AI cybercrime imprese

IA et cybercriminalité : combien cela coûte réellement aux entreprises

L’intelligence artificielle n’est plus seulement un outil au service des attaquants. Elle est entrée au cœur opérationnel de la cybercriminalité et, en même temps, elle est devenue une nouvelle surface de risque pour les entreprises qui l’adoptent pour augmenter leur productivité, leur rapidité et leur capacité d’analyse. Le tableau dressé par Check Point Research dans son Rapport sur la sécurité de l’IA 2026 C’est clair : au cours de l’année écoulée, l’IA a réduit le coût d’entrée pour les criminels, accéléré la production de logiciels malveillants, rendu l’ingénierie sociale plus efficace et ouvert de nouveaux canaux d’évasion pour les données sensibles et les informations d’identification des entreprises.

La cybersécurité n’est plus un poste accessoire du compte de résultat. Cela devient une variable qui a un impact sur les revenus, les temps d’arrêt, les dépenses extraordinaires, les primes d’assurance, les investissements informatiques et la valeur de la réputation. IBM estime dans son Rapport sur le coût d’une violation de données 2025 un coût moyen mondial de 4,44 millions de dollars par violation, en baisse par rapport à 2024 mais toujours à des niveaux très élevés. La même étude relie la réduction du coût moyen à des délais d’identification et de confinement plus rapides, également soutenus par l’IA et l’automatisation.

Quand l’IA cesse d’aider et commence à fonctionner

Le passage qui ressort du rapport Check Point est industriel et non sémantique. Il y a un an, l’IA était décrite comme un « multiplicateur de force » pour les attaquants. Aujourd’hui, selon les chercheurs, il entre directement dans la chaîne d’attaque : il prend en charge les intrusions, automatise les workflows d’exploitation, aide à l’écriture de malwares et participe aux activités post-compromise. Dans certains cas analysés, l’intervention de l’IA est apparue non pas parce que les entreprises victimes l’avaient détectée, mais en raison d’erreurs opérationnelles commises par les attaquants eux-mêmes ou en raison de la surveillance effectuée par les fournisseurs de modèles.

Cela modifie la structure des coûts de la menace. Des techniques qui exigeaient jusqu’à récemment des compétences élevées et du temps peuvent désormais être réalisées plus rapidement et à moindre coût. Le rapport cite, entre autres cas, le cadre malveillant LienVide : environ 88 000 lignes de code fonctionnel, construites par un seul développeur en moins d’une semaine à l’aide d’un outil de codage d’IA commercial. Pour les entreprises, cela signifie que le nombre d’acteurs capables de produire des attaques crédibles augmente et que la qualité moyenne de l’offensive augmente.

Anthropic a décrit un bond similaire dans un rapport publié fin 2025 sur le GTG-1002, une campagne d’espionnage attribuée en toute confiance à un groupe chinois. Selon l’entreprise, Claude Code a été utilisé comme outil automatisé dans une structure d’attaque avec peu d’intervention humaine au cours des différentes phases opérationnelles. Il s’agit d’une indication importante car elle provient d’un fournisseur de modèles et confirme, à partir d’une source primaire, que l’IA n’est pas seulement utilisée pour générer du texte ou du code, mais pour prendre en charge des opérations hostiles plus complexes. (Source : www-cdn.anthropic.com)

Le marché noir de l’IA est déjà un marché de masse

Le rapport Check Point décrit trois manières principales par lesquelles les criminels obtiennent des capacités d’IA :

  • abus de modèles économiques,
  • utilisation de modèles open source auto-hébergés
  • achat de services créés à des fins malveillantes.

Dans la pratique, la voie la plus courante reste l’abus de modèles commerciaux, souvent avec des comptes volés ou obtenus à partir d’informations d’identification exposées. Le document mentionne également une économie parallèle de revente d’accès, dite «« Jackjacking », ce qui vous permet d’utiliser le compte de quelqu’un d’autre pour réduire les coûts et confondre l’attribution.

La nouvelle, d’un point de vue économique, est que l’IA cybercriminelle a tendance à devenir un produit packagé. Check Point signale les plateformes de phishing-as-a-service qui intègrent des modèles linguistiques directement dans le flux d’arnaque : collecte d’identifiants, lecture d’e-mails volés, rédaction de messages conformes au style de la victime, traduction automatique, invitations frauduleuses dans le calendrier. Lorsque les outils, le contournement de la protection et la fourniture se retrouvent dans un seul package commercial, la cybercriminalité se rapproche de plus en plus d’un modèle SaaS : moins de barrières techniques, plus d’échelle, plus de clients.

