenté ces comportements en conditions réelles dès 2023.

Le vecteur humain reste dominant. Selon IBM Security, 74 % des violations de données impliquent un facteur humain. L’IA n’a pas changé cette statistique, elle l’a amplifiée en rendant la manipulation sociale techniquement accessible au plus grand nombre.

Défense et attaque : une course où les règles changent en direct

Le paradoxe central de ce débat est là : les mêmes modèles qui arment les attaquants renforcent aussi les défenseurs. Les plateformes de détection d’anomalies, les systèmes de réponse automatisée aux incidents, l’analyse comportementale en temps réel tournent désormais sur des architectures d’apprentissage automatique. Darktrace revendique une détection des menaces inconnues en moins d’une minute. Microsoft Sentinel traite des milliards de signaux quotidiens.

Mais cette symétrie apparente cache une asymétrie fondamentale. Attaquer coûte moins cher que défendre. Un groupe malveillant n’a besoin de réussir qu’une fois. Une équipe de sécurité doit réussir à chaque fois. L’IA accentue cet écart structurel plutôt qu’elle ne le comble, un peu comme un personnage capable de se battre contre n’importe quel adversaire, mais condamné à perdre dès qu’il relâche sa vigilance une seconde.

Les experts débattent aussi du rôle des grands modèles frontières. OpenAI, Google, Anthropic ont intégré des garde-fous contre la génération de code malveillant. Ces filtres sont contournables. Les modèles open source, eux, n’en ont aucun. Le débat sur la régulation de l’accès aux poids de modèles puissants rejoint ici la question de la sécurité nationale, et l’Europe, avec l’AI Act, commence à peine à poser le cadre.

Ce que ça change pour les entreprises françaises et les DSI européens

Pour une PME française sans équipe sécurité dédiée, le paysage 2024 est brutal. Les attaques par ransomware ont coûté 1 milliard de dollars en rançons versées l’an dernier à l’échelle mondiale, selon Chainalysis. Les TPE et PME représentent une cible prioritaire : moins bien protégées, elles paient plus souvent.

L’ANSSI, dans son panorama 2023, a recensé 3 703 événements de cybersécurité traités sur le territoire français. Elle insiste sur la nécessité d’une hygiène numérique de base que même l’IA ne peut substituer : mises à jour, authentification multifacteurs, segmentation réseau. L’automatisation des attaques rend ces fondations encore plus critiques, pas moins.

Pour les DSI des grandes organisations, la question n’est plus de savoir si un incident surviendra. C’est de savoir si les systèmes de détection seront assez rapides pour limiter la propagation avant que les dégâts deviennent irréversibles.

Si les attaquants s’industrialisent plus vite que les défenseurs ne se coordonnent, à quel moment une cyberattaque majeure contre une infrastructure critique devient-elle non plus un scénario de crise, mais une simple question de calendrier ?