(*1) cyber kill chain, désigne un modèle pour décrire et analyser les différentes étapes d’une cyberattaque de la phase initiale de reconnaissance jusqu’à l’atteinte des objectifs de l’attaquant (destruction ou chiffrement de données, exfiltration etc.)
Impact de l’IA sur la cybersécurité
L’ENISA classe l’IA comme un amplificateur de menaces dès 2024. Elle accélère l’automatisation des attaques et augmente leur efficacité. D’ici 2027, les groupes APT et cybercriminels pourront exploiter les vulnérabilités quasi en temps réel.
Selon le Gartner, d’ici 2025, 45 % des organisations mondiales auront été victimes d’attaques visant leur chaîne d’approvisionnement logicielle, soit une multiplication par trois du nombre d’entreprises concernées depuis 2021.
Principales menaces renforcées par l’IA
RansomOps 2.0 (100% de probabilité)
- Infiltration prolongée : propagation latérale, escalade de privilèges et exfiltration avant chiffrement
- Industrialisation RaaS : écosystème divisé (développeur, affilié, négociateur) multipliant les variantes
- Double extorsion : vol + chiffrement + menace de publication des données
- Coût d’accès : entre 1 000€ et 8 000€ pour accéder au SI d’une ETI sur le Dark Web
Découverte de zero-day (100% de probabilité)
- LLM spécialisés : WormGPT, FraudGPT génèrent du code d’exploitation sur simple prompt
- Analyse massive : millions de lignes de code analysées vs quelques milliers par un expert
- Exemple concret : découverte d’un zero-day Linux SMB avec l’API OpenAI o3 pour ~100$
- Explosion prévue : génération automatique d’exploits viables en 10 minutes dès 2026
Ingénierie sociale et deepfakes
- Sophistication : voix et visages synthétiques quasi-parfaits en temps réel
- Impact financier : transfert frauduleux de 25 millions$ en 2024 via manipulation vidéo
- Détection limitée : contre-mesures techniques imparfaites
Attaques sur IA défensive
- Injection de prompt : contournement des LLM de défense
- Empoisonnement de données : modification des flux télémétriques et données d’entraînement
- Exemples adversariaux : aveuglement des systèmes de détection
Évolution vers la cyber-résilience
Les limites du PRA traditionnel
Les Plans de Reprise d’Activité traditionnels, largement centrés sur le concept de RTO/RPO sont insuffisants face à l’augmentation et la sophistication croissante des cyberattaques.
L’intégration d’une stratégie de cyber-résilience
- Prévention : renforcement continu via technologies de jumeau numérique
- Détection : amélioration de la surveillance
- Réaction : optimisation de la réponse aux incidents
- Récupération : transformation du PRA en outil de remédiation
- Apprentissage : capitalisation sur chaque incident
Conclusion
L’IA transforme fondamentalement le paysage des cybermenaces par l’amplification des capacités offensives.
L’évolution du Plan de Reprise d’Activité face aux cybermenaces n’est plus une option mais un impératif vital. Les entreprises qui maintiennent une approche traditionnelle du PRA, centrée sur les RTO et RPO et des solutions traditionnelles On-prem, s’exposent à des risques majeurs face à la sophistication croissante des cyberattaques.
La transformation vers un PRA de cyber-résilience nécessite un investissement significatif, tant technologique qu’humain. Cependant, cet investissement constitue une assurance indispensable dans un contexte où les cyberattaques peuvent compromettre la survie même de l’entreprise.