Dans le monde des affaires, l'intelligence artificielle est intégrée dans tous les processus opérationnels où elle peut créer de la valeur. La cybercriminalité n'est pas différente. Les cybercriminels utilisent déjà l'IA pour automatiser et dissimuler leurs attaques, et la menace n'est pas loin. Selon une étude de Cybersecurity at MIT Sloan, 80 % des attaques par ransomware analysées utilisent déjà l'IA pour exécuter ou améliorer leur exécution.
Nous examinons ici comment l'IA transforme les tactiques des ransomwares, l'impact de ces changements sur les stratégies de défense des entreprises et ce que les responsables de la cybersécurité peuvent faire dès maintenant pour renforcer leur résilience.
Heureusement, non.
Les ransomwares dotés d'une IA représentent une évolution des tactiques des cybercriminels, mais ce n'est que la prochaine. Chaque avancée majeure dans la sophistication des ransomwares s'est appuyée sur une technologie émergente pour obtenir un avantage à court terme. Historiquement, les défenseurs se sont adaptés efficacement pour contrer ces innovations, et les ransomwares basés sur l'IA suivront le même schéma.
Comme l'explique Patrick Ethier, directeur technique de SecureOps, "il y aura une période d'adaptation pendant laquelle les entreprises seront touchées, mais avec le temps, les tactiques de cybersécurité tiendront compte de ces avancées et apprendront à les contrecarrer".
Patrick a souligné que les organisations ne devraient pas considérer les ransomwares alimentés par l'IA comme une crise existentielle, mais comme une étape prévisible dans le cycle continu de l'innovation offensive et défensive. Toutefois, cela ne signifie pas qu'il n'y a pas de nouveaux risques et des menaces accrues à affronter. Il explique : "C'est comme observer un ouragan :
"C'est comme regarder un ouragan s'approcher. Il va frapper, mais si vous avez une maison à l'épreuve des ouragans, avec 12 jours de vivres et un générateur, vous êtes bien mieux loti. En revanche, si vous vivez dans un mobile home, que vous n'avez pas de nourriture et que vous êtes coincé au milieu d'un bouquet d'arbres, l'ouragan vous semblera bien plus effrayant.
Ce n'est pas que votre maison ne sera pas endommagée, même si vous avez fait toute la préparation du monde, mais il y a de fortes chances que les retombées vous affectent beaucoup moins. Et vous pourrez vous rétablir plus rapidement si vous êtes préparé".
L'analogie souligne que la préparation détermine l'impact. Un programme de cybersécurité bien structuré, avec des défenses superposées, des plans de reprise solides et un examen régulier, peut absorber le choc des attaques pilotées par l'IA avec une perturbation limitée. Pour les organisations non préparées, cependant, le même événement peut être beaucoup plus dommageable.
Le message adressé aux responsables de la sécurité n'est pas de paniquer, mais de planifier. Les ransomwares pilotés par l'IA sont la prochaine tempête d'une série de menaces en constante évolution. La différence entre les dommages et le désastre dépendra de la façon dont les défenses auront été renforcées avant l'impact.
L'IA améliore les campagnes de ransomware en augmentant leur vitesse, leur précision et leur adaptabilité à chaque étape du cycle de vie de l'attaque.
Le phishing reste le mécanisme de diffusion le plus courant pour les ransomwares, et l'IA a rendu ces campagnes plus efficaces. Les modèles génératifs peuvent collecter des informations de sources ouvertes, analyser l'activité des médias sociaux et produire des messages de phishing réalistes qui correspondent au ton, à la structure et aux habitudes des expéditeurs légitimes.
Cette personnalisation rend le phishing plus facile à lancer et beaucoup plus difficile à détecter. Les attaquants peuvent générer des milliers de messages uniques, adaptés au contexte, qui semblent légitimes sans les fautes d'orthographe et de traduction habituelles. Les systèmes d'intelligence artificielle repèrent les messages qui réussissent et adaptent les campagnes en temps réel. Cela crée une boucle de rétroaction qui améliore continuellement les taux de réussite des attaques.
Une fois l'accès initial obtenu, l'IA renforce la capacité d'un opérateur de ransomware à ne pas être détecté. Patrick explique que l'IA permet aux logiciels malveillants de générer du code en temps réel sur le système cible. Par conséquent, chaque instance du ransomware produit un code unique, même si l'objectif global reste inchangé.
Il a décrit ce processus comme du "vibe coding", ce qui signifie que le code est créé dynamiquement par l'IA plutôt que d'être transporté avec le logiciel malveillant. Par conséquent, il n'y a pas deux exécutions identiques. Cela rend les méthodes de détection traditionnelles, qui reposent sur des signatures statiques ou des modèles fixes, beaucoup moins efficaces.
Patrick a également souligné que l'IA permet aux ransomwares de cibler sélectivement les fichiers de grande valeur, plutôt que de crypter tous les fichiers d'un système. Selon lui, l'IA peut se concentrer sur les "10 fichiers importants" en premier, ce qui augmente l'efficacité et minimise l'activité qui déclencherait normalement les systèmes de détection des points finaux. En opérant lentement et délibérément, les ransomwares alimentés par l'IA peuvent échapper aux outils de surveillance standard et obliger les équipes de cybersécurité à s'appuyer sur l'analyse comportementale et la détection des anomalies.
