Dans un paysage cyber marqué par l’industrialisation des attaques et l’essor massif de l’IA côté offensif, les entreprises font face à des menaces toujours plus rapides, furtives et hybrides. Alvaro del Hoyo, Technology Strategist chez CrowdStrike, décrypte l’évolution du threat landscape en 2025, l’exploitation de l’IA par les attaquants et les priorités à fixer pour bâtir une cyber-résilience réelle à l’horizon 2026.
SNC : Comment le paysage des menaces a-t-il évolué en 2025, notamment avec l’usage de l’IA par les attaquants, et qu’est-ce qui pousse les adversaires à fonctionner comme de véritables entreprises ?
Alvaro del Hoyo : En 2025, les adversaires ont militarisé l’IA à chaque étape de la chaîne d’attaque, tout en faisant de l’IA elle-même une cible. L’IA est devenue un puissant multiplicateur de force pour les attaquants. Elle leur permet de passer à l’échelle, d’augmenter la précision de leurs actions et d’abaisser la barrière d’entrée pour des attaques complexes. Cela leur permet d’opérer comme de véritables entreprises, avec moins de ressources et moins d’expertise technique.
Chez CrowdStrike, nous observons l’usage de l’IA générative pour automatiser la reconnaissance, créer des deepfakes, concevoir des campagnes d’ingénierie sociale hautement personnalisées et générer du code malveillant. Les adversaires ciblent également de plus en plus les agents IA autonomes qui transforment les opérations des entreprises.
Le Threat Hunting Report 2025 de CrowdStrike montre comment des acteurs malveillants s’attaquent aux outils utilisés pour concevoir ces agents IA, afin d’obtenir des accès, de voler des identifiants ou de déployer des malwares. Les systèmes autonomes et les identités non humaines constituent désormais une composante majeure de la surface d’attaque des entreprises.
Vous faites état d’une hausse de 136 % des intrusions dans le cloud, avec une activité d’espionnage liée à la Chine en augmentation de 150 %. Quelles failles les attaquants exploitent-ils dans le cloud ?
A. D. H. : Le cloud continue de s’imposer comme un champ de bataille central. Les attaquants utilisent des identifiants valides et exploitent des plans de contrôle mal configurés, des comptes surdimensionnés en privilèges, des API non sécurisées, la réutilisation de tokens et des connexions insuffisamment protégées.
Ces techniques leur permettent d’accéder aux environnements cloud, de se fondre dans l’activité légitime et de se déplacer latéralement entre différents environnements. Le cloud est à la fois une cible privilégiée pour des campagnes d’espionnage persistantes et un point d’entrée stratégique pour des mouvements transverses entre domaines.
Avec 81 % des intrusions sans malware et un temps moyen de propagation de 48 minutes, les défenses traditionnelles sont-elles devenues obsolètes ? Comment réagir à une telle vitesse ?
A. D. H. : Les attaquants se connectent désormais comme des utilisateurs de confiance et évoluent plus rapidement que ce que les défenses traditionnelles peuvent gérer.
La réponse passe par une défense « agentique », dans laquelle les analystes orchestrent des agents intelligents capables d’automatiser les tâches chronophages. Cela permet aux équipes de se concentrer sur les décisions stratégiques qui renforcent réellement la posture de sécurité.
Le vishing dopé à l’IA progresse de 442 %. Quelles mesures concrètes les entreprises peuvent-elles prendre pour limiter ce risque ?
L’un des scénarios les plus fréquents consiste à appeler les centres de support pour inciter les employés à réinitialiser des identifiants et contourner l’authentification multifacteur.
Pour y faire face, les entreprises doivent renforcer les processus en première ligne : vérifier l’identité via des canaux secondaires avant toute modification de compte, remplacer les SMS ou notifications push par des MFA résistants au phishing, comme les clés FIDO2, et verrouiller les mécanismes de récupération pour éviter les réinitialisations faciles.
Une surveillance continue des comportements inhabituels, associée à des exercices de formation réalistes, aide les collaborateurs à reconnaître ces attaques. Les adversaires ciblant autant les individus que les technologies, la vigilance doit être collective. La sécurité doit relever de la culture d’entreprise, pas uniquement de l’infrastructure.
La frontière entre opérations étatiques et criminalité s’estompe. Quelles conséquences pour les organisations, et la coopération internationale est-elle à la hauteur ?
A. D. H. : Les outils, infrastructures et modes opératoires des États-nations et des groupes cybercriminels se recouvrent de plus en plus. Si leurs motivations diffèrent – espionnage d’un côté, gains financiers de l’autre – ils s’appuient souvent sur les mêmes tactiques.
Cette convergence complique la tâche des défenseurs, qui doivent comprendre à la fois l’intention et la méthode derrière chaque intrusion.
La résilience repose sur une défense guidée par le renseignement : visibilité unifiée, détection rapide et chasse proactive des menaces, appuyées par le partage d’informations entre secteurs et zones géographiques. La collaboration est essentielle pour contrer des menaces hybrides qui évoluent plus vite qu’aucune organisation isolée ne peut le faire.
Quelles priorités fixer pour une cyber-résilience réelle en 2026, et en quoi la chasse proactive diffère-t-elle de la détection traditionnelle ?
A. D. H. : La cyber-résilience en 2026 commence par une visibilité unifiée sur les endpoints, les identités, le cloud, les données et l’IA. Cette vision globale fournit aux défenseurs la rapidité et le contexte nécessaires pour anticiper les attaques modernes.
La chasse proactive se distingue de la détection classique en ce qu’elle n’attend pas les alertes. Elle anticipe les tactiques émergentes et évolutives des adversaires. L’approche de CrowdStrike repose sur le renseignement pour permettre aux équipes de dépasser une posture réactive, en comprenant qui les cible, comment et dans quel but.
Avec l’IA, les attaquants compressent en quelques secondes des actions qui prenaient autrefois des semaines. Cette accélération réduit drastiquement la fenêtre de détection et de réponse. Le renseignement ne peut plus se contenter d’éclairer les analystes, il doit agir à la vitesse de l’IA.
En dotant les équipes de sécurité d’agents opérationnels capables de raisonner sur les données de menace, de traquer proactivement les adversaires et d’intervenir sur toute la chaîne d’attaque, CrowdStrike permet aux défenseurs de se concentrer sur les investigations à fort impact tout en gardant la maîtrise complète de leur mission défensive.
