Les hackers passent à l’IA : la cybersécurité entre dans une nouvelle course
📩 Pour nous contacter: redaction@fw.media
Au cours des deux dernières décennies, la cybersécurité s’est structurée autour d’un principe simple : détecter plus vite que l’attaquant. Les entreprises ont multiplié les outils de surveillance, les plateformes de détection et les centres d’opérations de sécurité afin d’identifier les intrusions avant qu’elles ne produisent des dommages significatifs.
Ce modèle repose toutefois sur une hypothèse implicite : le temps reste un facteur déterminant dans la confrontation entre défense et attaque.
L’essor de l’intelligence artificielle est en train de modifier profondément cet équilibre. Dans de nombreux scénarios, la contrainte principale n’est plus l’expertise technique, mais la vitesse d’exécution. Là où une intrusion sophistiquée nécessitait auparavant plusieurs jours ou semaines, reconnaissance du système, développement d’exploits, mouvement latéral dans le réseau, certaines étapes peuvent désormais être automatisées par des agents logiciels capables d’explorer un environnement informatique et de tester différentes approches à une cadence impossible pour une équipe humaine.
La cybersécurité entre progressivement dans une phase où l’attaque peut progresser à vitesse machine.
🚨 SMARTJOBS
- MISTRAL - Account Executive, Enterprise, France - Paris
- ANTHROPIC - Startup Partnerships - France & Southern Europe
- CONTEXTE - DRH - Directeur.rice des Ressources Humaines
- ECOLE POLYTECHNIQUE - Directeur/Directrice Adjoint(e) des relations internationales (F/H)
- CLAROTY — Sales Development Representative
- FRACTTAL — Responsable de compte (France)
- BRICKSAI — Founding Growth Manager
👉 Retrouvez toutes nos offres sur le Jobboard DECODE MEDIA
📩 Vous recrutez et souhaitez renforcer votre marque employeur ? Découvrez nos offres partenaires
L’automatisation de l’attaque
Cette transformation ne tient pas uniquement à la puissance des modèles d’intelligence artificielle. Elle tient surtout à leur capacité à automatiser des tâches historiquement réservées à des spécialistes.
Les modèles génératifs peuvent produire du code, analyser des configurations, tester des hypothèses d’exploitation et construire des scénarios d’attaque. Combinés à des agents capables d’exécuter des actions sur des systèmes réels, ils permettent d’orchestrer des opérations offensives beaucoup plus rapides.
Plusieurs dimensions de l’attaque se prêtent particulièrement à cette automatisation.
La reconnaissance d’abord. Les agents peuvent parcourir automatiquement une infrastructure, cartographier les services exposés et identifier les dépendances entre systèmes.
La génération d’exploits ensuite. Les modèles capables de produire du code peuvent adapter des vulnérabilités connues à un contexte spécifique.
Enfin la coordination. Plusieurs agents peuvent travailler simultanément, partager des informations et explorer différents chemins d’accès à un même objectif.
Le résultat est une forme d’attaque distribuée et persistante. L’objectif n’est plus seulement de trouver une faille unique, mais d’examiner systématiquement l’ensemble de la surface d’exposition d’une organisation.
Une surface d’attaque qui continue de s’étendre
Cette accélération intervient alors que les infrastructures informatiques deviennent de plus en plus complexes.
Les entreprises multiplient les applications cloud, les interfaces API, les services externes et les outils intégrant des modèles d’intelligence artificielle. Chaque nouvelle couche technologique introduit des dépendances supplémentaires et, potentiellement, de nouveaux points d’entrée.
Deux dynamiques se combinent ainsi, les attaquants disposent d’outils plus efficaces pour explorer les systèmes, tandis que les organisations élargissent leur surface d’exposition.
Dans ce contexte, certaines pratiques historiques montrent leurs limites. Les tests d’intrusion réalisés une ou deux fois par an offrent une photographie ponctuelle de la sécurité d’un système d’information. Or les infrastructures évoluent en permanence : nouvelles applications, nouvelles configurations, nouveaux comptes utilisateurs.
Entre deux audits, l’environnement peut avoir profondément changé.