À l'étape finale des opérations de ransomware, l'IA simplifie la collecte et la négociation de la rançon.
Patrick rappelle que la collecte "impliquait autrefois des scripts faciles à détecter ou quelque peu - je ne dirais pas triviaux, mais prévisibles", et que les enquêteurs pouvaient souvent retracer ces interactions jusqu'à des opérateurs humains. Il a comparé cette situation à la pratique actuelle : "Aujourd'hui, vous avez affaire à un chatbot à l'autre bout du fil. Et le chatbot intègre des messages-guides. Vous ne parlez donc plus à un être humain que vous recherchez".
M. Patrick a également expliqué que les attaquants peuvent utiliser l'IA pour réduire leur empreinte opérationnelle, en supprimant le besoin du même type d'infrastructure codée en dur qui a facilité l'attribution. Selon lui, le chatbot peut "pousser une adresse Bitcoin, par exemple, et par des canaux qui n'ont pas nécessairement besoin de mener à un serveur ou à un logiciel de commande et de contrôle à l'autre bout".
Ces deux points soutiennent une conclusion simple et factuelle : lorsqu'un chatbot sert de médiateur pour les interactions relatives aux rançons, l'attaquant laisse moins de traces humaines et moins de marqueurs d'infrastructure fixes à suivre. Cela accroît la difficulté d'attribution et peut ralentir ou compliquer la réponse à l'incident.
Les principes fondamentaux de la cybersécurité restent efficaces contre les ransomwares renforcés par l'IA, mais ils doivent être mis en œuvre avec cohérence et précision. Une gouvernance solide et des pratiques opérationnelles matures restent la meilleure défense, tandis que les stratégies défensives s'adaptent aux nouvelles techniques des attaquants.
Laconfiance zéro est devenue encore plus importante à l'ère de l'IA. La segmentation du réseau, les contrôles d'accès basés sur l'identité et les politiques d'authentification strictes sont les fondements de la résilience. Chaque utilisateur et chaque appareil doit être vérifié, authentifié et surveillé en permanence pour détecter tout comportement inhabituel.
Les ransomwares alimentés par l'IA s'appuient sur le mouvement latéral une fois qu'ils ont obtenu l'accès. Un modèle de confiance zéro limite ce mouvement en isolant les actifs et en appliquant le principe du moindre privilège sur l'ensemble du réseau.
La continuité des données est la dernière garantie. Les organisations doivent conserver des sauvegardes immuables et cryptées, stockées hors ligne ou dans des environnements sécurisés et segmentés. L'intégrité des sauvegardes doit être testée régulièrement par le biais d'exercices de récupération simulant des ransomwares.
Patrick souligne que la récupération dépend de l'intégrité vérifiée des données. "Si votre sauvegarde est compromise, votre plan de continuité des activités échoue avec elle.
De nombreux plans de réponse aux incidents existants supposent un comportement statique et prévisible des attaquants. Les ransomwares améliorés par l'IA introduisent des tactiques adaptatives et non linéaires. Les cadres d'intervention devraient inclure des scénarios impliquant des codes polymorphes, un comportement dynamique de commande et de contrôle, et des négociations automatisées de rançon.
Les exercices de simulation devraient tester ces situations et inclure des voies d'attaque simultanées, telles que des événements combinés d'hameçonnage et de compromission de la chaîne d'approvisionnement.
L'IA est déjà en train de remodeler les ransomwares, de l'infection à la collecte en passant par l'exécution. Pour les responsables de la cybersécurité, la bonne nouvelle est que les meilleures pratiques d'une opération de sécurité mature, à savoir la segmentation du réseau, les contrôles d'identité et d'accès, et de solides politiques de sauvegarde, restent très efficaces pour atténuer les risques aujourd'hui.
Pour ce qui est de l'avenir, M. Patrick a fait remarquer que la prochaine évolution des ransomwares basés sur l'IA impliquera probablement l'IA collaborative, où plusieurs machines infectées partagent la charge de calcul et coordonnent les stratégies d'attaque. Selon lui, "s'il y a 200 machines infectées qui se partagent la charge de créativité, elles utilisent leur cerveau collectif pour rendre leur attaque plus efficace". Bien que ce modèle distribué ne soit pas encore apparu dans la nature, Patrick souligne qu'il est inévitable. Il représente une menace émergente importante que les organisations doivent anticiper.
En attendant, les organisations doivent se concentrer sur les stratégies d'atténuation connues, maintenir une vigilance constante et se préparer à l'arrivée éventuelle d'attaques IA distribuées plus sophistiquées. La sensibilisation et la planification proactive permettront de gérer l'impact et de récupérer efficacement.
Pour en savoir plus sur la protection de votre organisation par la mise en place d'une architecture de confiance zéro.