L’arrivée des modèles d’IA générative, comme GPT, a radicalement transformé les cyberattaques. En 2025, les cybercriminels utilisent ces outils pour créer des e-mails de phishing convaincants, générer des malwares adaptatifs et automatiser la recherche de vulnérabilités dans les systèmes informatiques.

Ces attaques sont particulièrement redoutables car elles évoluent rapidement, contournant souvent les outils de détection traditionnels. Les entreprises doivent donc adopter des solutions de cybersécurité équipées d’une IA capable d’identifier ces nouvelles formes de menaces et déployer une défense proactive.

L’intelligence artificielle (IA) révolutionne la cybersécurité, devenant à la fois une arme de défense et une menace redoutable. En 2025, les entreprises utilisent l’IA pour analyser rapidement de vastes volumes de données, identifier les comportements anormaux et réagir en temps réel. Cependant, les cybercriminels exploitent également l’IA pour développer des attaques plus sophistiquées et adaptatives.

La capacité de l’IA à automatiser et personnaliser les attaques pose un défi sans précédent. Les organisations doivent renforcer leurs systèmes de sécurité avec des solutions également basées sur l’IA et investir dans la formation continue pour rester en avance sur les menaces émergentes.

Les outils de détection des menaces génèrent trop de faux positifs, affirment les professionnels de la sécurité, ce qui entraîne épuisement et ressentiment.

Les praticiens des centres d’opérations de sécurité (SOC) sont en difficulté, en raison d’un volume écrasant de fausses alarmes provenant de leurs outils de sécurité.

Une enquête menée par Vectra AI auprès de centaines de professionnels de la cybersécurité a révélé un sérieux problème que les équipes SOC ont avec leurs fournisseurs de logiciels. Le volume écrasant de faux positifs générés par leurs outils provoque un épuisement professionnel, disent-ils, et permet aux menaces réelles de passer inaperçues.

« Les résultats n’ont pas beaucoup changé par rapport à l’année dernière, et honnêtement, ce n’est pas vraiment une surprise », déclare Mark Wojtasiak, vice-président de la recherche et de la stratégie chez Vectra AI. « Les praticiens du SOC sont toujours clairement frustrés par les outils de détection des menaces. Et, en réalité, ce que les données nous indiquent, c’est que, plus qu’un problème de détection des menaces, les équipes du SOC ont un problème de signal d’attaque. La promesse de la consolidation et de la plateformisation n’a pas encore pris forme, et ce dont les équipes du SOC ont vraiment besoin, c’est d’un signal d’attaque précis. »

Que disent les SOC ? 

Les SOC reçoivent en moyenne 3 832 alertes de sécurité par jour. Pour avoir une idée de l’ampleur du problème, il faut savoir qu’un SOC moyen peut être composé de quelques dizaines de personnes, voire de quelques personnes seulement , en fonction de la taille de l’organisation et de son investissement en matière de sécurité.

Résultat : 81 % des employés du SOC passent au moins deux heures par jour à trier et à trier les alertes de sécurité. Il n’est donc pas étonnant que 54 % des personnes interrogées par Vectra AI aient déclaré que, plutôt que de leur faciliter la vie, les outils avec lesquels ils travaillent augmentent leur charge de travail quotidienne et que 62 % des alertes de sécurité soient finalement ignorées.

Bien entendu, les opérateurs SOC sont conscients des conséquences d’une non-prise en compte des alertes de sécurité. 71 % d’entre eux ont déclaré craindre chaque semaine de rater une attaque noyée dans un flot d’alertes moins importantes. Et 50 % ont même déclaré que leurs outils de détection des menaces constituaient « plus un obstacle qu’une aide » pour repérer les véritables attaques.