L’émergence de la sécurité offensive continue
Face à cette accélération, une approche gagne en importance : la sécurité offensive continue.
L’idée consiste à observer un système non seulement du point de vue du défenseur, mais aussi à travers celui de l’attaquant. Concrètement, cela implique de simuler en permanence des scénarios d’intrusion afin d’identifier les chemins d’accès réellement exploitables.
Plusieurs startups développent aujourd’hui des plateformes destinées à automatiser ce type d’analyse.
La société néerlandaise Hadrian propose par exemple des outils capables de cartographier automatiquement la surface d’attaque externe d’une organisation et de tester les vulnérabilités exploitables.
Au Royaume-Uni, Mindgard se concentre sur le red teaming des systèmes d’intelligence artificielle, notamment pour tester la robustesse des modèles face aux attaques adversariales ou aux tentatives de manipulation.
D’autres acteurs européens travaillent sur la détection comportementale ou la sécurisation des pipelines de développement. Darktrace développe depuis plusieurs années des systèmes d’analyse des anomalies reposant sur l’apprentissage automatique, tandis que la startup belge Aikido Security se positionne sur la sécurisation du code et des chaînes de développement.
Aux États-Unis, plusieurs startups explorent également l’idée d’une sécurité offensive automatisée. La société Hex Security développe ainsi des agents capables de réaliser des tests d’intrusion continus sur des environnements d’entreprise.
Dans un registre voisin, HiddenLayer se concentre sur la protection des modèles d’intelligence artificielle eux-mêmes, un nouveau domaine de la cybersécurité lié à la généralisation des systèmes d’IA dans les applications d’entreprise.
Les grands éditeurs de sécurité ne sont pas absents de cette évolution. Des groupes comme CrowdStrike ou Palo Alto Networks intègrent progressivement des capacités d’analyse automatisée et de simulation d’attaque dans leurs plateformes.
De la détection à la compréhension du risque
Cette nouvelle génération d’outils ne cherche pas seulement à détecter davantage de vulnérabilités. Elle vise surtout à comprendre comment celles-ci peuvent être exploitées dans un environnement réel.
Dans une infrastructure complexe, une faille isolée ne représente pas nécessairement un risque critique. En revanche, la combinaison de plusieurs vulnérabilités peut permettre à un attaquant de progresser d’un système à l’autre jusqu’à atteindre des actifs sensibles.
L’analyse des chemins d’attaque consiste précisément à reconstruire ces trajectoires. L’objectif n’est pas de produire une liste exhaustive de failles, mais de hiérarchiser les risques selon deux critères essentiels : leur exploitabilité réelle et leur impact potentiel sur l’activité de l’entreprise.
Pour les équipes de sécurité, cette hiérarchisation devient cruciale. Les organisations disposent déjà d’un volume considérable d’alertes issues de leurs outils de détection. La difficulté n’est plus seulement de repérer les anomalies, mais de déterminer quelles vulnérabilités doivent être corrigées en priorité.
Une confrontation entre systèmes autonomes
Si ces technologies continuent de progresser, la cybersécurité pourrait évoluer vers une confrontation de plus en plus automatisée entre systèmes offensifs et défensifs.
Les attaquants utiliseront des agents capables de tester rapidement un grand nombre de scénarios d’intrusion. Les défenseurs devront eux aussi s’appuyer sur des systèmes capables d’analyser en permanence leurs environnements, d’identifier les configurations à risque et de corriger certaines failles avant qu’elles ne soient exploitées.
Cette évolution pose plusieurs questions. D’abord celle du contrôle : dans quelles situations l’autonomie peut-elle être confiée à des systèmes automatisés, et à partir de quel moment l’intervention humaine reste indispensable ? Ensuite celle de la gouvernance. Les entreprises devront intégrer ces technologies dans des processus de sécurité capables de gérer des décisions prises à une cadence beaucoup plus rapide.
Une chose apparaît néanmoins de plus en plus clairement : dans un environnement où l’attaque peut progresser à vitesse machine, la défense ne pourra plus se contenter d’outils statiques ou d’évaluations ponctuelles.
Elle devra, elle aussi, apprendre à fonctionner dans le temps réel.
