IA et cybersécurité : une arme à double tranchant

L’adoption rapide de l’IA rebat les cartes de la cybersécurité. Cette nouvelle surface d’attaque représente à la fois un défi et une opportunité pour le camp des cyberattaquants… mais aussi pour celui des experts en cybersécurité.  

L’IA ne dort jamais et ne connaît pas de frontières. Avec l’intelligence artificielle, la suppression des barrières linguistiques et culturelles permet d’amplifier, d’accélérer et d’automatiser les cyberattaques. On peut ainsi légitimement parler de menace augmentée par l’IA. Voici quelques exemples d’usages illicites.  

L’intelligence artificielle et particulièrement l’IA générative (ou « GenAI ») facilite l’usurpation d’identité. Le détournement des visages (« Deepfakes ») et même de la voix (« Deepvoices » ou « Deepfakes audio ») n’est plus l’apanage d’Hollywood et s’affine de jour en jour. Si les faux Tom Cruise et Keanu Reeves ont pu faire sourire dans un premier temps sur les réseaux sociaux, cette technologie est de plus en plus utilisée à des fins malveillantes. En 2024, l’usurpation d’identité d’un directeur financier via un deepfake, a permis de détourner 200 millions HKD, soit 25 millions de dollars ¹. Le détournement de l’intelligence artificielle peut également servir à des fins de désinformation, prolongeant sur la toile des conflits bien réels entre les nations, qu’ils soient militaires, financiers ou géopolitiques.  

La « Prompt Injection » est une démarche qui consiste à manipuler un modèle de LLM (« Large Language Model ») avec des requêtes malveillantes. En tournant la requête (ou « prompt ») d’une certaine manière, le cyberattaquant ou le hacker va tenter de contourner les filtres de sécurité de la plateforme pour arriver à ses fins.  

L’injection de données empoisonnées en phase de conception et d’entraînement du modèle LLM peut servir à introduire des vulnérabilités (« backdoors » ou « portes dérobées ») pour pouvoir détourner ultérieurement l’usage du modèle. L’introduction de biais cognitifs, idéologiques ou moraux lors de cette phase peut biaiser les résultats en sortie et donner de fausses informations à l’utilisateur.   

Au cours de la chaîne d’approvisionnement du modèle, des vulnérabilités peuvent également être introduites par des jeux de données ou plug-ins externes. 

Au-delà des usages détournés des modèles du marché, on assiste à la montée en puissance de « Dark LLMs ». Un Dark LLM comme WormGPT, FraudGPT ou WolfGPT est spécifiquement créé et entraîné pour faciliter des activités illicites : hameçonnage (ou « phishing »), création de faux concours ou de fausses demandes de prêts, ou génération de code malveillant et créer de faux sites web.  

L’intelligence artificielle représente également un atout pour les experts en cybersécurité. Elle accélère et renforce l’anticipation, la détection et l’identification des menaces.

L’IA permet d’analyser en continu des comportements suspects et d’optimiser la gestion des incidents. Capable d’ingérer d’importants volumes de données issus de différentes ressources liées au réseau (trafic, logs, bases de données, logiciels), l’intelligence artificielle peut être utilisée en 24/7 pour analyser le trafic du réseau afin d’identifier les comportements suspects, détecter les anomalies et les tentatives d'intrusion. Ces capacités de détection renforcées et accélérées peuvent ainsi détecter l’utilisation d’identifiants frauduleux (« Credential leaks »), la présence de logiciels malveillants pour les contrer et identifier les tentatives de vol de données.  

L’IA peut également analyser les courriels, détecter les plus suspects et alerter les utilisateurs sur les tentatives d’hameçonnage (« phishing »).

L'IA peut apprendre et s'adapter en permanence pour faire face aux nouvelles menaces émergentes. L'intelligence artificielle prédictive transforme ainsi la cybersécurité en permettant d'anticiper et de prévenir les menaces avant qu'elles ne causent des dommages. L’analyse prédictive combine données historicisées, modélisation statistique et apprentissage automatique (« Machine learning ») pour permettre aux équipes dédiées à la cybersécurité de prendre des mesures préventives.  

Grâce à l’IA, le traitement et l’investigation des alertes en matière de cybersécurité profite d’une véritable accélération. L’identification de la menace grâce à l’IA peut aider à départager les vrais positifs (une menace réelle) des faux positifs (les fausses alertes).  

L’utilisation d’un assistant GenAI unique ou multi-agent peut renforcer l’efficacité des cyber experts dédiés à la surveillance et à la gestion des alertes (dans le cadre d’un SOC ou « Security Operations Center » dédié à une entreprise ou à un organisme par exemple). Un assistant GenAI unique pour la gestion du « ticketing » peut par exemple croiser ldes tickets entrants avec l’historique de la base de données, restituer instantanément les anciens tickets présentant une corrélation, évaluer la sévérité de l’alerte et formuler des recommandations. Un système de supervision multi-agent, regroupant des assistants AI aux rôles et périmètres spécifiques, peut accélérer l’investigation à travers diverses ressources (Ticketing, CTI, SIEM, EDR…²). L’IA générative pourra également aider à classer automatiquement les retours du client et traiter massivement les faux positifs (ou fausses alertes).  

Chez Orange Cyberdefense, nous croyons fermement que l’alliance de l’intelligence humaine, de la Cyber Threat Intelligence (CTI) et de l’intelligence artificielle permet de développer une IA de confiance de bout en bout, conforme aux standards européens. Notre objectif : contribuer à rendre le quotidien des entreprises et des particuliers plus sûr. Pour en savoir plus, garder le contrôle et maîtriser vos risques, vous pouvez consulter notre rapport Security Navigator 2025.  

Sources : 

1 - « IA : une arnaque par deepfake a coûté 26 millions de dollars à une entreprise de Hong Kong », France Inter, 5 février 2024.

2 - CTI : Cyber Threat Intelligence ; SIEM : Security, Information and Event Management ; EDR : End Detection and response.