Le conflit entre les risques auxquels les opérateurs sont confrontés et ce qu’ils peuvent gérer suscite un véritable ressentiment envers les fournisseurs. Environ 60 % des répondants ont déclaré qu’ils achetaient des logiciels de sécurité principalement pour vérifier une case de conformité, et 47 % ne font pas entièrement confiance à ces programmes. Un pourcentage similaire (62 %) pense que les fournisseurs les inondent intentionnellement et cyniquement d’alertes afin qu’en cas de violation, ils soient plus susceptibles de pouvoir dire : « Nous vous avons prévenu ! »

Une majorité (71 %) des praticiens du SOC estiment que les fournisseurs doivent assumer davantage de responsabilités en cas d’échec dans la prévention des violations.

Comment l’IA peut rendre les SOC plus efficaces

La promesse la plus réaliste et la plus concrète de l’intelligence artificielle (IA) est de réduire la monotonie associée aux tâches répétitives et d’améliorer la productivité. Et plus que la plupart, les employés du SOC sont ceux qui en bénéficieront le plus.

En fait, selon Wojtasiak, l’IA est la voie vers un changement complet des mentalités. « La sécurité pense en termes de surfaces d’attaque individuelles : j’ai un réseau, des terminaux, des identités, des e-mails, maintenant l’IA générative (GenAI). OK, je vais acheter des outils pour détecter les menaces sur ces surfaces d’attaque cloisonnées, puis demander à un être humain de donner un sens à tout cela. C’est ainsi que la réflexion sur la sécurité a été fondamentalement menée au cours des 10 dernières années », dit-il.

« Les attaquants modernes, poursuit-il, ne voient qu’une seule surface d’attaque géante dans laquelle ils peuvent se déplacer. Alors pourquoi la sécurité ne pense-t-elle pas de la même manière ? Pourquoi n’examinons-nous pas les menaces de manière holistique sur toute la surface d’attaque, en utilisant l’IA pour rassembler les détections qui indiquent le comportement des attaquants, en corrélant ces détections, puis en envoyant un signal intégré à l’analyste du SOC ? »

De nombreux SOC ont déjà commencé à le faire. Environ 67 % des personnes interrogées dans le cadre de l’enquête Vectra AI ont constaté que l’IA améliorait déjà leur capacité à identifier et à se défendre contre les menaces, et 73 % ont affirmé que cela les avait aidés à atténuer leur sentiment d’épuisement professionnel. Près de neuf personnes interrogées sur dix ont déjà augmenté leurs investissements dans l’IA et prévoient d’aller plus loin.

« J’entends déjà parler des résultats positifs qu’ils obtiennent en introduisant ces nouveaux outils : réduction des charges de travail, diminution de l’épuisement professionnel et réduction de la prolifération », rapporte Wojtasiak. « Nous espérons que les frustrations actuelles s’atténueront à mesure que les outils traditionnels cloisonnés seront remplacés par des outils basés sur l’IA capables de fournir un signal d’attaque précis. »

La semaine dernière, la CISA a ajouté CVE-2024-23113 – une vulnérabilité critique qui permet l’exécution de code/commande à distance non authentifiée sur les pare-feu Fortinet FortiGate non corrigés – à son catalogue de vulnérabilités exploitées connues, confirmant ainsi qu’elle est exploitée par des attaquants dans la nature.

La Shadowserver Foundation a annoncé dimanche qu’il y avait encore plus de 87 000 appareils Fortinet connectés à Internet probablement vulnérables à la faille.

À propos de CVE-2024-23113

Les dispositifs cyberphysiques sont de plus en plus compromis et exploités par des groupes criminels et des acteurs malveillants parrainés par des États.

Nous avons principalement examiné les attaques contre les caméras et les systèmes de sécurité physique ainsi que les infrastructures associées, c’est-à-dire les routeurs et certains autres appareils IoT.

Un dispositif cyberphysique est un appareil qui relie le monde physique et les réseaux informatiques. De nombreuses personnes associent le terme « dispositif cyberphysique » aux systèmes de contrôle et d’acquisition de données (SCADA) et aux segments de réseau OT, mais il y a bien plus que cela .

