L'accès sécurisé en question quand l’IA entre dans le jeu

Les attaques d’usurpation d’identité pilotées par l’IA se multiplient rapidement

L’IA s’améliore rapidement. Elle est désormais capable de se faire passer pour une personne réelle d’une manière difficile à repérer. Tonalité de la voix, gestes, expressions faciales, elle peut tout imiter. En 2024, une attaque par deepfake a coûté 25 millions de dollars à la société d’ingénierie Arup. Son directeur financier s’est joint à ce qui semblait être un appel vidéo standard avec le directeur financier et ses collègues. Tous les autres participants à cet appel étaient des copies synthétiques. Les attaquants ont utilisé l’IA pour imiter les voix et les apparences, tirées de vidéos publiques. Le courriel d’hameçonnage invitant l’équipe à la réunion a passé les contrôles de sécurité standard. La fraude est passée inaperçue jusqu’à ce qu’il soit trop tard.

Il ne s’agissait pas d’un piratage intelligent du code. Il s’agissait d’un piratage de la confiance, du timing et du jugement humain, renforcé par l’IA.

Le défi actuel est qu’il fonctionne déjà à un niveau auquel de nombreuses entreprises ne sont pas préparées. Si votre stratégie de sécurité considère encore les deepfakes ou le mimétisme comportemental comme des risques marginaux, vous sous-estimez la situation réelle. Les outils d’IA n’attaquent pas de la même manière prévisible que les logiciels malveillants traditionnels. Ils observent des schémas, la façon dont les gens tapent, se connectent ou déplacent une souris, puis les reproduisent avec précision. Ce qui était hier un comportement exclusivement humain peut aujourd’hui être reproduit par des machines.

Si vous êtes PDG, membre du conseil d’administration ou RSSI, prenez ceci au sérieux. Plus le fossé entre les attaquants IA et les défenses de l’entreprise reste ouvert, plus les brèches deviennent coûteuses. Et pas seulement en termes de perte d’argent, mais aussi en termes de perte de crédibilité auprès des clients, des partenaires et de vos propres équipes.

Selon les données de DeepStrike, l’hameçonnage alimenté par l’IA a augmenté de 1 265 % en seulement cinq mois en 2025. Le rapport de Microsoft sur la défense numérique en 2025 montre que les courriels d’hameçonnage utilisant l’IA obtiennent un taux de clics de 54 %. Les courriels traditionnels ? 12%. La fréquence des Deepfakes, vocaux et vidéo, double tous les six mois. Dans une récente enquête de Darktrace, 78 % des RSSI ont déclaré que les menaces liées à l’IA avaient déjà eu un impact majeur sur leurs opérations.

Les outils qui permettent ces attaques sont facilement disponibles. Tout, du « deepfake-as-a-service » aux kits d’hameçonnage prêts à l’emploi, est disponible et facile à utiliser. Il ne s’agit pas de théorie, mais de pratique, d’actualité et de propagation rapide.

Les outils de sécurité traditionnels sont insuffisants face aux menaces hyperréalistes de l’IA.

Les outils de sécurité actuels n’ont pas été conçus pour ce niveau de tromperie. La plupart des systèmes existants travaillent sur des modèles de détection, des choses qu’ils ont déjà vues. Signatures de logiciels malveillants, modèles de codes suspects, heures de connexion irrégulières. Les attaques de l’IA ne déclenchent pas toujours ces alertes. Le comportement peut sembler « normal » jusqu’à ce qu’il ne le soit plus. Car l’IA sait à quoi ressemble la normalité.

Nous avons besoin de couches de sécurité qui ne s’appuient pas uniquement sur des contrôles de routine ou sur des modèles appris par des machines. Ce qui fonctionne, c’est la combinaison de méthodes radicalement différentes, des approches que l’IA ne peut pas facilement apprendre ou imiter. Pensez aux systèmes cryptographiques tels que la validation de domaine basée sur le DNS, aux jetons d’authentification physique et aux véritables facteurs biométriques tels que les empreintes digitales et les scanners faciaux. Ces facteurs ne dépendent pas du fait qu’une personne « semble » légitime. Ils établissent l’identité avec autorité, en s’appuyant sur la conception et non sur des suppositions.

