Nous avons discuté avec l'une des principales entreprises de cybersécurité en Espagne. Et son diagnostic n'est pas encourageant

Nous avons discuté avec l’une des principales entreprises de cybersécurité en Espagne. Et son diagnostic n’est pas encourageant

ParSteven de Simseo

Hier matin, je me suis rendu à une nouvelle édition de la conférence sur la cybersécurité Secure&IT à Madrid avec une idée assez claire : entendre comment les entreprises utilisent l’intelligence artificielle pour mieux se défendre et rendre la vie difficile aux cybercriminels. C’était une attente raisonnable. L’IA est devenue l’une des grandes promesses du secteur et il semblait logique de penser qu’une bonne partie de la conversation tournerait autour de ses nouvelles capacités défensives.

Mais la journée a laissé une lecture bien plus profonde. Ce qui bouge n’est pas simplement une couche technologique supplémentaire par-dessus les systèmes habituels. C’est le cadre mental de la cybersécurité elle-même. La rapidité du changement, la sophistication des attaques et l’arrivée de nouveaux outils basés sur des algorithmes obligent les entreprises à tout repenser, depuis la façon dont elles corrigent les logiciels jusqu’à la manière dont elles anticipent les menaces. Le sentiment là-bas, en écoutant les intervenants, était clair : nous ne sommes pas confrontés à une simple mise à jour des outils, mais plutôt à un changement d’ère.

Francisco Valencia, directeur général de Secure&IT, que j’ai pu interviewer il y a quelque temps, a mis cette idée sur la table dès qu’il a commencé par une phrase particulièrement graphique : « Nous avons toujours dit qu’en matière de cybersécurité, nous avions un pas de retard sur la cybercriminalité et maintenant nous avons 10 pas de retard sur la cybercriminalité. La déclaration a surpris par sa grossièreté, mais elle a également aidé à organiser la conversation. Examiner ce désavantage de front, sans vendre de fausses certitudes, peut être la première étape pour comprendre ce qui s’en vient.

La cybersécurité attendait un allié, mais la cybercriminalité en a également trouvé un

La clé est que l’IA a non seulement modifié les outils disponibles, mais aussi l’équilibre du jeu. Valencia l’a exprimé crûment car, de son point de vue, les cybercriminels ont pris leur essor alors que de nombreuses entreprises tentent encore de décider comment utiliser l’IA de manière sûre, utile et gouvernée. Cette différence de rythme explique une bonne partie du diagnostic. Les attaquants n’ont pas besoin de résoudre tous les débats internes d’une organisation, de justifier chaque déploiement ou d’attendre une politique d’entreprise parfaite. Il leur suffit de tester, d’automatiser et d’exploiter ce qui fonctionne.

L’orateur a commencé par aborder l’un des éléments les plus inquiétants de ce nouveau scénario : le Dark LLM. Les LLM, ou grands modèles de langage, constituent la couche technique qui pilote des applications telles que ChatGPT, Copilot ou Gemini : des systèmes capables d’interpréter des instructions, d’aider à programmer ou de résoudre des tâches complexes. Les entreprises qui les développent introduisent des limites, des filtres et des garde-fous pour éviter les utilisations nocives, tant pour la sécurité que pour les critères éthiques avec lesquels elles conçoivent ces systèmes. Les Dark LLM, tels que FraudGPT et WormGPT, reposent sur une logique beaucoup plus dangereuse : offrir des fonctionnalités similaires, mais sans ces barrières.

Ce qui est intéressant est que cette logique ne dépend pas toujours de la création d’un nouveau modèle à partir de zéro. Valencia a également parlé de , une façon d’essayer d’éviter les limites d’une IA conventionnelle grâce à des instructions soigneusement construites. Il ne s’agit pas simplement de demander à un système de faire quelque chose d’interdit, mais d’encapsuler cette requête dans un contexte qui le pousse à répondre là où elle devrait s’arrêter. En pratique, le résultat peut être similaire : des capacités d’un modèle puissant mises au service d’usages que les grandes entreprises tentent de bloquer.

