Cybersécurité

La cybersécurité passe de la détection à la résilience IA

mm
Publié le

Avec pratiquement tous les actifs, l’activité commerciale ou les données précieuses enregistrés numériquement, l’accès continu à ces données et aux systèmes informatiques est essentiel.

C’est ce que la tactique d’extorsion appelée ransomware exploite. Il s’infiltre dans un dispositif électronique ou un réseau, bloque les utilisateurs hors de leurs données (généralement par chiffrement), puis exige une rançon pour fournir la clé de déchiffrement afin de rétablir l’accès.

Le ransomware est une activité criminelle en pleine expansion, les dommages mondiaux devant dépasser 265 milliards de dollars US chaque année d’ici 2031.

Le problème devient critique, car les campagnes modernes de ransomware ciblent désormais non seulement les particuliers mais aussi les réseaux d’entreprise, les systèmes municipaux et les secteurs d’infrastructure critique tels que la santé, la finance et l’énergie.

« En 2024, le secteur de la santé a enregistré les coûts de violation les plus élevés de toutes les industries, avec une moyenne de 10,93 millions de dollars US par incident, en raison de temps d’arrêt prolongés, de pénalités liées à la HIPAA et de la remédiation des informations de santé protégées. »

Ces incidents sont plus graves et impliquent des sommes plus importantes extorquées, même si 88 % de tous les incidents de ransomware ciblent les petites et moyennes entreprises (PME).

« Les organisations qui ont payé une rançon ont déclaré un paiement moyen de 2 millions de dollars US, contre 400 000 $ en 2023. Au‑delà des coûts immédiats, le temps d’arrêt moyen des organisations après une attaque ransomware dépasse désormais trois semaines, entraînant des pertes opérationnelles et de productivité cumulées dans les unités commerciales. »

Les méthodes de ransomware sont devenues de plus en plus sophistiquées, rendant progressivement les approches de détection traditionnelles basées sur les signatures et purement discriminatives insuffisantes. Le suivi des fonds est également devenu plus difficile, car aujourd’hui la rançon doit généralement être payée en cryptomonnaies.

En général, l’IA est à la fois un problème et une opportunité pour la cybersécurité. Elle peut aider à générer de meilleurs faux pour le phishing, améliorer l’efficacité de l’ingénierie sociale et créer de nouveaux points de défaillance dans l’architecture d’un système.

Source: Crowdstrike

Une nouvelle publication soutient également que l’IA générative pourrait aider à atténuer les menaces de cybersécurité. Et cela est particulièrement vrai dans le cas des attaques ransomware.

Il a été rédigé par un chercheur de l’Université de Cincinnati dans le Journal of Information Security and Applications1, sous le titre « Rethinking ransomware defense in the age of generative AI ».

Comment fonctionne le ransomware ?

Ransomware 101

La plupart des ransomwares verrouillent les données par chiffrement après une brèche de sécurité, permettant au pirate d’accéder à un dispositif ou à un réseau. Dans certains cas, ils peuvent même bloquer entièrement l’interface utilisateur du dispositif, plutôt que de chiffrer des fichiers individuels.

La demande de rançon est généralement formulée avec une exigence de paiement en cryptomonnaie, assortie d’une limite de temps stricte pour obtenir le déchiffrement des données, après quoi les victimes restent bloquées à jamais.

Dans certains cas qualifiés de double & triple extorsion, le chiffrement des données est combiné à des menaces de fuite publique des données volées, voire d’attaque contre vos clients et partenaires si la rançon n’est pas payée.

Cela peut être particulièrement problématique pour des données confidentielles telles que les informations commerciales, les propriétés intellectuelles précieuses, les informations médicales des patients, etc. Payer pour le déchiffrement, ou obtenir le déchiffrement par d’autres moyens, ne supprime pas les données volées des ordinateurs du pirate, ce qui signifie que la menace persiste même après le déchiffrement.

En général, les experts en cybersécurité et les agences d’application de la loi conseillent de ne pas payer la rançon, car cela ne garantit pas la restauration des données et peut souvent qualifier la victime de « cible de choix » pour des attaques ultérieures.

Les pertes liées au ransomware ne concernent pas seulement la rançon éventuelle, mais aussi les temps d’arrêt, les perturbations commerciales, les dommages à la réputation, les procédures de récupération coûteuses et les sécurités additionnelles nécessaires, etc.

