Comment les agents d’IA pourraient accidentellement se transformer en Ransomware.

Les agents d’IA créent des risques de sécurité interne sans précédent qui peuvent refléter le comportement des Ransomware.

L’IA est passée d’un rôle de soutien à une autonomie totale, et cette évolution redéfinit la cybersécurité interne. Des agents d’IA autonomes, c’est-à-dire des systèmes conçus pour exécuter des tâches complètes sans intervention humaine, sont désormais intégrés dans les activités des entreprises. Ils ont ainsi le pouvoir d’exécuter des fonctions telles que la recherche dans les répertoires de l’entreprise, le cryptage des fichiers et l’exécution de sauvegardes automatisées. Leigh McMullen, analyste Gartner Fellow et Distinguished Vice-President, a averti qu’en l’absence de limites comportementales strictes, ces mêmes processus pourraient ressembler à l’activité d’un Ransomware. Selon lui, il s’agit de « donner les clés » à des systèmes qui, s’ils sont mal interprétés ou manipulés, peuvent agir de manière destructrice sans se distinguer clairement d’une cyberattaque réelle.

Pour les dirigeants, il s’agit d’un défi de gouvernance et de contrôle des risques, et non d’un débat technologique. Accorder à ces agents un accès large et perpétuel à l’infrastructure de l’entreprise signifie qu’une invite mal intentionnée, ou même une mauvaise interprétation du système, peut avoir des résultats catastrophiques. Le problème ne réside pas dans leur capacité, mais dans le manque de surveillance. À mesure que les agents d’intelligence artificielle continuent d’évoluer, le fossé entre la productivité et le risque se creuse.

Les dirigeants doivent donner la priorité à de véritables garde-fous opérationnels : des limites strictes en matière d’autorisations, une surveillance continue des comportements et des points d’arrêt automatisés qui empêchent les actions non approuvées. Il ne s’agit pas d’une question de peur, mais d’équilibre. Ces systèmes peuvent générer une immense efficacité, mais seulement avec des limites opérationnelles bien définies et un audit en temps réel. Sinon, l’IA pourrait devenir par inadvertance une menace interne, en exécutant des actions indiscernables d’un Ransomware sur votre propre réseau.

La montée en puissance des agents d’intelligence artificielle a fait de la gestion des identités et des accès le principal champ de bataille de la cybersécurité.

Alors que les agents d’IA automatisent des processus qui nécessitaient auparavant un examen humain, la gestion des identités et des accès (IAM) est devenue le nouveau centre de contrôle de la cybersécurité. Greg Harris, analyste chez Gartner, a expliqué que les systèmes d’IA modernes exécutent déjà des tâches telles que le traitement des paiements ou l’accès à des données internes sensibles, des opérations qui nécessitaient historiquement plusieurs couches d’approbation humaine. Sans une IAM robuste, c’est tout le modèle de sécurité zéro confiance qui s’effondre. Leigh McMullen a souligné que la façon dont les agents communiquent aujourd’hui, par le biais d’invites en langage naturel plutôt que d’interfaces d’application sécurisées, crée de nouvelles vulnérabilités. Lorsque des agents d’intelligence artificielle échangent librement des informations contextuelles, des acteurs malveillants peuvent exploiter cet échange pour détourner ou rediriger le comportement du système.

Actuellement, il n’existe pas de solution universelle de gouvernance de l’IA capable d’atténuer ce problème à grande échelle. La réalité, comme le dit McMullen, est qu’une couche de contrôle de l’IA holistique et « prête à l’emploi » est encore un fantasme. Les entreprises doivent construire leurs propres cadres défensifs, en combinant souvent des filtres rapides, des protocoles de prévention des pertes de données et des contrôles d’accès déterministes. Cela demande de la précision, pas de l’improvisation.

Pour les dirigeants, l’accent doit passer de la conformité à la capacité. La gestion de l’identité de l’IA n’est plus seulement une responsabilité informatique, c’est une priorité au niveau du conseil d’administration. Alors que ces systèmes commencent à prendre des décisions commerciales autonomes, le contrôle de leur identité, de ce à quoi ils peuvent accéder et de la manière dont ils communiquent devient vital pour la sécurité et la continuité. Investir dans une infrastructure d’identité qui prend en charge les environnements pilotés par l’IA n’est pas facultatif ; il s’agit d’un élément fondamental pour la prochaine phase de résilience numérique.

PARLONS-EN !

Un projet en tête ?
Planifiez un appel de 30 minutes avec nous.

Des experts senior pour vous aider à avancer plus vite : produit, tech, cloud & IA.

Planifier un appel

Veuillez saisir une adresse email professionnelle valide.

L’ingénierie sociale augmentée par l’IA et les attaques de type « deepfake » représentent la prochaine évolution des menaces externes en matière de cybersécurité.