Ce saut est très bien compris lorsqu’on passe de l’outil à la tromperie. Depuis des années, nous associons de nombreuses campagnes de fraude à des messages maladroits, massifs et faciles à détecter, mais l’IA nous permet de changer d’échelle sans renoncer à la personnalisation. Le PDG de Secure&IT a résumé la situation avec une phrase très claire : « Je n’ai pas besoin d’envoyer du spam nigérian à 20 millions de personnes en disant que je suis tombé amoureux de 20 millions pour voir qui va mordre. J’envoie le même email à 20 millions, mais je dis à chacun ce qu’il veut entendre. » C’est toute la différence : l’attaque peut toujours être massive, mais elle n’a plus besoin de paraître générique.

L’attaque est peut-être encore massive, mais elle ne doit plus nécessairement paraître générique.

Lors de la présentation, un terme est également apparu qui a retenu mon attention : malware polymorphe. Cela peut paraître très technique, encore plus typique d’une conversation entre analystes qu’un article pour comprendre ce qui se passe, mais cela permet de faire ressortir quelque chose d’important. Nous ne parlons plus seulement d’un programme malveillant qui pénètre dans un ordinateur et tente de se répéter sur d’autres ordinateurs avec le même comportement. Il s’agit de quelque chose de beaucoup plus sophistiqué : une menace capable d’atteindre une machine, de lire l’environnement, d’identifier les défenses qui se trouvent devant elle et de générer une version adaptée à ce scénario spécifique.

La conséquence pour les équipes de sécurité est évidente : si chaque machine reçoit une variante différente, détecter des modèles, relier les signaux et reconstruire l’attaque devient beaucoup plus difficile. Il ne s’agit plus seulement de trouver un fichier malveillant et de suivre sa trace sur le réseau. Dans un scénario où « le virus sur chaque ordinateur est différent », la campagne peut avoir le même objectif, mais laisser des traces différentes sur chaque ordinateur. Et lorsque les traces changent, l’analyse n’est plus linéaire.

Conférence sur la cybersécurité Secure It 2 ​​​​​​2

Secure&IT a consacré ses journées cybersécurité cette année à analyser comment l’IA change le secteur

Le message de Valence sur l’automatisation a été l’un des plus clairs de la journée : l’IA fait perdre du temps à la défense. Pendant des années, les entreprises ont eu une certaine marge entre détecter une vulnérabilité, créer un exploit et l’exploiter réellement. Cette marge est peut-être imparfaite, mais elle existe. Il vous permettait d’organiser l’analyse, de prioriser les correctifs et de mettre à jour les systèmes tous les mois. La phrase qui résume le mieux le changement est directe : « Jusqu’à présent, le temps était une arme pour nous défendre et maintenant le temps n’est plus une arme pour nous défendre. »

La conséquence est très pratique. Si auparavant une organisation pouvait effectuer des analyses de vulnérabilité tous les plusieurs mois et planifier des mises à jour avec un certain calme, ce système commence à échouer. Selon les experts, un outil d’IA peut rechercher une vulnérabilité, l’identifier, préparer le chemin d’attaque et l’exécuter en quelques minutes. Lorsque « le temps ne passe plus », la mise à jour tardive n’est plus seulement une mauvaise pratique : cela peut signifier que la défense arrive après l’attaque. Le diagnostic marque déjà le terrain et prépare la question sous-jacente : comment une organisation se défend-elle lorsque l’ancienne fenêtre de réaction se ferme.

Votre identifiant, en vente 15 euros sur le dark web : combien valent nos données volées sur le marché noir d'Internet

Un autre moment de la journée m’a laissé réfléchir car il pointe vers un type de menace moins visible, mais avec un énorme potentiel de dégâts : des fuites qui ne se sont jamais produites. Il n’y a pas si longtemps encore, fabriquer une fausse base de données, suffisamment massive et crédible pour la faire passer pour des informations volées, était techniquement beaucoup plus complexe. Aujourd’hui, avec l’IA, ce scénario commence à se rapprocher beaucoup plus de ceux qui veulent causer du tort. Il s’agit de générer des documents synthétiques, de les présenter comme s’ils provenaient d’une entreprise ou d’un organisme public et de laisser les soupçons faire le reste. Car le problème n’est pas seulement de savoir si la violation a existé, mais aussi de nuire à la réputation qui peut survenir tout en prouvant qu’elle n’a jamais eu lieu.

