Les ransomwares, la fraude et l’ingénierie sociale ont gagné en vitesse, en discrétion et en efficacité. Face à cette nouvelle donne, comment les entreprises peuvent-elles adapter leurs défenses ? Éclairage de Mikael Le Gall, CyberSecurity Pre-Sales Leader.
Des attaques dopées par l’IA
« Les attaquants ont été parmi les premiers à adopter l’IA », souligne Mikael Le Gall. « On voit désormais des campagnes d’ingénierie sociale qui reposent sur des deepfakes pour décrocher de faux emplois dans des entreprises. Ces faux collaborateurs cumulent ensuite plusieurs postes, exploitent leur accès interne et automatisent la production de code grâce à des modèles d’IA générative. »
Les exemples récents illustrent cette mutation : le malware SparkCat, actif sur mobile, utilise la reconnaissance de caractères et l’IA pour repérer dans les photos des informations sensibles – clés privées de portefeuilles crypto, données bancaires ou documents officiels. Autre évolution majeure : l’apparition de logiciels capables de modifier leur code à la volée via des API d’apprentissage automatique, rendant leur détection bien plus complexe.
L’accélération du temps d’attaque
Cette automatisation a un effet direct sur la vitesse d’exécution. « Le break-out time – le temps nécessaire pour passer d’une première machine compromise à une autre – ne cesse de diminuer », précise Mikael Le Gall. « Nous sommes passés d’une moyenne de 62 minutes en 2024 à 48 minutes cette année, avec un record à 51 secondes. »
Cette rapidité rend la réaction humaine souvent insuffisante : « C’est pourquoi il faut repenser la défense, non plus comme une succession d’alertes et de réponses manuelles, mais comme une orchestration intelligente entre humains et agents automatisés. »
Vers des SOC “agentiques”
Pour l’expert, la réponse passe par une approche unifiée et automatisée. « Les silos entre identité, cloud et endpoints doivent disparaître. Il faut reconstruire la chaîne complète d’une attaque, de l’usurpation d’un compte à la compromission d’un poste. »
L’avenir, selon lui, se situe du côté des SOC agentiques : « Une armée d’agents spécialisés, chacun dédié à une tâche — triage des alertes, recherche de signaux faibles, corrélation d’événements — pendant que l’analyste humain orchestre, supervise et valide. »
De la réaction à l’anticipation
Peut-on aller jusqu’à la prédiction ? « Pas totalement, mais on s’en rapproche », estime Mikael Le Gall. Les modèles de prédiction d’attaque développés par les équipes de recherche reposent sur l’analyse de données historiques : « L’IA permet d’identifier les combinaisons de vulnérabilités les plus susceptibles d’être exploitées en chaîne, même si elles paraissent mineures isolément. Cela permet de hiérarchiser les priorités de correction. »
Lucidité française et culture du test
Les entreprises françaises apparaissent particulièrement lucides face à ce nouveau contexte pour Mikael Le Gall: seules 32 % se déclarent « très bien préparées », contre près de 50 % à l’échelle mondiale. « Ce réalisme est sain », estime l’expert. « Les chiffres montrent qu’en cas d’attaque, seules 23 % des organisations en France rétablissent leurs systèmes en moins de 24 heures, contre 35 % au Royaume-Uni. »
Pour progresser, il préconise de tester la résilience réelle : « Les simulations d’attaque et les exercices de crise permettent de confronter les convictions à la réalité. Ce n’est qu’en pratiquant que l’on sait combien de temps il faut réellement pour se remettre d’une attaque. »
Ne jamais payer la rançon
Dernier conseil : ne jamais céder au chantage. « Payer ne garantit pas la récupération des données et désigne souvent l’entreprise comme “bon payeur”. Les attaquants reviennent alors plus facilement. »