Qu’est-ce que cela signifie concrètement ?

Au niveau de l’infrastructure, la mise en œuvre d’une authentification basée sur le DNS permet de vérifier si la communication provient d’une source réelle et non d’une usurpation manipulée. Ces systèmes font appel à une cryptographie forte, et non à des suppositions. L’apprentissage automatique ne peut pas falsifier les enregistrements DNS à moins de contrôler le domaine. C’est un obstacle que l’IA ne peut pas franchir.

Ensuite, ajoutez la couche physique, les jetons de sécurité, les cartes à puce et les scans biométriques. Ces éléments nécessitent une entrée matérielle ou biologique. Là encore, l’IA n’est pas compétente.

Incluez ensuite des contrôles de comportement en cours d’exécution, comme un système de surveillance alimenté par l’IA qui examine l’endroit d’où provient une connexion, l’appareil sur lequel elle se produit, et si cela a un sens dans le contexte. C’est là que les entreprises peuvent encore tirer parti de l’IA. Utilisez-la pour signaler les anomalies au lieu de lui faire confiance pour différencier les vrais des faux utilisateurs au point d’entrée.

L’escalade est déjà là, il ne s’agit donc pas d’avoir la réponse parfaite. Il s’agit d’empiler les systèmes de manière à ce que, lorsqu’une couche est défaillante, une autre tienne le coup. Cette approche ne peut être ignorée ou reléguée au second plan sur la liste des priorités. Il n’existe pas de solution miracle en matière de cybersécurité, mais une approche par couches vous permet de passer de la vulnérabilité à la résilience.

Si vous n’avez pas encore élaboré de stratégies d’authentification qui supposent que les deepfakes sont réels et courants, vous êtes à la traîne. Prenez de l’avance dès maintenant, car l’IA ne ralentit pas. Et les attaquants ne ralentissent pas non plus.

L’authentification multi-facteurs (MFA) est une défense stratégique clé contre les cyber-menaces alimentées par l’IA.

La plupart des failles de sécurité ne se produisent pas parce que les attaquants sont plus intelligents. Elles se produisent parce que les systèmes sont sous-protégés. MFA, l’authentification multifactorielleest l’une des défenses les plus simples et les plus efficaces, et pourtant elle n’est pas utilisée aussi largement qu’elle devrait l’être.

Plus de 99,9 % des comptes compromis n’avaient pas activé le MFA. L’analyse de Microsoft montre que l’activation du MFA bloque 96 % des tentatives d’hameçonnage en masse et 76 % des attaques ciblées. Il s’agit là de chiffres importants qui ont un impact immédiat. Et pourtant, la plupart des entreprises n’ont pas agi assez vite.

Les données mondiales d’Okta sur la main-d’œuvre confirment qu’environ deux tiers des organisations ont adopté l’AMF, mais lorsque vous regardez les petites entreprises, les chiffres chutent brusquement. Dans les PME, seulement 35 % l’utilisent. Parmi les entreprises de moins de 100 employés, l’adoption se situe entre 27 % et 34 %, d’après une étude du Cyber Readiness Institute. Même dans les secteurs gouvernementaux, qui devraient être sensibles à la sécurité par défaut, le taux d’adoption n’est que de 55 %.

Cette lacune crée une exposition tout au long de la chaîne d’approvisionnement. Le point le plus faible devient la voie d’accès la plus facile, et les attaquants le savent. L’échec n’est pas seulement technique, il est aussi organisationnel. Lorsque l’AMF n’est pas appliquée par le haut, elle reste en bas de la pile d’exécution. Les équipes informatiques ne peuvent pas pousser assez fort sans l’impulsion des conseils d’administration et des dirigeants.

L’AMF ne doit pas être négociable, en particulier pour les cadres et les fonctions à haut risque. Ils sont les cibles les plus probables et, s’ils sont compromis, ils peuvent infliger les dommages les plus importants. Une fois que quelqu’un accède aux systèmes internes avec un identifiant de niveau exécutif, le reste des défenses n’est que du bruit.