L’IA transforme le mode de fonctionnement des cyberattaquants. Au lieu de créer de nouvelles méthodes d’attaque, ils utilisent l’IA générative pour renforcer les anciennes qui ont fait leurs preuves, principalement l’ingénierie sociale et le vol d’informations d’identification. Leigh McMullen, Gartner Fellow et Distinguished Vice-President Analyst, a décrit comment les attaquants utilisent des outils peu coûteux pour collecter des identifiants mobiles dans des espaces publics, tels que les salles d’attente, afin d’établir des profils détaillés de leurs cibles. Une fois qu’il a recueilli suffisamment de données, l’attaquant déclenche ce qu’il appelle un « deepfake kill chain ». En quelques secondes, une voix clonée ou une fausse identité peut être utilisée pour se faire passer pour une source fiable et amener les victimes à donner des informations financières critiques. Il ne s’agit pas d’incidents isolés, mais d’un modèle de cyberfraude de plus en plus personnalisé et évolutif.

L’élément moteur est le rapport coût-efficacité. Comme l’a expliqué M. McMullen, « il est beaucoup plus facile de voler 500 dollars à 1 000 personnes que 500 000 dollars à une seule personne ». Ce changement économique permet aux attaquants d’évoluer plus rapidement que les défenseurs ne peuvent s’adapter. La conséquence est un risque systémique : les organisations sont confrontées à un volume plus important d’attaques plus petites et très convaincantes qui contournent les systèmes de détection traditionnels.

Les dirigeants doivent considérer cela non pas comme un scénario futur, mais comme une réalité active. S’appuyer sur des mesures de sécurité obsolètes telles que l’authentification à un seul facteur est une responsabilité. Les entreprises doivent adopter des systèmes multi-facteurs qui vont au-delà des mots de passe, en combinant l’identification des appareils, la validation du routage réseau et les vérifications du contexte comportemental. De telles mesures rendent les attaques de type « deepfake » et « voice-cloning » beaucoup plus difficiles à exécuter avec succès.

La prochaine étape pour les équipes dirigeantes est d’ordre culturel : il s’agit de former les employés à détecter et à remettre en question les communications suspectes, même celles qui semblent authentiques. La tromperie pilotée par l’IA ne fera que s’améliorer. Le succès dépend de la rapidité avec laquelle les organisations intègrent la vérification et l’authentification adaptatives dans tous les flux de travail internes et en contact avec les clients.

Les grandes entreprises développent des défenses IA internes pour contrer l’escalade des menaces automatisées.

Alors que l’IA devient une arme dans les cyberattaques, les grandes entreprises construisent leurs propres défenses basées sur l’IA pour garder une longueur d’avance. La Commonwealth Bank (CBA) en est un bon exemple. Andrew Pade, directeur général des opérations de cyberdéfense à la CBA, a déclaré que la banque traite environ 400 milliards de signaux de menace par semaine. Pour gérer cette échelle, l’organisation a construit des outils d’IA propriétaires, développés conjointement par des analystes de sécurité seniors et des scientifiques de données, afin d’automatiser l’investigation, la génération d’hypothèses et la réponse aux incidents. Ces outils effectuent désormais en moins de 30 minutes des tâches d’analyse qui nécessitaient auparavant jusqu’à deux jours, ce qui permet aux experts humains de se concentrer sur des risques plus complexes et plus stratégiques.

L’approche de CBA représente un changement structurel dans les opérations de cybersécurité. Non seulement leurs systèmes d’IA détectent et répondent plus rapidement, mais ils interprètent également le contexte avant qu’un incident ne soit signalé par les humains. Par exemple, leur agent de réponse alimenté par l’IA peut identifier des anomalies comportementales, telles que des temps de connexion inattendus ou des changements dans le flux de données, avant que les déclencheurs de sécurité traditionnels ne s’activent. Il en résulte un confinement plus rapide et une différenciation plus fiable des risques.

Pour les dirigeants, ce modèle offre deux leçons précieuses. Premièrement, la rapidité est désormais une nécessité opérationnelle, et non une mesure de performance. Les acteurs de la menace utilisent déjà l’IA pour automatiser la reconnaissance et la préparation des attaques ; une prise de décision lente est une invitation ouverte à l’infiltration. Deuxièmement, les systèmes d’IA internes conçus à cet effet garantissent que les équipes de sécurité conservent le contrôle des données et des algorithmes, minimisant ainsi l’exposition liée à la dépendance à l’égard des fournisseurs.

M. Pade a souligné un autre avantage essentiel : la durabilité de la main-d’œuvre. L’IA se chargeant des tâches monotones et répétitives de triage des menaces, les professionnels de la cybersécurité peuvent se concentrer sur des analyses à plus forte valeur ajoutée. Cet équilibre améliore non seulement l’efficacité mais aussi le moral, en maintenant l’engagement des talents dans un secteur où le taux d’épuisement est élevé. Pour les dirigeants des conseils d’administration, cela démontre comment l’adoption de l’IA dans la défense, lorsqu’elle est guidée correctement, améliore à la fois les résultats en matière de sécurité et les performances humaines.

Point principal 5 : la dépendance excessive à l’égard de l’IA risque d’éroder les compétences essentielles en matière de sécurité et de contribuer à l’épuisement des dirigeants.