Les dispositifs qui interconnectent le monde physique offrent aux attaquants une perspective unique : ils leur permettent d’effectuer une observation sur le terrain des événements, de surveiller et d’observer l’impact de leurs attaques, et peuvent même parfois avoir un impact sur le monde physique (bien que cela nécessite normalement qu’ils soient connectés à une sorte d’équipement SCADA/ICS).

Comment les réseaux superposés malveillants sont-ils construits sur des dispositifs cyberphysiques compromis ?

De nombreux appareils sont compromis dans le simple but de créer des points de présence à de nouveaux emplacements, afin que les attaquants puissent contourner les restrictions de géorepérage. Ces appareils sont souvent reliés et utilisés dans le cadre de réseaux superposés.

La plupart de ces appareils ne sont pas des routeurs traditionnels, mais peuvent être des capteurs de température ou des caméras. Nous avons même vu des écrans Android compromis dans des musées de certains pays.

Et nous soupçonnons que des capacités supplémentaires de ces appareils pourraient être exploitées – même si nous n’avons pas (encore) de preuve claire de telles activités.

Comment les attaquants maintiennent-ils la persistance sur les dispositifs cyberphysiques, tels que les caméras de surveillance, après une compromission initiale ?

Ce n’est pas le cas. Il s’agit avant tout de rester aussi discret que possible. Dans de nombreux cas, nous observons que des appareils sont compromis, que des charges utiles sont installées puis supprimées du système de fichiers. Lorsque l’appareil est redémarré, les charges utiles disparaissent.

La seule option que nous avons vue pour maintenir la persistance consiste à rétrograder les appareils vers les dernières versions de firmware vulnérables.

Les acteurs parrainés par un État utilisent-ils les dispositifs cyberphysiques compromis différemment des groupes criminels ? Les attaquants monétisent-ils l’accès à l’infrastructure cyberphysique compromise sur les marchés criminels ? Les attaquants utilisent-ils des dispositifs cyberphysiques compromis pour effectuer une reconnaissance des environnements physiques en vue de nouvelles attaques ?

Nous pensons que les acteurs parrainés par les États consacrent beaucoup de temps à la construction et à la reconstruction de leur infrastructure de relais opérationnelle. Ils ne se contentent pas de compromettre les systèmes de manière opportuniste : ils construisent des plateformes pivotantes dans les pays qui les intéressent.

Les opérateurs cybercriminels s’intéressent principalement à la construction d’infrastructures qu’ils peuvent vendre ou louer, et j’imagine que c’est ainsi qu’ils les monétisent.

Les récentes perturbations des réseaux de bots par les forces de l’ordre ont révélé que les opérateurs de réseaux de bots privilégient actuellement l’architecture à 3 niveaux : les appareils compromis (IoT, serveur, point de terminaison) font partie du niveau 1, les serveurs du niveau 2 transmettent les communications entre ces appareils et les serveurs qui émettent les ordres (niveau 3). Les avantages d’un tel choix sont évidents. Y a-t-il des inconvénients (tout cela du point de vue des attaquants, bien sûr) ?

La complexité de la gestion de l’infrastructure est probablement le principal inconvénient. Les attaquants le résolvent en automatisant le déploiement à l’aide d’un script.

Mais cela entraîne un autre inconvénient : une empreinte réseau évidente qui peut être recherchée/captée par les chercheurs en renseignement sur les menaces.

Avec des milliards d’appareils connectés à Internet dans le monde, dont beaucoup ont des capacités et des options de sécurité inadéquates, quelles sont, selon vous, les actions réalistes qui peuvent faire diminuer considérablement ce nombre dans les 3 à 5 prochaines années ?

En réalité, je ne crois pas qu’il existe un moyen de réduire le nombre d’appareils compromis. Nous évoluons vers des réseaux où les appareils IoT seront l’un des principaux types d’appareils connectés, avec des appareils comme un lave-vaisselle ou un réfrigérateur dotés d’une adresse IP. Naturellement, je pense que bon nombre de ces appareils pourraient être facilement ciblés et exploités par des attaquants et transformés en points pivots.