Les équipes dirigeantes doivent donner le ton. Lorsque les PDG, les membres du conseil d’administration et les cadres supérieurs mandatent et soutiennent ouvertement l’adoption de l’AMF, ils favorisent la responsabilisation. Ce niveau de clarté descendante donne aux DSI et aux RSSI l’autorité dont ils ont besoin pour normaliser l’AMF parmi les utilisateurs, les partenaires et les appareils.

Les décisions en matière de sécurité ne sont pas prises par les services informatiques, mais par le conseil d’administration. L’AMF n’est plus optionnelle pour les organisations sérieuses. C’est une exigence opérationnelle.

Les méthodes d’AMF varient en efficacité

Il existe plusieurs niveaux d’AMF. L’efficacité dépend de la méthode que vous choisissez. Certaines sont sécurisées de par leur conception. D’autres sont tout simplement meilleures que rien.

Les mots de passe à usage unique basés sur le temps (TOTP), comme ceux de Google Authenticator ou de Microsoft Authenticator, sont solides. Ils expirent en 30 secondes et fonctionnent hors ligne. Ils sont fiables, peu coûteux et évolutifs pour de grandes bases d’utilisateurs. Ils réduisent les risques liés aux informations d’identification statiques, mais n’éliminent pas les menaces de haut niveau.

L’authentification biométrique, par balayage du visage, empreintes digitales, reconnaissance vocale, est plus forte. Ces données sont propres à chaque individu et plus difficiles à falsifier. Ajoutez l’authentification biométrique multimodale, comme la combinaison du visage et des empreintes digitales, et vos défenses deviennent encore plus difficiles à pénétrer. Ces méthodes créent de sérieuses frictions pour les mauvais acteurs qui essaient de se faire passer pour quelqu’un d’autre. Ils ont toujours besoin de votre visage, de votre main, de votre voix, et pas seulement d’un mot de passe.

Les notifications push sont mieux que rien, mais elles peuvent être la cible d’attaques par bombardement. Si un attaquant envoie des dizaines d’invites d’approbation push, un employé fatigué ou distrait pourrait en accepter une juste pour effacer l’écran. Ce n’est pas une défense fiable.

Les codes basés sur les SMS sont la plus faible des options encore largement utilisées. Ils s’appuient sur des systèmes de télécommunications existants, ce qui les rend vulnérables au changement de carte SIM, à l’interception et à l’ingénierie sociale. Ces méthodes continuent d’exposer les organisations à des risques inutiles, en particulier lorsqu’il existe des solutions plus efficaces.

Il y a ensuite l’authentification cryptographique, y compris les clés de passage basées sur des normes internet ouvertes telles que FIDO2 et WebAuthn. Ces approches lient l’authentification à des domaines de confiance et alignent l’identité sur des références matérielles sécurisées. L’IA peut cloner un visage ou imiter un comportement, mais elle ne peut pas générer de clés cryptographiques liées à un appareil. Pas encore.

Si vous évaluez les choix en matière d’AMF, optez pour les options qui minimisent l’avantage de l’IA. Les méthodes biométriques et cryptographiques créent une véritable friction là où c’est nécessaire, sans compromettre la vitesse ou la facilité d’utilisation. Au niveau de la direction, assurez-vous que l’entreprise ne se contente pas d' »utiliser l’AMF », mais qu’elle utilise le bon type d’AMF.

L’avenir de l’authentification réside dans les passkeys

L’authentification ne se limite plus aux mots de passe. Les clés USB sont la prochaine étapeet elles sont déjà prises en charge par Apple, Google, Microsoft et GitHub. Il ne s’agit pas d’une tendance marginale. C’est la direction que prend l’authentification sécurisée à grande échelle.