C’est le même schéma observé dans d’autres secteurs numériques : standardisation des produits, réduction des coûts marginaux, expansion de l’audience. Pour les entreprises ciblées, le résultat est une augmentation du volume des attaques crédibles, et pas seulement de leur sophistication.

Le coût réel pour les entreprises : temps d’arrêt opérationnel, marges et confiance

Les conséquences économiques ne sont pas théoriques. Marks & Spencer a indiqué dans ses résultats annuels de mai 2025 que le cyberincident subi au cours des semaines précédentes aurait un impact d’environ 300 millions de livres sterling sur son résultat opérationnel de l’exercice 2025/26. Dans les résultats semestriels publiés à l’automne 2025, le groupe avait alors chiffré 101,6 millions £ d’éléments extraordinaires liés à l’accident, partiellement compensés par 100 millions £ de couverture d’assurance. La société a également expliqué que l’épisode avait affecté l’allocation des stocks, les ventes en ligne et les coûts d’exploitation, tout en accélérant certains investissements de transformation technologique. (Source : Marks & Spencer)

Ce cas aide à lire le rapport Check Point d’un point de vue industriel. Une cyberattaque ne pèse plus seulement sur le budget de sécurité : elle peut bloquer le commerce électronique, la logistique, le service client, la supply chain et les flux de trésorerie. Lorsque l’IA rend les attaques plus rapides, plus adaptatives et plus convaincantes, le risque passe de la seule violation des données à la continuité opérationnelle.

Le secteur public a également resserré ses attentes en matière de délais de réponse. Check Point note que la fenêtre entre la divulgation d’une vulnérabilité et son exploitation se ferme. CISA continue d’utiliser le catalogue de Vulnérabilités exploitées connues comme référence opérationnelle pour la priorité de remédiation dans les systèmes fédéraux, signalant effectivement que le rythme de l’exploit dans la nature ne permet plus des cycles de correctifs lents.

L’adoption par les entreprises dépasse la gouvernance

Le chapitre le plus pertinent pour la direction est peut-être celui sur l’exposition interne. Entre octobre 2025 et mai 2026, les organisations ont utilisé en moyenne 10 applications d’IA différentes par mois, selon Check Point. Sur la même période, le nombre moyen de messages par utilisateur est passé de 56 à 70 entre décembre et mai, soit une augmentation de 25 %. Plus important encore : entre 87 % et 93 % des organisations ont connu au moins une interaction GenAI à haut risque chaque mois.

Traduit en langage commercial, cela signifie que l’IA est déjà entrée dans le travail quotidien beaucoup plus rapidement que les processus de contrôle. Nous ne parlons pas seulement de chatbots publics utilisés par des employés individuels, mais d’une constellation d’applications, de plugins, d’agents et d’outils de développement qui gèrent les données, le code, les documents, les invites et les secrets d’accès. Le risque ne se limite pas à quelques entreprises désordonnées : le rapport le décrit comme quasi universel.

L’analyse régionale montre également que l’Europe a le taux le plus élevé d’invites à haut risque, 3,95 %, devant l’Amérique latine avec 3,76 %, l’Amérique du Nord avec 3,33 % et l’Asie-Pacifique avec 2,88 %. Il s’agit d’un fait frappant car il s’agit de la région ayant la plus grande tradition réglementaire en matière de protection de la vie privée et des données. En d’autres termes, les règles ne suffisent pas si les processus réels d’utilisation de l’IA se développent plus rapidement que les contrôles.

De la fuite de données à la fuite invisible

L’un des aspects les plus délicats qui ressortent du rapport concerne les filières d’exfiltration non évidentes. Check Point décrit un cas de preuve de concept où la plateforme d’IA elle-même, et pas seulement une application connectée, devient un débouché pour les données. Dans le cas illustré, le bac à sable d’exécution de code de ChatGPT bloquait le trafic Internet ordinaire mais autorisait les requêtes DNS ; En utilisant des sous-domaines DNS pour coder les informations, une déclaration malveillante précédemment insérée pourrait divulguer les messages et le contenu téléchargés par l’utilisateur. Selon le rapport, le problème a été signalé à OpenAI et résolu le 20 février 2026, sans aucune preuve d’exploitation réelle.

Pour une entreprise, l’enjeu n’est pas seulement technique. Une fois que les données internes, le matériel réglementé ou la propriété intellectuelle sont partagés avec des services externes basés sur l’IA, le contrôle sur leur destination est réduit. Cela impacte la conformité, la protection du savoir-faire, le risque juridique et les relations avec les clients et fournisseurs. C’est là que les dépenses consacrées à la gouvernance et à la surveillance cessent d’être un coût défensif et deviennent une condition pour pouvoir utiliser l’IA à grande échelle.