Les réseaux proxy résidentiels et mobiles se multiplient . Certains utilisateurs installent sciemment des proxywares sur leurs appareils, d’autres se font piéger. Si ces réseaux peuvent être utilisés à des fins légitimes, ils peuvent également être (et sont) exploités par des groupes d’attaquants pour des attaques DDoS, des attaques par pulvérisation de mots de passe, des campagnes d’ingénierie sociale ou comme point de départ pour des intrusions ciblées. D’après votre expérience, à quelle fréquence cela se produit-il ?

Nous ne voyons pas beaucoup de DDoS, mais nous voyons beaucoup d’autres actions indésirables, telles que le scraping Web, la pulvérisation d’informations d’identification, les campagnes de pompage et de vidage de crypto-monnaie, le scraping de boutiques en ligne, l’ activité des sneaker bot , la spéculation sur les billets en ligne, le carding (pour faire correspondre la géolocalisation à l’emplacement du propriétaire de la carte), etc.

Les chercheurs de Mandiant ont récemment documenté l’essor des réseaux de relais opérationnels (ORB) et la manière dont ils sont de plus en plus utilisés par des attaquants qui préfèrent éviter de mettre en place leur propre attaque ou infrastructure de communication. Comment la situation géopolitique actuelle a-t-elle permis cette évolution et quelle sera selon vous la prochaine évolution logique de la situation ?

La construction d’ORB est l’une des procédures opérationnelles de certains acteurs de la menace.

De nombreux pays utilisent le géorepérage en filtrant le trafic provenant d’emplacements indésirables et les ORB sont la réponse parfaite à cela. Ils permettent aux attaquants de pouvoir apparaître à partir des mêmes emplacements que le trafic bénin attendu.

Certains ORB sont basés sur des appareils compromis, d’autres sur des infrastructures louées. Avec différents groupes, nous observons souvent une combinaison des deux.

La croissance et la fusion entre les infrastructures ORB, les proxys résidentiels et les réseaux superposés utilisés pour contourner le géorepérage constituent une tendance massive et nous constatons souvent une adoption généralisée de ces techniques par les acteurs de la menace de différentes régions.

Dans quelle mesure la compromission de la chaîne d’approvisionnement constitue-t-elle un problème lorsqu’il s’agit de la prolifération de smartphones et d’appareils IoT compromis ?

La compromission de la chaîne d’approvisionnement est un vecteur d’attaque courant pour les smartphones et les petits appareils fonctionnant sous Android (tels que les boîtiers TV). Elle est assez répandue et nous pensons également que dans certains cas, il s’agit d’une combinaison de compromissions logicielles (package logiciel ou SDK) et matérielles (micrologiciel).

C’est tellement courant que parfois on retrouve deux ou plusieurs implants sur le même firmware (dans différents composants du firmware).

Les résultats de l’enquête ont révélé des tendances et des comportements préoccupants en matière de cybersécurité personnelle et professionnelle, notamment une sous-utilisation importante de l’authentification multifacteur (MFA) et une approche généralement réactive pour faire face aux cybermenaces.

Alors que les entreprises font souvent de leur mieux pour mettre en œuvre des protocoles de sécurité rigoureux au travail, les employés ne parviennent pas à maintenir leurs propres pratiques de cybersécurité à la maison. Cette lacune met non seulement en danger les données personnelles des individus, mais expose également les employeurs à des vulnérabilités potentielles.

Bien qu’il s’agisse de la forme d’authentification la moins sécurisée, la méthode d’authentification la plus courante est le nom d’utilisateur et le mot de passe. 58 % utilisent le nom d’utilisateur et le mot de passe pour se connecter à des comptes personnels et 54 % utilisent le nom d’utilisateur et le mot de passe pour se connecter à des comptes professionnels.

Les progrès de l’intelligence artificielle alimentent des escroqueries en ligne sophistiquées

Avec les progrès rapides de l’IA , les personnes interrogées ont déclaré que les escroqueries en ligne et les attaques de phishing sont devenues plus sophistiquées (72 %) et plus efficaces (66 %).