L’IA redéfinit les opérations de cybersécurité, mais sa dépendance incontrôlée commence à affaiblir l’expertise humaine essentielle. Gartner prévoit que 75 % des centres d’opérations de sécurité (SOC) deviendront trop dépendants de l’IA dans les années à venir. Greg Harris, analyste chez Gartner, a mis en garde contre le fait que les grands modèles de langage (LLM) ne sont pas déterministes et qu’ils peuvent produire des résultats différents pour des requêtes identiques au fil du temps. Cette imprévisibilité les rend peu fiables en tant que moteurs de décision autonomes en matière de sécurité. Lorsque les spécialistes humains cessent de s’engager profondément dans le travail d’investigation et d’analyse, leur capacité à identifier les anomalies subtiles ou émergentes diminue. Il en résulte un vide de compétences croissant qui affaiblit la résilience à long terme.

Le défi ne se limite pas aux équipes techniques. Christopher Mixter, analyste et vice-président de Gartner, a souligné que d’ici 2028, 50 % des responsables de la sécurité des informations (CISO) seront également chargés des responsabilités liées à la reprise après sinistre, ce qui alourdira une charge de travail déjà complexe. Il a établi un lien entre cette expansion et l’augmentation de l’épuisement professionnel et du taux de rotation des responsables de la cybersécurité. Gartner prévoit une augmentation de 40 % de l’attrition des dirigeants d’ici 2027, les RSSI devant faire face à une responsabilité croissante sans contrôle ni ressources proportionnelles. M. Mixter a insisté sur le fait que l’attribution de la gouvernance de la reprise aux RSSI sans réalignement structurel nuit à la stabilité opérationnelle au sens large, car la véritable continuité des activités dépend d’un leadership opérationnel coordonné, et non d’une surveillance de la sécurité seule.

Pour les dirigeants, il s’agit d’une double priorité : maintenir une surveillance humaine dans la boucle des opérations de sécurité pilotées par l’IA et faire respecter des limites de rôle claires au niveau de la direction. Investir dans des programmes de formation continue pour les équipes de cybersécurité permet de s’assurer que les compétences analytiques fondamentales restent intactes, même si l’IA automatise la surveillance des procédures. Dans le même temps, la direction générale doit protéger la bande passante du leadership en délimitant les responsabilités et en alignant la propriété de la planification de la résilience sur les départements opérationnels. Permettre à l’IA de dominer les processus de décision sans ces mesures de protection, c’est s’exposer à une instabilité à long terme, car la perspicacité technique et l’endurance des dirigeants se dégradent au fil du temps.

Les dirigeants devraient considérer cela comme une question de gouvernance stratégique. L’IA doit être un accélérateur et non un substitut au jugement humain. Une intégration équilibrée permet de préserver les connaissances essentielles, de maintenir la capacité de leadership et de soutenir une posture de sécurité continue qui peut s’adapter à l’évolution de la technologie et des menaces.

Principaux enseignements pour les dirigeants

• L’autonomie de l’IA crée un risque de Ransomware interne : À mesure que les agents d’IA gagnent en contrôle opérationnel, ils peuvent involontairement exécuter des actions de type Ransomware lorsqu’ils sont mal configurés ou manipulés. Les dirigeants doivent appliquer des contraintes comportementales strictes, vérifier les niveaux d’accès et utiliser la surveillance en temps réel pour prévenir toute utilisation abusive de l’IA en interne.
• Le contrôle des identités est la nouvelle ligne de front de la cybersécurité : Les agents d’IA effectuant des tâches professionnelles de haut niveau nécessitent une gestion précise des identités et des accès. Les dirigeants devraient donner la priorité aux cadres de confiance zéro, au contrôle d’accès basé sur le contexte et aux protocoles IAM renforcés pour éviter les défaillances de sécurité en cascade.
• L’ingénierie sociale alimentée par l’IA exige des défenses adaptatives : L’IA générative alimente des attaques évolutives de type « deepfake » et « voice-clone » qui exploitent la confiance et le contexte. Les entreprises doivent passer à l’authentification multifactorielle intégrée à la vérification contextuelle pour contrer cette forme croissante de tromperie.
• Les défenses IA internes renforcent la rapidité et le contrôle : Des entreprises comme CBA développent des outils d’IA propriétaires pour traiter des centaines de milliards de signaux de menace chaque semaine et réduire considérablement les délais de détection. Investir dans des capacités d’IA internes permet de réagir plus rapidement, de mieux contrôler les données et d’améliorer l’efficacité des cyberéquipes.
• La dépendance excessive à l’égard de l’IA menace l’expertise humaine et la stabilité du leadership : L’automatisation excessive risque d’éroder les compétences essentielles en matière de cybersécurité et de surcharger les RSSI avec des responsabilités croissantes. Les organisations devraient maintenir une supervision humaine dans les flux de travail de l’IA, investir dans la formation continue et structurer les rôles de leadership pour éviter l’épuisement.