À mesure que l’IA s’intègre aux entreprises, le périmètre change également. Nous ne parlons plus seulement de protéger les serveurs, les ordinateurs portables ou les comptes de messagerie, mais de protéger les données qui alimentent les modèles et les agents qui commencent à prendre des décisions ou à proposer des actions. Dans la journée, une idée particulièrement pertinente est apparue : l’empoisonnement des données. Si un système d’IA s’appuie sur des documents internes pour résumer, décider ou détecter une attaque, la modification de ces documents peut modifier la propre réponse du système. L’attaque, dans ce cas, n’est pas dirigée contre l’interface, mais contre les informations que l’IA considère comme fiables.

Conférence sur la cybersécurité Secure It
Conférence sur la cybersécurité Secure It

Hugo Llanos, de Secure&IT, a souligné lors de sa présentation que le secteur industriel a encore beaucoup de marge pour améliorer sa sécurité

Ce n’est un secret pour personne que de nombreuses personnes s’appuient déjà sur l’intelligence artificielle pour mieux travailler, étudier, résumer des documents, écrire plus clairement ou résoudre des tâches qui prenaient auparavant beaucoup plus de temps. En fait, une bonne partie de la révolution que nous vivons ne vient pas du fait que l’IA soit apparue de nulle part, mais du fait que l’accès à ces outils a été massivement démocratisé. La technologie n’est pas née hier, mais elle est désormais présente dans le navigateur, sur le mobile et dans les services que tout le monde peut essayer en quelques minutes. Et là commence une nouvelle tension pour les entreprises : ce qui pour un employé peut être une aide immédiate, pour l’organisation peut devenir une zone aveugle.

C’est le territoire de Shadow AI. Le problème n’est pas qu’un travailleur souhaite être plus productif, mais qu’il utilise des outils d’IA qui échappent au contrôle de l’entreprise. Cela peut se produire lors de la synthèse d’un rapport, du collage de fragments d’un document interne, de la consultation des données d’un client ou d’une demande d’aide pour préparer une présentation contenant des informations sensibles. Valencia l’a expliqué à partir d’une préoccupation très spécifique : chaque employé peut avoir « la sienne », sa propre intelligence artificielle, même payée par lui-même, et cela rend beaucoup plus difficile de savoir quelles informations sortent, à quel service elles parviennent et dans quelles conditions elles sont traitées.

Conférence sur la cybersécurité Secure It 3 2
Conférence sur la cybersécurité Secure It 3 2

Roberto Pérez, de Bitdefender, a montré un exemple pratique d’utilisation de PHASR pendant la journée

Dans cet effort pour repenser la défense, l’une des propositions que j’ai trouvées intéressantes était le PHASR, de Bitdefender, présenté par Roberto Pérez. L’idée n’est pas de bloquer les outils sans discernement, mais de réduire la surface d’attaque en fonction du comportement réel de chaque utilisateur. L’exemple PowerShell l’explique bien : il s’agit d’un outil Windows légitime, très utile pour les administrateurs et les équipes techniques, mais aussi très exploitable par des attaquants en techniques Living off the Land, où l’on abuse des fonctions déjà présentes dans le système. Si une personne des ressources humaines n’en a pas besoin pour son travail quotidien, la restreindre à ce profil spécifique peut fermer une porte sans affecter ceux qui en ont besoin. Ce n’est qu’un exemple, et il y en a sûrement bien d’autres en dehors de cette journée et de cet article, mais il renvoie à une idée pertinente : si l’attaque devient plus adaptative, la défense doit aussi apprendre à l’être.

Il y a un métier en plein essor à l'ère de l'intelligence artificielle : expert en cybersécurité

Cette journée ne m’a pas laissé le sentiment qu’il existe une réponse simple à tout cela. Le PDG de Secure&IT a résumé la situation par un avertissement judicieux : il n’existe « pas de solution magique ou unique », ni de bouton qui puisse immuniser une organisation contre les stratégies basées sur l’IA. Cela laisse cependant une image assez claire de la manière dont les cybercriminels ont pu agir rapidement pour tirer parti de ces outils et de la manière dont cette « étape » de désavantage dont nous avons parlé précédemment est désormais devenue un écart beaucoup plus grand. De nombreuses questions restent ouvertes, mais une conclusion semble difficile à éviter : la cybersécurité qui servait jusqu’à récemment ne suffit plus à elle seule. Réduire cette distance nécessitera des changements techniques, organisationnels, juridiques et culturels qui vont bien au-delà d’un seul outil.

Images | Simseo

À Simseo | Les mots de passe les plus utilisés en Espagne sont piratés en quelques secondes : si le vôtre figure sur cette liste, vous avez un problème

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.