39 % pensent que le nom d’utilisateur et le mot de passe sont les plus sûrs et 37 % pensent que l’authentification par SMS mobile est la plus sûre, tous deux étant très sensibles aux attaques de phishing .

40 % des personnes interrogées ne pensent pas ou ne sont pas sûres que les applications et services en ligne qu’elles utilisent protègent suffisamment leurs données, leurs comptes et leurs informations personnelles en matière de sécurité. Malgré cette incertitude, 22 % n’ont jamais effectué d’audit de cybersécurité personnelle (par exemple, supprimer des données personnelles d’Internet, installer ou mettre à jour un logiciel de cybersécurité sur leurs appareils, modifier des mots de passe compromis, etc.) pour mieux se protéger en ligne.

Les personnes interrogées indiquent que les mots de passe les plus fréquemment compromis se trouvent sur les applications et services qui contiennent leurs informations les plus confidentielles, financières et personnelles. Il s’agit notamment des mots de passe suivants :

• Compte de médias sociaux – 44 %
• Application de paiement – ​​24%
• Compte de détaillant en ligne – 21 %
• Application de messagerie – 17 %
• Application bancaire – 13%

Pour les employés, même si les failles de sécurité augmentent chaque année, 40 % des répondants n’ont jamais reçu de formation en cybersécurité de la part de l’organisation pour laquelle ils travaillent et seule une petite fraction (27 %) estime que les options de sécurité mises en place par leur organisation sont très sûres.

De nombreux employés manquent de conseils sur la sécurisation des comptes professionnels

En ce qui concerne l’aspect sécurité de l’intégration des employés, 34 % ont déclaré qu’ils n’avaient pas reçu d’instructions pour sécuriser leurs comptes professionnels avec plus qu’un simple nom d’utilisateur et un mot de passe lorsqu’ils ont commencé à travailler dans l’entreprise pour laquelle ils travaillent.

Malgré le fait que chaque employé d’une organisation soit une cible potentielle, 41 % ont déclaré que les mesures et les exigences de sécurité diffèrent en fonction du rôle et du titre dans leur entreprise, laissant la place aux mauvais acteurs de s’infiltrer à plusieurs niveaux d’une organisation.

« Les résultats soulignent la nécessité d’une stratégie de cybersécurité globale qui englobe à la fois les environnements domestiques et professionnels », a déclaré Derek Hanson , vice-président des normes et des alliances chez Yubico. « Cela comprend l’adoption de méthodes d’authentification plus solides pour devenir résistant au phishing, la promotion d’une culture de sensibilisation à la sécurité grâce à une formation cohérente des employés, etc. En fin de compte, la construction d’un front uni contre les cybermenaces nécessite un effort concerté pour combler l’écart entre la sécurité perçue et la sécurité réelle. En intégrant des mesures de sécurité avancées dans tous les aspects de notre vie numérique, nous pouvons mieux nous protéger, nos données et nos organisations. »

Les failles de sécurité informatique et les tentatives de phishing ne sont pas seulement une préoccupation pour les services informatiques ou les personnes férus de technologie. Elles représentent également de graves risques pour le grand public, en particulier à l’ère de l’intelligence artificielle. Les cyberattaques et les escroqueries en ligne devenant de plus en plus sophistiquées, il est plus important que jamais pour chacun de rester vigilant, tant dans sa vie personnelle que professionnelle.

« Lorsque les individus ne parviennent pas à sécuriser leurs comptes personnels, ils mettent également en danger leur lieu de travail. C’est pourquoi il est essentiel que les entreprises adoptent une approche holistique de la cybersécurité qui tienne compte à la fois de la sécurité des environnements professionnels et personnels »

Dans un monde où les cybermenaces évoluent rapidement, la sécurité de votre infrastructure IT n’a jamais été aussi cruciale. Les cyberattaques peuvent avoir des conséquences dévastatrices, allant de la perte de données sensibles à la paralysie complète de votre entreprise. C’est pourquoi il est essentiel de s’assurer que vos systèmes sont non seulement protégés, mais également conformes aux normes de sécurité les plus strictes.

