Vos outils IA travaillent aussi pour l’ennemi
Le rapport Verizon 2025 documente un tournant : l’intelligence artificielle est devenue l’arme offensive la plus redoutable de la décennie.
La règle tacite du jeu cyber était simple : le temps jouait en faveur des défenseurs. Entre la découverte d’une vulnérabilité et son exploitation à grande échelle, il s’écoulait en moyenne plusieurs mois — un délai suffisant pour déployer des correctifs, reconfigurer les pare-feux, aviser les équipes.
Cette fenêtre de sécurité n’existe plus.
Sur 31 000 incidents analysés dans l’édition 2025 du Data Breach Investigations Report (DBIR), Verizon observe que les attaquants utilisent désormais l’IA générative pour transformer des bulletins de sécurité publiés le matin en exploits fonctionnels déployés le soir. La compression est brutale : de plusieurs mois à quelques heures. Ce n’est pas une extrapolation — c’est une mesure.
| “L’IA est en train de remodeler fondamentalement le secteur de la cybersécurité. Nous devons la combattre avec l’IA.”
— Nasrin Rezai, CISO — Verizon |
Le vol de mots de passe ? Dépassé. Les failles logicielles sont le nouveau front.
Pour la première fois dans l’histoire du rapport DBIR — qui couvre plus de quinze années de données —, l’exploitation des vulnérabilités logicielles surpasse le vol d’identifiants comme vecteur d’entrée initial. 31 % des incidents commencent désormais par une faille applicative non corrigée. Ce chiffre n’est pas anodin : il révèle un déplacement structurel de la menace, accéléré par la capacité de l’IA à automatiser la détection et l’exploitation de ces failles à une vitesse industrielle.
Pendant des années, les équipes de sécurité ont concentré leurs efforts sur la gestion des mots de passe, l’authentification multifacteur, la sensibilisation au phishing. Ces efforts restent nécessaires — mais ils ne suffisent plus à eux seuls. L’attaque se déplace là où la défense est encore en construction.
De la reconnaissance au malware : l’IA dans toute la chaîne d’attaque
Ce que documente Verizon va bien au-delà de l’automatisation d’une étape isolée. L’IA générative est aujourd’hui intégrée à l’ensemble du cycle offensif : identification des cibles exposées, génération de leurres de phishing hyperpersonnalisés, développement de variantes de logiciels malveillants indétectables par les signatures classiques, adaptation en temps réel aux contre-mesures déployées.
Autrement dit : l’attaquant dispose d’un assistant disponible 24h/24, capable de traiter des volumes de données que nulle équipe humaine ne pourrait analyser, et de produire des outils sur mesure en quelques minutes. Le niveau d’entrée pour mener une attaque sophistiquée a chuté de façon vertigineuse.
“En 2025, les adversaires utilisant l’IA ont augmenté leurs attaques de 89 % d’une année sur l’autre, renforçant aussi bien les acteurs peu sophistiqués que les groupes avancés.”
— CrowdStrike — Global Threat Report 2025
89 % de hausse : CrowdStrike confirme l’ampleur du basculement
Le rapport Verizon n’est pas seul à dresser ce tableau. CrowdStrike, dans son Global Threat Report publié quelques semaines plus tôt, enregistre une explosion de 89 % des attaques menées par des adversaires faisant usage de l’IA sur un an. La convergence de deux rapports indépendants, s’appuyant sur des méthodologies et des bases de données distinctes, donne à ces chiffres une robustesse difficile à contester.
La conclusion la plus troublante du rapport CrowdStrike concerne la démocratisation de la menace : l’IA ne renforce pas seulement les groupes APT (Advanced Persistent Threat) déjà sophistiqués — elle dote de capacités comparables des acteurs qui, jusqu’ici, ne disposaient pas des compétences techniques nécessaires pour mener des attaques ciblées et persistantes.
Pour le Maghreb : une urgence que les délais de patching rendent critique
La région Maghreb présente une vulnérabilité structurelle que ces données doivent alerter en priorité. Les cycles de mise à jour des systèmes — dans les entreprises privées comme dans les administrations — y sont en moyenne plus longs que dans les pays disposant d’équipes IT dédiées et de budgets de cybersécurité consolidés.
Or, la compression du temps d’exploitation documentée par Verizon ne tient aucun compte des contraintes organisationnelles locales. Une vulnérabilité critique publiée un lundi peut être armée et déployée contre des cibles exposées le mardi matin. Le correctif, lui, peut attendre des semaines avant d’être appliqué.
C’est précisément dans cet écart — entre la vitesse de l’attaque et la lenteur de la réponse — que réside le risque maximal pour les organisations de la région.
Ce que les RSSI doivent faire maintenant — pas dans six mois
- Automatiser la gestion des correctifs — chaque heure gagnée sur le délai de patching est une surface d’attaque réduite. Les workflows manuels ne sont plus une option défendable.
- Déployer des outils de détection augmentés par l’IA — EDR et XDR de nouvelle génération capables d’identifier des comportements anormaux que les signatures classiques ne voient pas.
- Intégrer la sécurité dans le cycle de développement (DevSecOps) — les pipelines applicatifs sont désormais des vecteurs d’attaque prioritaires.
- Simuler des attaques assistées par IA — les exercices de red team traditionnels doivent évoluer pour intégrer les techniques que les adversaires utilisent déjà.
Le message central du rapport Verizon tient en une phrase, portée par son CISO : combattre l’IA avec l’IA. Non pas comme un slogan de conférence, mais comme une exigence opérationnelle immédiate. Les organisations qui traiteront cette recommandation comme une ambition de moyen terme auront, d’ici là, subi des incidents qu’elles auraient pu éviter.