« Les organisations qui subissent des incidents de ransomware font souvent face à une perte de confiance des parties prenantes – clients, investisseurs et régulateurs. Les clients perçoivent les violations comme des échecs de diligence raisonnable, entraînant une baisse de fidélité et une augmentation du churn. Les investisseurs peuvent remettre en question la maturité de la gouvernance de l’entreprise et sa posture de gestion des risques, contribuant à une baisse de la valorisation boursière. »

Comment prévenir le ransomware

Au‑delà des méthodes d’IA générative proposées par cet article, quelques pratiques doivent être mises en place pour réduire les risques d’attaques ransomware et leur gravité.

La première consiste en une adoption générale des bonnes pratiques de cybersécurité et un financement suffisant des équipes informatiques ainsi que la formation aux compétences de cybersécurité.

La seconde consiste à maintenir tous les logiciels à jour et patchés, le point de défaillance pouvant entraîner une vulnérabilité accrue pour l’ensemble du système.

La troisième consiste à prêter attention à l’accès sécurisé et aux erreurs humaines, et à fournir une formation pour les éviter, car de nombreuses attaques ransomware commencent par de l’ingénierie sociale et la conviction d’au moins un utilisateur d’ouvrir une brèche pour les pirates.

Enfin, une politique sérieuse de sauvegarde et d’archivage des données peut grandement réduire l’impact d’une attaque ransomware en disposant de données presque à jour à utiliser pour la récupération.

Utiliser l’IA générative pour combattre le ransomware

L’approche actuelle du ransomware se concentre sur les outils antivirus basés sur les signatures, les moteurs de règles statiques, ou intègre seulement partiellement les modèles traditionnels d’apprentissage automatique et d’apprentissage profond.

« Ces approches reposent fortement sur des jeux de données étiquetés et des signatures d’attaque prédéfinies, laissant les organisations exposées aux exploits zero‑day et aux malwares polymorphes qui modifient continuellement leur code pour contourner même les systèmes de détection multicouches. »

L’IA générative, le même type d’IA utilisé par des systèmes comme ChatGPT, peut aider à atténuer ces limites. En particulier, plusieurs types d’IA génératives peuvent être utilisés :

  • Modèles de langage de grande taille (LLM).
  • Réseaux antagonistes génératifs (GAN).
  • Auto‑encodeurs variationnels (VAE).
  • Modèles de diffusion.

Ce que chaque système GenAI peut faire ?

Les LLM peuvent assister les spécialistes IT et les utilisateurs ordinaires dans l’analyse de gros volumes de journaux système, de rapports d’incident et de flux de renseignements sur les menaces afin d’identifier les narratives d’attaque émergentes ou de générer des recommandations de réponse automatisées.

Les GAN génèrent des attaques « fausses » de ransomware qui peuvent être utilisées pour se préparer à la vraie menace. Ils peuvent ainsi synthétiser des variantes réalistes de ransomware pour tester la résistance et re‑entraîner les algorithmes de détection.

Les VAE peuvent apprendre des représentations comportementales latentes qui aident à distinguer l’activité malveillante de l’activité bénigne du système.

Ensemble, les GAN et les VAE peuvent aider à générer des échantillons synthétiques de ransomware et des données de processus bénins, répondant au défi persistant de la rareté des données et du déséquilibre des classes dans les jeux de données de cybersécurité.

En pratique, la confiance et l’interprétabilité sont essentielles pour l’adoption dans les centres d’opérations de sécurité réels. Ainsi, les systèmes basés sur GenAI devront non seulement identifier les menaces mais aussi justifier leurs sorties de manière compréhensible pour les analystes humains.

Mise en œuvre & risques supplémentaires

La mise en œuvre de ces systèmes nécessite une expertise qualifiée, car ils sont sensibles à la qualité des données, à la latence computationnelle et aux coûts de ré‑entraînement.

Il convient également de noter que ces systèmes doivent être déployés avec soin et des garde‑fous de gouvernance appropriés.

Les risques additionnels comprennent les attaques d’extraction de modèle, la manipulation d’instructions des outils de sécurité assistés par LLM, et l’empoisonnement adversaire de la télémétrie utilisée lors des cycles de ré‑entraînement, tous susceptibles de compromettre la fiabilité de la défense cybernétique assistée par IA.

La même technologie qui peut aider contre les attaques ransomware peut également être militarisée pour automatiser des campagnes de phishing, créer des malwares polymorphes ou imiter le comportement légitime d’un système afin d’échapper à la détection.

Recommandations politiques

L’utilisation de l’IA générative pour la cybersécurité doit être intégrée dans le cadre plus large des politiques IA, tant au niveau de l’entreprise/institution qu’au niveau national.

Cela inclut une supervision éthique et un alignement des politiques, garantissant que l’usage de l’IA respecte les normes de confidentialité, de sécurité et de responsabilité.

Une attention technique doit également être portée à la planification de la résilience, incluant les tests de récupération, les politiques de sauvegarde et la redondance du système.

Les cadres existants devraient aider à guider l’implémentation de GenAI dans les efforts contre le ransomware et la cybersécurité plus large, tels que ISO/IEC 42001, le NIST AI Risk Management Framework et les lignes directrices de conformité du EU AI Act.

Les besoins en capacité organisationnelle doivent également être pris en compte, avec une intégration progressive de l’IA générative au niveau de l’expertise en cybersécurité présente dans une organisation donnée, facteur limitant principal.

Dans l’ensemble, la stratégie idéale repose sur un apprentissage continu, où les connaissances organisationnelles tirées des incidents sont intégrées aux pipelines de ré‑entraînement de l’IA.

Conclusion pour les investisseurs

À mesure que la technologie IA progresse parallèlement à une numérisation toujours plus répandue, les menaces et les outils pour les contrer évoluent également.

Dans l’ensemble, la protection contre le ransomware passe du simple repérage des points d’extrémité à des plateformes de résilience plus larges, activées par l’IA, qui combinent détection, simulation, gouvernance et réponse humaine en boucle.

Cela devrait favoriser un système de cybersécurité intégré et holistique capable d’intégrer ces outils IA de manière fluide, et de fournir aux modèles IA les données et l’environnement nécessaires pour être exploités à leur plein potentiel.

Investir dans la cybersécurité basée sur l’IA

Crowdstrike

(CRWD )

CrowdStrike a été fondée en 2012 avec une approche cloud‑first de la cybersécurité, en se concentrant fortement sur les marchés B2B (business‑to‑business).

Le déplacement précoce de CrowdStrike vers le cloud lui a permis d’être en avance lorsqu’il s’agissait de protéger ce type de données, et a constitué un avantage concurrentiel majeur pour soutenir sa croissance à mesure que de plus en plus d’entreprises migraient des serveurs auto‑sécurisés sur site vers des serveurs cloud.

Un point clé de l’offre de CrowdStrike est qu’elle réunit dans un environnement cloud ce qui était auparavant un paysage extrêmement fragmenté de solutions de sécurité nécessitant d’être intégrées les unes aux autres. L’entreprise peut fournir la sécurité à tous les niveaux de l’organisation, des dispositifs individuels à l’ensemble de l’infrastructure IT d’une société.

Source: CrowdStrike

Parce que la cybersécurité doit être profondément intégrée aux opérations d’une entreprise, le choix d’un fournisseur de cybersécurité est une décision à long terme.

Cela se traduit par des revenus de CrowdStrike très prévisibles, avec un taux de rétention brute de 98 % de ses comptes utilisateurs. Au deuxième semestre 2026, l’entreprise prévoit une croissance de 40 % de son ARR net nouveau (revenus récurrents annuels).

L’entreprise est désormais un précurseur de la cybersécurité pilotée par des agents IA, de la même manière qu’elle l’a été pour la cybersécurité basée sur le cloud, intégrant déjà la défense agentique à tous les niveaux de ses systèmes.

Source: CrowdStrike

Un élément clé sera également de sécuriser les agents IA utilisés pour les tâches personnelles et professionnelles des utilisateurs. Tout en augmentant la productivité, ces agents constituent un nouveau vecteur d’attaque pour les pirates et les malwares, et les systèmes comme ceux de CrowdStrike deviendront de plus en plus indispensables pour sécuriser l’usage des agents IA.

Dans l’ensemble, cela offre à l’entreprise une opportunité de croissance massive, notamment grâce à sa position dominante dans le segment de la cybersécurité cloud, celui qui est le plus susceptible de fournir l’échelle et la qualité de données nécessaires pour déployer l’IA générative et d’autres technologies IA utiles à la sécurité numérique.

Source: CrowdStrike

Dernières CrowdStrike (CRWD) Actualités boursières et développements

Étude référencée

1. Nelly Elsayed. Réévaluer la défense contre les ransomwares à l’ère de l’IA générative. Journal of Information Security and Applications. Volume 101, septembre 2026, 104547. https://doi.org/10.1016/j.jisa.2026.104547

mm

Jonathan est un ancien chercheur en biochimie qui a travaillé dans l'analyse génétique et les essais cliniques. Il est maintenant un analyste boursier et écrivain financier avec un focus sur l'innovation, les cycles de marché et la géopolitique dans sa publication The Eurasian Century.