Injection rapide, navigateurs agents et nouvelle surface d’attaque

L’autre front concerne l’IA en tant que cible. Check Point consacre suffisamment d’espace à l’injection rapide directe et indirecte. La deuxième forme est la plus insidieuse : des instructions malveillantes cachées dans des e-mails, des pages Web, des calendriers ou des documents que l’agent IA lit et peut traiter comme des commandes. Le rapport cite une étude qui a analysé 1,2 milliard d’URL et identifié environ 15 300 charges utiles d’injection indirecte d’invites, dont 70 % sont cachées dans des parties non visibles de la page, telles que des métadonnées ou des commentaires HTML. Dans la télémétrie Check Point, les détections de charges utiles longues et malveillantes ont été multipliées par cinq entre mars et mai 2026.

La valeur économique de ces attaques réside dans le levier qu’elles exploitent : les agents agissent au sein de sessions déjà authentifiées, avec de vrais privilèges et de vraies données d’entreprise. C’est pourquoi les navigateurs d’agents et les assistants intégrés aux workflows promettent de l’efficacité mais augmentent la zone de risque. L’investissement dans la productivité peut se transformer en une exposition inattendue.

Identités synthétiques et fraudes imitant une entreprise

Le rapport relie également l’IA à l’évolution de la fraude à l’identité. Dans le chapitre sur les identités numériques assiégées, apparaissent des deepfakes vocaux, des visages synthétiques, de faux documents et des profils professionnels conçus pour passer les contrôles KYC ou les processus de sélection. Check Point cite également le cas des réseaux nord-coréens de faux informaticiens, qui utilisent des identités fabriquées pour obtenir un accès légitime aux systèmes et aux environnements cloud des entreprises occidentales.

À ce sujet, le Forum économique mondial, dans un document de 2026 sur la vérification de l’identité numérique contre les deepfakes, souligne que les menaces contre les processus KYC ne sont plus un problème marginal, mais un défi systémique pour la confiance, la conformité et l’intégrité des contrôles à distance. C’est une problématique qui concerne les banques, les fintechs, les plateformes de cryptographie, les assurances, les télécommunications et, plus généralement, toutes les entreprises qui ont digitalisé l’onboarding et la vérification des clients.

Le FBI, pour sa part, a signalé à la fois la croissance des usurpations d’identité par messages et audio et le fardeau économique global des crimes en ligne : en 2024, l’IC3 a reçu 859 532 plaintes avec des pertes de 16,6 milliards de dollars ; en 2025, le total dépassait les 20 milliards de dollars. Dans une alerte de décembre 2024, l’agence a prévenu que de courts extraits audio pourraient suffire à cloner une voix et à obtenir des paiements ou un accès.

Pour les Cisos c’est désormais un jeu industriel

La dernière partie du rapport s’adresse aux RSSI, mais le message concerne en réalité l’ensemble du top management. Check Point écrit que le rôle du RSSI ne se limite plus à prévenir les violations ou à assurer la conformité : il doit permettre une adoption responsable de l’IA, en équilibrant l’innovation, le contrôle, l’avantage concurrentiel et le risque. La recommandation la plus concrète est de traiter l’IA comme un attaquant réel, capable d’accélérer son exploitation et de réduire les temps de réaction disponibles.

Ici revient l’aspect économique. Si la fenêtre des correctifs se raccourcit, si les comptes d’IA deviennent des cibles de vol, si les applications utilisées dans l’entreprise se multiplient et si presque toutes les organisations enregistrent au moins une interaction à haut risque par mois, alors la question n’est plus « s’il faut investir » mais « où investir en premier ».

Une gouvernance rapide, le contrôle des agents, la visibilité sur les outils réellement utilisés, la segmentation des accès, la protection des clés, la révision des workflows de développement et les simulations de réponses ne sont pas des mesures facultatives : ce sont des infrastructures de base pour défendre les marges et la continuité.

L’IA promet de la productivité et, dans de nombreux cas, la tient. Mais le rapport 2026 de Check Point montre que son intégration dans les entreprises a déjà un double effet : elle augmente la rapidité du travail et augmente la rapidité du risque. Les entreprises capables de concilier innovation et discipline opérationnelle bénéficieront d’un avantage concurrentiel. Les autres risquent de découvrir trop tard que le véritable coût de l’IA n’est pas la licence logicielle, mais le prix à payer lorsque la sécurité, la gouvernance et les affaires cessent de croître au même rythme.