L'IA au service des attaquants : Quand la compétence n'est plus la barrière

𝐋'𝐈𝐀 𝐚𝐮 𝐬𝐞𝐫𝐯𝐢𝐜𝐞 𝐝𝐞𝐬 𝐚𝐭𝐭𝐚𝐪𝐮𝐚𝐧𝐭𝐬 : 𝐐𝐮𝐚𝐧𝐝 𝐥𝐚 𝐜𝐨𝐦𝐩𝐞́𝐭𝐞𝐧𝐜𝐞 𝐧'𝐞𝐬𝐭 𝐩𝐥𝐮𝐬 𝐥𝐚 𝐛𝐚𝐫𝐫𝐢𝐞̀𝐫𝐞

Pendant longtemps, la sophistication technique constituait le principal filtre naturel du cybercrime. Conduire une attaque à grande échelle supposait des compétences pointues, des ressources humaines conséquentes, et un investissement temporel significatif. Ce filtre structurel est en train de disparaître.


L'IA ne redéfinit pas fondamentalement la nature des attaques, elle les rend plus rapides, plus efficaces, et surtout accessibles à des profils dont le niveau technique aurait, jusqu'ici, constitué un obstacle rédhibitoire. C'est cette mutation de fond qui doit retenir l'attention des équipes de sécurité.


𝐋𝐞𝐬 𝐜𝐡𝐢𝐟𝐟𝐫𝐞𝐬 𝐪𝐮𝐢 𝐩𝐚𝐫𝐥𝐞𝐧𝐭

Le CrowdStrike Global Threat Report 2026, publié le 24 février, dresse un constat sans appel sur l'année 2025 :

+89% d'attaques menées par des acteurs utilisant l'IA, par rapport à 2024.

Le breakout time moyen (le temps entre l'accès initial et le déplacement latéral vers d'autres systèmes) est tombé à 29 minutes, soit une accélération de 65% en un an. Le breakout le plus rapide observé : 27 secondes.

Pour contextualiser cette vitesse : en 2021, le breakout time moyen était de 98 minutes. En quatre ans, les attaquants sont devenus plus de trois fois plus rapides.

𝐋'𝐈𝐀 𝐜𝐨𝐦𝐦𝐞 𝐚𝐜𝐜𝐞́𝐥𝐞́𝐫𝐚𝐭𝐞𝐮𝐫 𝐨𝐩𝐞́𝐫𝐚𝐭𝐢𝐨𝐧𝐧𝐞𝐥
L'IA s'intègre aujourd'hui dans l'ensemble du cycle d'une attaque : reconnaissance automatisée, génération de leurres de phishing personnalisés, développement de code offensif, contournement des contrôles de détection. Elle amplifie les capacités des acteurs expérimentés et, simultanément, rehausse le niveau opérationnel des profils les moins qualifiés, comprimant ainsi le délai entre l'intention et l'exécution.


À titre d'illustration, des adversaires ont instrumentalisé des services GenAI commerciaux légitimes au sein de plus de 90 organisations, en y injectant des prompts malveillants pour générer des commandes de vol de credentials et de cryptomonnaie.

𝐋𝐚 𝐛𝐚𝐢𝐬𝐬𝐞 𝐝𝐮 𝐬𝐞𝐮𝐢𝐥 𝐝'𝐞𝐱𝐩𝐞𝐫𝐭𝐢𝐬𝐞 : 𝐥𝐞 𝐜𝐚𝐬 𝐅𝐨𝐫𝐭𝐢𝐆𝐚𝐭𝐞
C'est sur ce point que le changement structurel se manifeste le plus clairement. Amazon Threat Intelligence a documenté, en février 2026, un cas qui mérite d'être analysé en détail.


Un acteur russophone, à motivation financière et sans affiliation identifiée à un groupe APT disposant de ressources étatiques, est parvenu à compromettre plus de 600 équipements FortiGate répartis dans plus de 55 pays, entre le 11 janvier et le 18 février 2026. Le vecteur d'attaque n'est pas une vulnérabilité zero-day élaborée, mais l'exploitation de ports de management exposés sur internet et de credentials insuffisamment protégés, des lacunes élémentaires que l'IA lui a permis d'industrialiser à une échelle inédite.