Les Passkeys sont basés sur FIDO2 et WebAuthn, des normes ouvertes qui comblent certaines des plus grandes lacunes des systèmes actuels. Ils utilisent la cryptographie à clé publique-privée, ce qui signifie que l’utilisateur détient la clé privée localement sur son appareil et qu’elle est comparée à une clé publique stockée chez le fournisseur de services. Lorsque ces clés correspondent, l’accès est accordé. Il n’y a pas de mot de passe à voler. Il n’y a rien que l’IA puisse falsifier.

Il est important de noter que les passkeys sont résistants à l’hameçonnage au niveau du domaine. Elles sont conçues pour ne fonctionner qu’avec le domaine exact pour lequel elles sont enregistrées. Les attaquants ne peuvent pas usurper un domaine similaire et obtenir les informations d’identification des utilisateurs, car le passkey ne répondra tout simplement pas au mauvais site. Il s’agit là d’un point de défaillance critique que l’on retrouve même dans les combinaisons mot de passe et MFA les plus puissantes.

Si vous combinez les passkeys avec la biométrie au niveau de l’appareil, comme Touch ID ou Face ID, le résultat est une expérience de haute confiance et de faible friction pour les utilisateurs. La sécurité est assurée sans ralentir les utilisateurs. Et en arrière-plan, cela élimine des catégories entières de menaces : le bourrage d’identifiants, les attaques par force brute, le phishing, tout cela n’a plus lieu d’être.

Ce n’est pas seulement plus sûr, c’est aussi plus évolutif. Grâce aux plateformes centralisées de gestion des identités et à la prise en charge de dispositifs natifs, les passkeys réduisent la complexité des connexions pour les utilisateurs tout en renforçant le contrôle de l’accès. Pour les entreprises disposant d’équipes nombreuses et distribuées ou de points d’accès exposés, il s’agit d’un avantage stratégique. D’autant plus que le vol d’informations d’identification est devenu plus efficace grâce à l’IA.

Les systèmes d’authentification qui reposent sur la reconnaissance des formes ou l’heuristique commencent déjà à échouer face à l’usurpation d’identité par l’IA. Les clés USB contournent ce problème en supprimant complètement le modèle. L’IA n’a rien à apprendre ni à tromper. Il n’y a qu’une vérité cryptographique : soit ça correspond, soit ça ne correspond pas.

Les stratégies d’authentification robustes doivent compléter la détection des menaces pilotée par l’IA.

L’IA est un accélérateur. Elle rend les attaquants et les défenseurs plus rapides. Mais l’IA ne peut pas tout couvrir, en particulier lorsqu’il s’agit de vérifier l’accès légitime. C’est là qu’intervient une stratégie d’authentification forte. Elle fournit une couche binaire, oui ou non, qui ne repose pas sur des probabilités ou des suppositions de modèles.

Voici le changement qui doit s’opérer : Les entreprises doivent cesser de considérer l’IA et l’authentification comme des systèmes distincts. Ce ne sont pas des concurrents, et ils ne sont pas interchangeables. L’IA est excellente pour la détection des anomalies, l’analyse en temps réel et la réponse. L’authentification concerne le contrôle d’accès. Lorsqu’elles sont correctement associées, elles créent un environnement beaucoup plus difficile à naviguer pour les attaquants.

Les systèmes de détection signalent des éléments tels que des emplacements de connexion bizarres, des heures d’accès étranges ou des appareils à risque. Grâce à l’IA, ces alertes peuvent être déclenchées en temps réel. Mais que se passe-t-il s’il n’y a pas de deuxième facteur fort au niveau du point d’accès ? L’attaquant entre alors dans le système avant même que l’alerte ne soit déclenchée. L’incident devient un nettoyage réactif au lieu d’une défaillance contenue.

Les méthodes d’authentification telles que les passe-partout et la biométrie physique ne nécessitent pas de détection. Elles sont définitives. Soit l’utilisateur est celui qu’il prétend être, de manière vérifiable, soit il ne l’est pas. Cela apporte de la certitude dans un domaine où l’IA, même à son meilleur niveau, est toujours basée sur des probabilités.