Nous avons le plaisir de vous inviter à un webinaire exceptionnel où nous vous guiderons à travers les étapes clés d’un audit de sécurité technique et organisationnel de votre infrastructure IT. Ce webinaire est spécialement conçu pour les professionnels de l’informatique, les responsables de la sécurité, et tous ceux qui jouent un rôle dans la protection des systèmes d’information de leur organisation.

Ce que vous apprendrez lors de ce webinaire :

• Introduction aux audits de sécurité IT : Comprenez l’importance des audits de sécurité et comment ils s’intègrent dans la stratégie globale de cybersécurité de votre entreprise.
• Les composantes essentielles d’un audit de sécurité : Explorez les différentes dimensions d’un audit de sécurité, y compris l’évaluation des risques, la conformité aux normes (ISO 27001, NIST, etc.), et la vérification des contrôles de sécurité techniques et organisationnels.
• Étapes pratiques pour réaliser un audit efficace : Nous vous guiderons à travers un processus étape par étape pour réaliser un audit complet, depuis la collecte d’informations jusqu’à la rédaction d’un rapport final avec des recommandations concrètes.
• Détection des vulnérabilités et mesures correctives : Découvrez comment identifier les failles de sécurité les plus courantes dans les systèmes IT et quelles mesures correctives mettre en place pour renforcer la sécurité.
• Études de cas réels : Nous partagerons des exemples concrets d’audits de sécurité réussis, illustrant comment d’autres organisations ont pu améliorer leur posture de sécurité grâce à une évaluation rigoureuse.
• Questions & Réponses : Profitez de l’opportunité d’échanger avec nos experts en cybersécurité et d’obtenir des réponses à vos questions spécifiques
• Pourquoi assister à ce webinaire ?
• Expertise de haut niveau : Ce webinaire est animé par des professionnels expérimentés dans le domaine de la cybersécurité, avec une expertise approfondie dans la réalisation d’audits de sécurité pour des organisations de toutes tailles.
• Approche pratique et applicative : Nous ne nous contentons pas de théorie. Vous repartirez avec des outils pratiques et des conseils que vous pourrez immédiatement appliquer pour renforcer la sécurité de votre infrastructure IT.
• Mise à jour sur les dernières tendances en cybersécurité : Restez informé des menaces actuelles et des meilleures pratiques pour protéger votre entreprise contre les cyberattaques.
• À qui s’adresse ce webinaire ?
• Ce webinaire est conçu pour les :
• Responsables informatiques et DSI
• Responsables de la sécurité informatique
• Consultants en cybersécurité
• Auditeurs IT
• Toute personne impliquée dans la gestion et la protection des systèmes d’information
• Inscription gratuite et places limitées !
• Ne manquez pas cette occasion unique d’améliorer vos compétences en matière de sécurité IT. L’inscription est gratuite, mais les places sont limitées pour garantir une interaction de qualité entre les participants et nos experts. Réservez votre place dès maintenant en cliquant sur le lien d’inscription ci-dessous.
• https://forms.gle/SMxom97TU2acTYgRA
• Nous nous réjouissons de vous accueillir lors de ce webinaire et de vous aider à renforcer la sécurité de votre infrastructure IT.
• À propos de nous :
• Nous sommes une équipe de professionnels de la cybersécurité dédiée à aider les entreprises à protéger leurs actifs numériques. Avec des années d’expérience dans le domaine, nous offrons des services de conseil, de formation, et d’audit pour garantir que vos systèmes d’information sont sécurisés contre les menaces actuelles et futures

Panne informatique Microsoft : en France aussi, des perturbations constatées chez Air France, TF1 ou Canal+

Les utilisateurs de Microfost 365 « peuvent être dans l’incapacité d’accéder à diverses applications et services ». Des banques, aéroports et médias sont affectés dans le monde entier.