L'acteur a mobilisé plusieurs services d'IA générative commerciaux à chaque phase de l'opération, compensant ainsi ses capacités techniques limitées pour atteindre un niveau opérationnel qui aurait, jusqu'alors, nécessité une équipe bien plus qualifiée. Plans d'attaque structurés par IA, scripts Python générés pour analyser et déchiffrer les configurations dérobées, outils de reconnaissance post-accès développés avec l'assistance de modèles de langage : l'ensemble forme une chaîne d'exécution quasi-industrielle, dans laquelle l'IA supplée le savoir-faire technique à chaque étape.

→ Ce cas illustre avec précision le nouveau paradigme opérationnel : le prompting se substitue partiellement à l'expertise. Savoir formuler les bonnes requêtes à un LLM, assembler des outils open source existants et automatiser les tâches répétitives s'avère désormais suffisant pour orchestrer une campagne à portée mondiale.
Il convient toutefois de ne pas surestimer la portée du phénomène. L'analyse du code généré par IA dans cette campagne révèle ses propres limites : commentaires redondants, architecture naïve, parsing fragile; un outil fonctionnel dans un contexte précis, mais qui échoue dès que l'environnement cible se complexifie. L'IA n'a pas supprimé l'expertise, elle l'a déplacée : de la capacité à coder, vers la capacité à orchestrer, corriger, et combiner. Ce n'est pas la même barrière, mais ce n'est pas non plus son absence.


𝐂𝐨𝐧𝐬𝐞́𝐪𝐮𝐞𝐧𝐜𝐞 𝐬𝐭𝐫𝐚𝐭𝐞́𝐠𝐢𝐪𝐮𝐞 : 𝐮𝐧𝐞 𝐚𝐮𝐠𝐦𝐞𝐧𝐭𝐚𝐭𝐢𝐨𝐧 𝐬𝐭𝐫𝐮𝐜𝐭𝐮𝐫𝐞𝐥𝐥𝐞 𝐝𝐮 𝐯𝐨𝐥𝐮𝐦𝐞
Le changement fondamental n'est pas que les attaques gagnent en complexité. C'est qu'elles gagnent en accessibilité. Les contraintes qui limitaient naturellement le bassin d'attaquants potentiels; le temps de montée en compétences, la rareté des profils offensifs, la complexité inhérente aux outils s'érodent progressivement sous l'effet de l'IA. La conséquence est mécanique : à mesure que le seuil d'entrée s'abaisse, la population d'acteurs capables de conduire des opérations significatives s'élargit, et avec elle, le volume d'attaques.

Les organisations qui fondaient leur posture sur l'obscurité ou sur une faible valeur perçue de leurs actifs pour différer les investissements en sécurité doivent reconsidérer cette approche. Dans un contexte où une campagne ciblant 600 organisations dans 55 pays peut être orchestrée par un individu isolé disposant d'un abonnement à un service GenAI grand public, la taille ou la discrétion ne constituent plus un facteur de protection.


𝐄𝐧 𝐜𝐨𝐧𝐜𝐥𝐮𝐬𝐢𝐨𝐧 : 𝐫𝐞𝐩𝐞𝐧𝐬𝐞𝐫 𝐥𝐚 𝐦𝐞𝐧𝐚𝐜𝐞, 𝐩𝐚𝐬 𝐬𝐞𝐮𝐥𝐞𝐦𝐞𝐧𝐭 𝐥𝐚 𝐝𝐞́𝐟𝐞𝐧𝐬𝐞
Face à cette évolution, la tentation serait de répondre uniquement par davantage d'outils, de détections supplémentaires, de couches de sécurité additionnelles. Cette réponse reste nécessaire, mais elle ne suffit plus si elle n'est pas accompagnée d'un changement de modèle mental.