Selon le rapport d’IBM sur le coût d’une violation de données en 2025, la violation moyenne coûte 4,44 millions de dollars. Ce chiffre devrait inspirer toutes les décisions importantes en matière de sécurité à l’avenir. La détection vous aide à voir la menace. L’authentification vous permet de l’arrêter avant qu’elle ne se concrétise.

Les entreprises tournées vers l’avenir abordent cette question comme un système. L’IA sensibilise. L’authentification cryptographique renforce la certitude. Ensemble, elles augmentent le coût des attaques. C’est là que la valeur réelle est créée, en forçant les adversaires à travailler plus dur, à passer plus de temps et à prendre des risques plus importants pour essayer de s’introduire.

Utilisez l’IA là où il faut : pour la vitesse, la détection et l’échelle. Utilisez l’authentification là où c’est important : à la porte de l’identité. Et reliez les deux. C’est ainsi que vous deviendrez leader en matière de sécurité, non pas avec plus d’outils, mais avec une intégration plus intelligente.

Principaux enseignements pour les dirigeants

L’usurpation d’identité par l’IA est désormais une menace réelle : Les dirigeants doivent reconnaître que la fraude basée sur l’imitation profonde (deepfake) cause déjà de réels dommages financiers, l’IA étant capable d’imiter des utilisateurs de confiance par la voix, la vidéo et le comportement. Les signaux de confiance traditionnels ne sont plus fiables.
Les outils traditionnels ne suffisent pas : Les dirigeants doivent imposer une approche d’authentification multicouche comprenant une vérification cryptographique et des éléments de sécurité physique pour contrer la capacité croissante de l’IA à imiter le comportement humain.
L’AMF doit être une priorité stratégique : Les entreprises doivent normaliser complètement l’AMF à tous les niveaux d’utilisation, en particulier pour les cadres supérieurs, afin de combler les lacunes critiques exploitées par les cyberattaques basées sur l’IA. L’adoption doit venir d’en haut pour permettre une mise en œuvre efficace.
Toutes les MFA ne sont pas égales : Les dirigeants doivent se concentrer sur le déploiement des méthodes d’AMF les plus sûres, la biométrie et les clés cryptographiques, tout en abandonnant progressivement les options plus faibles comme les SMS, qui restent vulnérables aux vecteurs d’attaque les plus courants.
Les passkeys sont la prochaine norme : Les dirigeants devraient accélérer l’adoption des passkeys basés sur FIDO2/WebAuthn pour obtenir des expériences de connexion résistantes à l’IA et à l’hameçonnage. Ces méthodes éliminent les vulnérabilités liées aux mots de passe et établissent une confiance cryptographique à grande échelle.
Combinez la détection de l’IA avec une authentification forte : Les entreprises doivent intégrer la détection des menaces par l’IA à l’authentification non basée sur l’IA pour couvrir à la fois l’alerte précoce et le contrôle d’accès définitif. Cette double approche réduit le risque de violation et l’impact opérationnel.

Alexander Procter

novembre 28, 2025

16 Min

Tags: Intelligence artificielle

Technologies et innovation
Votre marque a besoin d’un DAM pour rester cohérente
Déc 4, 2025

14 min
Technologies et innovation
Là où l’IA échoue pour la plupart des entreprises
Déc 4, 2025

15 min
Recherche et conception produit
Comment les données intelligentes boostent la satisfaction client
Déc 4, 2025

11 min

L’accès sécurisé en question quand l’IA entre dans le jeu

Les attaques d’usurpation d’identité pilotées par l’IA se multiplient rapidement

Les outils de sécurité traditionnels sont insuffisants face aux menaces hyperréalistes de l’IA.

L’authentification multi-facteurs (MFA) est une défense stratégique clé contre les cyber-menaces alimentées par l’IA.

Les méthodes d’AMF varient en efficacité

L’avenir de l’authentification réside dans les passkeys

Les stratégies d’authentification robustes doivent compléter la détection des menaces pilotée par l’IA.

Principaux enseignements pour les dirigeants

Votre marque a besoin d’un DAM pour rester cohérente

Là où l’IA échoue pour la plupart des entreprises

Comment les données intelligentes boostent la satisfaction client

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !