Quand l’IA devient le moteur des nouvelles cybermenaces

Les campagnes de phishing pilotées par l’IA dominent les cyberattaques mondiales

Nous assistons à une nouvelle phase de la cybersécurité, alimentée par l’intelligence artificielle. Le phishingautrefois simple et prévisible, est devenu très adaptatif et axé sur les données. En 2025, Acronis a constaté une augmentation de 16 % des attaques par courrier électronique par organisation et de 20 % par utilisateur individuel. Le phishing représentait à lui seul 83 % de toutes les menaces par courrier électronique et plus de la moitié des attaques visant les fournisseurs de services gérés. C’est plus intelligent, plus rapide et beaucoup plus évolutif.

Le courrier électronique reste le moyen le plus facile pour les attaquants d’atteindre les gens. Mais aujourd’hui, l’IA rend ces attaques plus difficiles à repérer et plus faciles à diffuser. Les algorithmes analysent les modèles d’écriture, les indices comportementaux et les structures des entreprises pour générer des messages convaincants. Les attaquants n’ont plus besoin d’une expertise technique approfondie ; ils peuvent automatiser la persuasion à l’aide d’outils d’apprentissage automatique. Cette efficacité s’est également étendue à de nouvelles cibles. Les plateformes de collaboration, les outils de réunion, de partage de documents et de chat sont en train de devenir le prochain vecteur d’attaque majeur. À mesure que les entreprises développent la communication numérique, chaque fichier partagé ou lien de chat est un point d’entrée potentiel.

Les dirigeants doivent considérer cette question non seulement comme un problème informatique, mais aussi comme un risque opérationnel. L’IA donne de l’ampleur aux attaquants, et cette ampleur ne fera qu’augmenter. Les filtres traditionnels deviennent moins fiables car le phishing piloté par l’IA s’adapte trop rapidement. La bonne réponse consiste désormais à mettre en place une défense intelligente. Cela signifie l’automatisation, la surveillance en temps réel et la sensibilisation constante des employés. L’IA défensive sera aussi nécessaire que l’IA offensive est efficace.

Gerald Beuchelt, directeur de la sécurité de l’information chez Acronis, l’a clairement exprimé : les attaquants » mettent à l’échelle les méthodes traditionnelles comme le phishing et le Ransomware » grâce à l’IA. Il ne s’agit plus de suivre le rythme, mais de rester en tête. Pour que les organisations puissent prospérer dans ce nouvel environnement, la cybersécurité doit évoluer aussi vite que les menaces elles-mêmes.

L’adoption opérationnelle de l’IA transforme l’ensemble du cycle de vie de la cybercriminalité.

Nous avons dépassé le stade expérimental de l’IA dans la cybercriminalité. Elle est désormais opérationnelle, totalement intégrée à chaque étape importante d’une attaque, de la reconnaissance à l’exécution. Acronis a observé plusieurs groupes criminels utilisant l’IA pour automatiser leurs flux de travail. GLOBAL GROUP a mené des négociations de Ransomware pilotées par l’IA avec plusieurs victimes à la fois. GTG-2002 a utilisé des outils d’IA pour une reconnaissance minutieuse et le vol de données. Ces systèmes pensent, s’adaptent et agissent plus rapidement que n’importe quelle équipe humaine.

Les criminels appliquent également l’IA à la manipulation psychologique. Certains projets comprennent désormais des escroqueries par enlèvement virtuel utilisant des images de « preuves de vie » générées par l’IA, ce qui montre la rapidité avec laquelle les médias synthétiques peuvent être exploités à des fins d’extorsion. Ces tactiques, autrefois rares et expérimentales, font désormais partie des opérations criminelles structurées. Lorsque l’automatisation et l’intelligence se combinent à ce niveau, la détection précoce des schémas devient un véritable défi.

Pour les décideurs, il s’agit là d’un tournant décisif. Les méthodes traditionnelles de cybersécurité reposent trop sur le temps de réponse humain. Les menaces alimentées par l’IA se déplacent à la vitesse de la machine, et la surveillance humaine sera toujours plus lente. Les entreprises doivent se concentrer sur les systèmes de détection prédictive et l’infrastructure de défense automatisée. Cela inclut des analyses intelligentes capables d’identifier les anomalies, des modèles de menaces adaptatifs et une formation continue pour les équipes de sécurité.

La conclusion est simple : l’automatisation n’est plus facultative. Si les attaquants utilisent l’IA pour étendre leurs activités criminelles, les entreprises doivent utiliser l’IA pour se défendre. Attendre de réagir est une stratégie perdante ; l’innovation proactive est ce qui permettra aux entreprises de rester sûres et durables dans cette nouvelle ère de conflits numériques.

Le Ransomware reste une cybermenace centrale même si les méthodes d’attaque se diversifient

Le Ransomware continue de dominer le paysage des cybermenaces, prouvant qu’il n’est pas près de disparaître. Les attaquants redoublent d’efforts pour cibler les secteurs qui ne peuvent pas se permettre de temps d’arrêt, à savoir l’industrie manufacturière, la technologie et les soins de santé. Ces secteurs sont confrontés à une complexité opérationnelle et à une forte dépendance à l’égard d’un temps de fonctionnement continu, ce qui en fait des cibles idéales pour les Ransomwares. Le rapport d’Acronis a recensé près de 150 fournisseurs de services gérés (MSP) et organisations de télécommunications directement attaqués en 2025, et plus de 7 600 victimes divulguées publiquement dans le monde. Les principaux groupes, Qilin, Akira et Cl0p, ont fait collectivement plus de 2 200 victimes. Les États-Unis sont en tête de liste avec 3 243 organisations touchées.

Les opérateurs de Ransomware établis n’agissent plus seuls. Ils ont mis en place de vastes réseaux d’affiliés pour accélérer la distribution et l’impact. Parallèlement, de nouveaux acteurs tels que Sinobi, TheGentlemen et CoinbaseCartel font leur apparition, chacun affinant ses méthodes et cherchant à attirer l’attention par le biais de fuites de données et de portails d’extorsion publics. Cet écosystème croissant d’acteurs de la menace redéfinit le fonctionnement de l’extorsion numérique, plus automatisé, plus organisé et de plus en plus segmenté par secteur d’activité.

Pour les dirigeants, le Ransomware doit désormais être considéré non seulement comme un événement de sécurité, mais aussi comme un problème de continuité des activités. Une seule compromission peut perturber les opérations de base, nuire à la réputation de la marque et entraîner des temps d’arrêt prolongés. Il n’est plus possible de s’appuyer uniquement sur une défense périmétrique. Les dirigeants doivent veiller à ce que les entreprises conservent des sauvegardes de données immuables, des procédures de récupération testées et des systèmes de détection des menaces à plusieurs niveaux capables d’identifier les premiers signes de compromission. La cyber-résilience, c’est-à-dire la capacité à se rétablir rapidement après un incident, est le facteur déterminant pour minimiser l’impact.

L’économie qui sous-tend le Ransomware met également en lumière une préoccupation stratégique plus large. L’extorsion est devenue une activité concurrentielle pour les attaquants, avec des modèles de tarification, une reconnaissance de la marque et des processus de gestion des victimes. Pour le monde de l’entreprise, cela nécessite une réponse tout aussi organisée, des investissements dans l’intelligence artificielle, des évaluations régulières des risques et l’engagement des dirigeants dans la stratégie de cybersécurité. Les dirigeants ne peuvent pas s’éloigner du problème ; leur implication directe signale la priorité et façonne l’état de préparation de l’organisation.

Les attaques contre la chaîne d’approvisionnement et les fournisseurs de services mobiles s’intensifient grâce à l’exploitation d’outils d’accès à distance.

La cible des attaques s’étend des organisations individuelles aux écosystèmes interconnectés. Les cyberadversaires exploitent désormais les fournisseurs de services gérés et leurs partenaires pour multiplier l’effet d’une seule violation. Ces attaquants s’appuient sur des applications de surveillance et de gestion à distance (RMM) largement utilisées, notamment AnyDesk et TeamViewer, pour établir une persistance au sein des réseaux des clients. Acronis a recensé plus de 1 200 victimes parmi les tiers et la chaîne d’approvisionnement en 2025, dont 574 aux États-Unis. Akira et Cl0p ont été régulièrement impliqués dans ces campagnes, opérant sur de multiples réseaux de clients desservis par les MSP concernés.

Cette forte dépendance à l’égard des fournisseurs de services de gestion introduit un risque systémique. Étant donné que les fournisseurs de services de gestion contrôlent l’accès à distance, les configurations et les outils de surveillance pour plusieurs clients, un seul identifiant compromis peut permettre d’attaquer des centaines de systèmes interconnectés. Acronis a noté que toutes les vulnérabilités liées aux MSP divulguées en 2025 ont été classées dans la catégorie « élevée » ou « critique ». Même si les vulnérabilités signalées sont moins nombreuses, chacune d’entre elles représente un potentiel important de perturbation à l’échelle de la chaîne.

Pour les décideurs, cette réalité exige une attention au niveau de la gouvernance. La cybersécurité ne peut s’arrêter aux contrôles internes ; elle doit s’étendre à tous les fournisseurs et partenaires qui se connectent à l’infrastructure opérationnelle. Les dirigeants doivent s’assurer que les fournisseurs tiers se conforment à l’analyse continue des vulnérabilités et à l’authentification multifactorielle dans tous les outils de gestion. L’application de normes de sécurité strictes dans les contrats et la réalisation d’audits de sécurité périodiques sont des étapes cruciales pour réduire l’exposition.

L’ampleur croissante du ciblage de la chaîne d’approvisionnement renforce également l’importance de la visibilité. Les entreprises doivent être en mesure de retracer en temps réel l’impact d’un fournisseur compromis dans leur écosystème numérique. Cela nécessite des systèmes de surveillance intégrés, des cadres de réponse aux incidents clairs et des protocoles de communication alignés entre les équipes internes et externes. Pour les opérations mondiales, la transparence et la collaboration entre les partenaires peuvent réduire considérablement le rayon d’action de ces attaques. L’accent n’est plus mis uniquement sur la prévention, mais sur la résilience systémique, afin de garantir que même si une partie de la chaîne est compromise, l’organisation reste opérationnelle et sécurisée.

Les disparités géographiques et les tendances spécifiques aux plates-formes révèlent une évolution des priorités des attaquants.

Les cybercriminels sont de plus en plus sélectifs quant à la manière dont ils opèrent et au lieu où ils le font. Les dernières données d’Acronis montrent que l’intensité et la méthodologie des attaques varient considérablement d’une région à l’autre. L’Inde, les États-Unis et les Pays-Bas connaissent les taux les plus élevés d’infection de masse et de déplacement latéral, tandis que la Corée du Sud a enregistré les niveaux les plus élevés d’infection par des logiciels malveillants, touchant 12 % des utilisateurs. Ces schémas régionaux mettent en évidence la manière dont les attaquants adaptent leurs efforts pour exploiter les conditions locales, de la maturité de l’infrastructure numérique à la concentration de l’industrie et à l’application de la réglementation.

Dans le même temps, les plateformes de collaboration deviennent des cibles de choix. Acronis a constaté une forte augmentation des attaques avancées contre ces outils, qui sont passées de 12 % en 2024 à 31 % en 2025. Les attaquants utilisent désormais des tactiques d’ingénierie sociale qui s’intègrent parfaitement dans les flux de travail des applications de chat, de partage de documents et de réunions. Alors que de plus en plus d’entreprises intègrent ces outils dans leurs activités quotidiennes, le périmètre de sécurité continue de s’étendre, augmentant l’exposition à la manipulation, au vol d’informations d’identification et à la fuite de données. Il en résulte un environnement de menaces plus large et plus dynamique.

Pour les dirigeants, ces résultats fournissent des informations exploitables. La planification de la cybersécurité doit tenir compte des niveaux d’exposition régionaux, des différences de réglementation et des vulnérabilités propres à chaque secteur. Les organisations multinationales devraient investir dans des centres d’opérations de sécurité capables de suivre les menaces régionales. Cela permet aux équipes de détection et de réponse de surveiller les tendances locales et d’ajuster les défenses en fonction de l’activité des menaces propres à chaque région. Les dirigeants doivent également veiller à ce que les cadres de conformité s’alignent sur ces variations régionales afin de réduire les risques juridiques et de sécurité.

La recrudescence des attaques par le biais de plateformes de collaboration est le signe d’un changement structurel plus profond. La communication numérique n’est plus un outil auxiliaire, elle est au cœur de la continuité des activités. Les protocoles de sécurité doivent évoluer en conséquence, en renforçant la vérification de l’identité, en segmentant les autorisations et en mettant en place des systèmes de surveillance adaptatifs sur chaque plateforme utilisée par les employés pour collaborer. Pour les dirigeants, cela signifie qu’il faut considérer les environnements de collaboration numérique comme faisant partie de l’infrastructure principale de l’entreprise. La mise en place d’une surveillance centralisée et d’une gouvernance de la sécurité sur chaque plateforme connectée sera essentielle pour résister à la prochaine génération d’attaques multiplateformes basées sur l’IA.

Principaux enseignements pour les décideurs

L’escalade du phishing pilotée par l’IA : L’hameçonnage est aujourd’hui en tête des cyberattaques mondiales, l’IA rendant les campagnes plus rapides, plus adaptatives et plus difficiles à détecter. Les dirigeants devraient investir dans la détection automatisée des menaces et la sensibilisation continue du personnel pour contrer l’évolution des tactiques d’ingénierie sociale.
Opérationnalisation de l’IA dans la cybercriminalité : Les criminels intègrent l’IA dans la reconnaissance, la négociation et le vol de données, ce qui leur permet d’agir avec précision et à grande échelle. Les dirigeants devraient accélérer l’adoption d’une défense et d’une analyse prédictive basées sur l’IA pour s’adapter à ce rythme d’automatisation.
Persistance et diversification des ransomwares : Les Ransomware restent une menace critique, ciblant de plus en plus les industries dépendantes du temps de fonctionnement. Les décideurs doivent renforcer les systèmes de récupération des données, garantir la résilience des sauvegardes et mettre en œuvre des plans d’intervention qui minimisent les temps d’arrêt et l’impact financier.
Vulnérabilités de la chaîne d’approvisionnement et des fournisseurs de services de gestion : Les cybercriminels exploitent les outils de gestion à distance pour compromettre des chaînes d’approvisionnement entières en une seule fois. Les dirigeants devraient appliquer des protocoles de sécurité stricts pour les tiers, des évaluations continues des vulnérabilités et une gouvernance plus forte dans les réseaux de partenaires.
Modification des schémas d’attaque au niveau mondial : Les variations régionales et l’augmentation des attaques contre les outils de collaboration sont le signe d’une évolution des priorités des attaquants. Les dirigeants doivent adapter leurs investissements en matière de cybersécurité aux tendances des menaces locales, renforcer la protection des identités et considérer les systèmes de collaboration numérique comme des infrastructures essentielles à l’entreprise.

Alexander Procter

mars 4, 2026

13 Min

Tags: Intelligence artificielle

Marketing et croissance digitale
Ce que chaque marketeur doit anticiper en 2026
Mar 17, 2026

11 min
Marketing et croissance digitale
Le vibe marketing change la donne pour les équipes marketing
Mar 17, 2026

11 min
Marketing et croissance digitale
Pourquoi il est temps d’unir CreativeOps et MOps
Mar 17, 2026

18 min

Quand l’IA devient le moteur des nouvelles cybermenaces

Les campagnes de phishing pilotées par l’IA dominent les cyberattaques mondiales

L’adoption opérationnelle de l’IA transforme l’ensemble du cycle de vie de la cybercriminalité.

Le Ransomware reste une cybermenace centrale même si les méthodes d’attaque se diversifient

Les attaques contre la chaîne d’approvisionnement et les fournisseurs de services mobiles s’intensifient grâce à l’exploitation d’outils d’accès à distance.

Les disparités géographiques et les tendances spécifiques aux plates-formes révèlent une évolution des priorités des attaquants.

Principaux enseignements pour les décideurs

Ce que chaque marketeur doit anticiper en 2026

Le vibe marketing change la donne pour les équipes marketing

Pourquoi il est temps d’unir CreativeOps et MOps

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !