Les firmes UK et US découvrent le prix des attaques IA

Une grande partie des organisations ont été touchées par des attaques d’empoisonnement des données d’IA.

L’empoisonnement des données par l’IA est en cours, et il cible les organisations de tous les secteurs. Selon le rapport de l’OI sur l’état de la sécurité de l’information, 26 % des organisations au Royaume-Uni et aux États-Unis ont déclaré avoir été victimes d’un empoisonnement des données de l’IA au cours de l’année écoulée. Ce n’est pas un chiffre négligeable. Si vos systèmes reposent sur l’apprentissage automatique, vous êtes déjà une cible potentielle. Ce qui rend cette menace si dangereuse, c’est sa nature discrète. Les attaquants manipulent les données qui forment vos modèles d’intelligence artificielle. Cela compromet la façon dont vos systèmes pensent et agissent, parfois sans que personne ne s’en aperçoive, jusqu’à ce que les choses commencent à mal tourner.

Ces attaques s’attaquent au cœur de ce qui rend l’IA utile : la reconnaissance des formes et la prise de décision automatisée. En altérant les données d’entraînement, les attaquants introduisent des vulnérabilités qui ne sont pas évidentes dans le code. Ils peuvent intégrer des portes dérobées, des moyens cachés de pénétrer à nouveau dans vos systèmes, et perturber subtilement des fonctions essentielles telles que la détection des fraudes ou les protocoles de cybersécurité. Les performances chutent. Les recommandations sont faussées. Les défenses s’affaiblissent. Votre IA devient l’outil de quelqu’un d’autre.

Les chefs d’entreprise doivent traiter l’intégrité des données d’IA de la même manière qu’ils traitent les rapports financiers, c’est-à-dire de manière critique, surveillée et à l’épreuve des défaillances. Espérer que les attaques ne se produiront pas est imprudent. Les systèmes d’IA n’ont pas seulement besoin de pare-feu ; ils ont aussi besoin de chaînes d’approvisionnement en données de formation supervisées, d’audits réguliers et de tests internes de l’équipe rouge.

Chris Newton-Smith, PDG d’IO, a été clair : l’adoption rapide de l’IA, sans garde-fous, a créé une vague de problèmes prévisibles. De nombreuses organisations ont agi rapidement pour obtenir un avantage en matière d’IA, mais ont laissé leurs systèmes grands ouverts. Un modèle de gouvernance solide n’est pas une formalité, c’est un bouclier.

Les incidents liés au Deepfake et l’usurpation d’identité induite par l’IA apparaissent comme des risques prévalents

Les « deepfakes » deviennent des problèmes concrets à une vitesse surprenante. Dans le rapport de l’OI, 20 % des organisations ont déclaré avoir été confrontées à des incidents de deepfake ou de clonage au cours de l’année écoulée. Il ne s’agit pas de cas d’utilisation expérimentale, ils sont utilisés dès maintenant pour attaquer la réputation, les finances et les processus décisionnels internes. Et comme 28 % des personnes interrogées considèrent l’usurpation d’identité lors de réunions virtuelles comme un risque croissant pour l’année à venir, il est clair que la surface d’attaque s’élargit.

En pratique, c’est simple. Quelqu’un utilise l’IA pour cloner une voix ou un visage, se connecte à une réunion, se fait passer pour un collègue ou un cadre et manipule le résultat. Ce n’est pas de la science-fiction. C’est une technique peu coûteuse, évolutive et difficile à détecter en l’absence de systèmes spécialisés. Si votre équipe ne sait pas que cela est possible, ou si elle ne dispose pas de protocoles d’authentification appropriés, il est facile de tomber dans le piège.

Dans un environnement distribué où les réunions virtuelles sont désormais la norme, ces attaques ont plus de points d’entrée que jamais. Il s’agit là d’une lacune en matière de sécurité. Les entreprises ont besoin de systèmes de détection active, de flux de vérification automatisés et, tout aussi important, d’une sensibilisation des employés. La cybersécurité n’est pas seulement une question de backend ; elle se pose de plus en plus au niveau du frontend, là où le contenu et les personnes interagissent.

C’est une autre raison pour laquelle une gouvernance proactive est essentielle. Attendre qu’une attaque se produise est un moyen garanti de perdre un temps précieux, la confiance ou le capital. La menace a déjà évolué. Les organisations doivent suivre le rythme.

Les fausses informations générées par l’IA et les attaques de phishing s’intensifient et mettent en péril la sécurité et la réputation des organisations.

Nous assistons à une augmentation rapide des menaces générées par l’IA générative, en particulier la désinformation et le phishing. 42 % des professionnels de la cybersécurité interrogés dans le cadre du rapport de l’OI déclarent que la désinformation générée par l’IA constitue désormais un risque majeur pour la prévention de la fraude et la réputation de la marque. Par ailleurs, 38 % d’entre eux considèrent que l’hameçonnage renforcé par l’IA est une préoccupation importante et croissante. Le message est clair : les outils traditionnels ne suffisent plus.

Les attaquants utilisent l’IA pour automatiser et intensifier la tromperie. Les campagnes de désinformation sont plus convaincantes, plus ciblées et plus difficiles à suivre.
Les messages d’hameçonnage, désormais rédigés par l’IA générative
générative, semblent souvent plus crédibles que ceux rédigés par des humains. Il ne s’agit pas d’erreurs faciles à repérer. Ils semblent cohérents. Ils semblent authentiques. Et ils arrivent au bon moment.

Le plus gros problème est que les défenses existantes, comme les filtres de courrier électronique de base ou l’examen manuel du contenu, n’ont pas été conçues pour cela. Les cyberéquipes sont débordées, non pas parce que les attaques sont complexes, mais parce qu’elles sont constantes et automatisées. Vous finissez par perdre un temps précieux à traquer les faux positifs alors que les menaces évoluent sous vos yeux.

Pour les dirigeants, la conclusion est simple : L’IA crée de l’échelle. C’est également vrai pour les attaquants. Vous avez besoin d’outils qui comprennent le contenu, le contexte et le comportement, et pas seulement les mots-clés marqués. Et vous avez besoin d’une conscience opérationnelle. Les équipes dirigeantes doivent s’assurer que tout le monde, et pas seulement les services informatiques, comprend l’évolution du modèle de menace. L’usurpation de l’identité d’un dirigeant par courrier électronique, la manipulation des employés par le biais de fausses notes de service internes, les fausses vidéos liées aux déclarations d’un dirigeant, tout cela est en circulation actuellement.

La sensibilisation générale ne suffit plus. Chaque entreprise devrait effectuer des simulations, tester des modèles de détection et donner aux équipes internes les moyens d’identifier les fausses informations avant qu’elles ne se propagent. Les organisations qui attendent les régulateurs ou les alertes externes pour réagir sont déjà en retard.

L’utilisation non autorisée de l’IA, connue sous le nom d' »IA fantôme », crée des vulnérabilités internes.

L’IA fantôme
est exactement ce que l’on pourrait croire : les employés utilisent des outils d’IA sans l’approbation, la politique ou la surveillance de l’entreprise. Selon le rapport de l’OI, 37 % des organisations ont confirmé que leurs employés utilisent des systèmes d’IA non approuvés dans le cadre de leur travail. Par ailleurs, 40 % ont exprimé leur inquiétude quant aux outils d’IA qui prennent des décisions autonomes sans vérification de la conformité ou de la qualité.

Ce problème croissant est dû en grande partie à la commodité. Les outils publics d’IA sont accessibles, rapides et souvent meilleurs que les systèmes internes. Les gens les adoptent donc, souvent avec de bonnes intentions. Mais cela ne réduit pas le risque. Lorsque les outils d’IA traitent les données de l’entreprise sans contrôles approuvés, vous introduisez une exposition inutile. Des données sensibles, des résultats imprévisibles et aucune piste d’audit, le tout dans votre environnement de production.

La plupart des entreprises ne s’y sont pas préparées, car l’IA n’était pas considérée à l’origine comme une plateforme d’entreprise. Mais la vérité est que tout système d’IA qui puise dans des informations propriétaires ou génère des communications externes fait désormais partie de l’empreinte opérationnelle de votre entreprise. S’il est invisible pour vos équipes de conformité, c’est une responsabilité.

Les dirigeants doivent prendre le contrôle de la situation. Interdire purement et simplement l’IA ne fonctionne pas, cela ne fait que la repousser encore plus loin dans la clandestinité. L’approche la plus intelligente consiste à fixer des limites claires : définir quels outils sont approuvés, créer des flux de travail pour une utilisation sûre et exiger une visibilité sur les résultats obtenus grâce à l’IA. L’utilisation de l’IA doit être traçable et alignée sur vos normes internes en matière de données, de sécurité et de droit.

La sécurité n’est plus seulement une question de pare-feu et de cryptage. Il s’agit de savoir avec quelles technologies vos équipes interagissent au quotidien et de s’assurer que ces outils sont au service de votre entreprise, et non qu’ils la compromettent.

Le déploiement rapide et incontrôlé de l’IA a dépassé les contrôles réglementaires, compliquant les efforts de sécurité.

Trop d’organisations ont adopté rapidement l’IA sans avoir au préalable mis en place la gouvernance nécessaire pour la soutenir. Elles ont agi rapidement, souvent pour devancer leurs concurrents, mais ont sous-estimé la complexité de la sécurisation de ce qu’elles ont déployé. Selon le rapport sur l’état de la sécurité de l’information de l’OI, 54 % des entreprises admettent avoir déployé des outils d’IA trop rapidement. Aujourd’hui, elles s’efforcent de les réduire ou d’appliquer des contrôles de sécurité a posteriori.

La complexité de la sécurité s’est développée rapidement. En un an seulement, le nombre d’organisations citant l’intelligence artificielle et l’apprentissage automatique comme un défi majeur en matière de sécurité est passé de 9 % à 39 %. Plus de la moitié d’entre elles affirment que l’IA entrave activement leurs efforts de sécurité au sens large. C’est un signal clair que l’approche actuelle est défaillante : vous ne corrigez pas le risque opérationnel en superposant l’IA à des lacunes non résolues.

Bon nombre de ces problèmes découlent de décisions prises dès le départ, comme l’intégration d’API publiques dans des flux de travail sensibles ou l’absence de mise en bac à sable des systèmes lors de la formation. Le problème sous-jacent est une simple friction de conformité. Lorsque les systèmes d’IA fonctionnent sans visibilité, en particulier ceux qui prennent des décisions automatisées basées sur des entrées dynamiques, ils sont difficiles à gouverner et encore plus difficiles à sécuriser.

Les dirigeants doivent intervenir de manière structurée. Cela signifie qu’il faut vérifier où l’IA est déjà intégrée, revoir la façon dont elle est formée et faire passer le développement de l’IA d’un mode d’expérimentation à des structures responsables et gérant les risques. Trop souvent, les équipes optimisent la vitesse et non la durabilité. Cela n’est pas viable.

Chris Newton-Smith, PDG d’IO, souligne que les organisations ont confondu vitesse et stratégie. Les capacités techniques ont dépassé la gouvernance, et beaucoup en paient aujourd’hui le prix. Cette situation n’est pas irréversible. Mais elle exige des entreprises qu’elles soient honnêtes quant à leur situation et qu’elles agissent rapidement pour combler le fossé.

Les organisations investissent de plus en plus dans des mesures de sécurité et des cadres de gouvernance basés sur l’IA

Malgré les risques,
l’adoption de l’IA dans le domaine de la cybersécurité s’accélère
et ce, pour de bonnes raisons. L’IA défensive, lorsqu’elle est correctement mise en œuvre, peut surpasser les systèmes existants et améliorer la précision de la détection des menaces. Au cours de la seule année écoulée, l’IA, l’apprentissage automatique ou la blockchain ont été mis en œuvre dans les cadres de sécurité de 79 % des organisations interrogées au Royaume-Uni et aux États-Unis, contre seulement 27 %. Il s’agit d’une augmentation significative.

L’intention est claire. Les organisations investissent massivement pour dépasser les limites actuelles. 96 % prévoient de déployer des outils de détection des menaces alimentés par l’IA générative. 94 % ciblent les systèmes de détection des faux documents (deepfake). Enfin, 95 % mettent l’accent sur les cadres de gouvernance de l’IA, en établissant des limites, des possibilités d’audit et un alignement des politiques dans le cadre de leur utilisation des systèmes intelligents.

Ces décisions sont le signe d’une certaine maturité. Au lieu de bloquer l’IA, les entreprises restructurent leur approche pour guider son développement. Ce qui est important ici, c’est que la gouvernance ne ralentit pas l’innovation, elle la rend durable. L’utilisation incontrôlée a été la première vague. Ce qui vient ensuite, c’est la clarté, la politique et la conception intentionnelle.

Le Centre national de cybersécurité du Royaume-Uni a déjà lancé un avertissement : L’IA augmentera probablement l’efficacité des attaques au cours des deux prochaines années. C’est maintenant qu’il faut agir. Des cadres tels que l’ISO 42001 offrent une véritable voie pour intégrer l’IA responsable dans les flux de travail des entreprises. Ils établissent une base de référence pour la transparence, l’atténuation des risques et la résilience opérationnelle.

Chris Newton-Smith a également été clair à ce sujet : la résilience ne consiste pas à résister au changement, mais à mettre en œuvre les bons systèmes pour que les entreprises puissent réagir rapidement, se rétablir plus vite et prendre des décisions défendables lorsque les systèmes sont soumis à des contraintes. Le coût de l’inaction s’accroît. Mais les entreprises qui y parviendront auront un avantage mesurable, non seulement en termes de sécurité, mais aussi de confiance.

Les agences gouvernementales de cybersécurité prévoient que l’IA renforcera l’efficacité des cyberattaques

La trajectoire est claire : les cyberattaques deviennent plus efficaces grâce à l’utilisation de l’IA. Il ne s’agit pas d’une spéculation, mais d’une mise en garde d’experts en sécurité nationale. Le Centre national de cybersécurité du Royaume-Uni a déclaré que l’IA augmentera presque certainement l’impact et la précision des menaces numériques au cours des deux prochaines années. À mesure que l’IA générative gagne en efficacité, l’écart de compétences et de ressources qui séparait autrefois les pirates amateurs des acteurs de la menace avancée continue de se réduire.

Cette évolution est importante. Les attaquants exploitent déjà l’IA pour automatiser la découverte de vulnérabilités, contourner les détections, cloner les identités et manipuler les messages. Ces outils démocratisent désormais les exploits complexes, les rendant plus rapides à créer, plus difficiles à défendre et adaptables en temps réel. La surface d’attaque ne va pas seulement s’agrandir, elle va devenir plus dynamique. Cela met les stratégies de défense traditionnelles sous pression.

Les entreprises qui continuent à considérer la cybersécurité comme un processus figé et réactif prendront du retard. L’ampleur de l’évolution des menaces exige une prévoyance stratégique intégrée aux opérations de sécurité. Il s’agit notamment de remplacer les piles de sécurité réactives par une détection améliorée par l’IA, de déployer des systèmes de déception qui répondent de manière dynamique aux menaces et de soumettre les contrôles internes à des tests de résistance actifs face aux méthodes d’attaque basées sur l’IA.

Pour les dirigeants, il s’agit d’un point d’inflexion. L’investissement dans la cybersécurité ne peut plus se limiter à la correction des vulnérabilités connues. Il doit inclure les capacités prédictives permettant de modéliser les endroits où de futures attaques pourraient émerger, et de prendre des mesures dès maintenant pour en atténuer l’impact. Cela signifie qu’il faut s’aligner sur les cadres de meilleures pratiques, maintenir l’état de préparation aux attaques et mettre en place des cadres de gouvernance de l’IA transparents et bien définis qui couvrent les produits, l’infrastructure et la conformité.

Chris Newton-Smith, PDG d’IO, a souligné comment des cadres tels que l’ISO 42001 offrent aux entreprises une voie pratique pour aller de l’avant, en favorisant l’innovation sans sacrifier la résilience. La capacité de récupérer, de communiquer et de protéger les opérations de manière cohérente face à des menaces intelligentes constituera un avantage concurrentiel pour ceux qui agissent tôt. Il ne suffit pas de savoir que l’IA change la cybersécurité. Les dirigeants doivent être ceux qui façonnent la façon dont elle est sécurisée.

Récapitulation

L’IA ne ralentit pas, et les menaces qui y sont liées non plus. Ce qui était auparavant des risques marginaux, l’empoisonnement des données, les deepfakes, l’utilisation de l’ombre, apparaissent maintenant dans les systèmes centraux et les flux de travail décisionnels. Une organisation sur quatre a déjà été confrontée à l’empoisonnement des données par l’IA. Il ne s’agit pas seulement d’un problème technique. Il s’agit d’une exposition opérationnelle, d’une vulnérabilité de la marque et d’un risque au niveau du conseil d’administration.

Si vous dirigez une entreprise qui utilise activement l’IA ou qui prévoit de la déployer, le message est simple : allez de l’avant, mais n’avancez pas à l’aveuglette. La gouvernance doit être intégrée dès le départ. Définissez les outils d’IA utilisés, qui les contrôle et comment leurs résultats sont vérifiés. La sécurité moderne ne se limite pas aux réseaux et aux pare-feu, il s’agit de sécuriser l’intelligence.

Il ne s’agit pas de ralentir l’innovation. Il s’agit de se l’approprier. Les organisations qui ont une longueur d’avance sont celles qui intègrent une gouvernance structurée de l’IA, qui investissent dans des systèmes de détection et qui forment leurs équipes à s’adapter en temps réel. Attendre que quelque chose se casse n’est pas une stratégie, c’est un moyen de limiter les dégâts.

Les principes fondamentaux n’ont pas changé : résilience, rapidité, clarté. Si l’IA façonne votre avenir, alors la sécurité doit façonner la façon dont vous construisez avec elle. Votre surface de risque a évolué. Votre approche du leadership doit évoluer avec elle.

Alexander Procter

octobre 8, 2025

16 Min

Tags: Intelligence artificielle

Tendances sectorielles
Booster votre visibilité AI grâce au GEO
Oct 16, 2025

12 min
Tendances sectorielles
Le prompt vous ralentit, le contexte vous aligne
Oct 16, 2025

9 min
Tendances sectorielles
Faire ses achats avec l’IA devient une habitude
Oct 16, 2025

8 min

Les firmes UK et US découvrent le prix des attaques IA

Une grande partie des organisations ont été touchées par des attaques d’empoisonnement des données d’IA.

Les incidents liés au Deepfake et l’usurpation d’identité induite par l’IA apparaissent comme des risques prévalents

Les fausses informations générées par l’IA et les attaques de phishing s’intensifient et mettent en péril la sécurité et la réputation des organisations.

L’utilisation non autorisée de l’IA, connue sous le nom d' »IA fantôme », crée des vulnérabilités internes.

Le déploiement rapide et incontrôlé de l’IA a dépassé les contrôles réglementaires, compliquant les efforts de sécurité.

Les organisations investissent de plus en plus dans des mesures de sécurité et des cadres de gouvernance basés sur l’IA

Les agences gouvernementales de cybersécurité prévoient que l’IA renforcera l’efficacité des cyberattaques

Récapitulation

Booster votre visibilité AI grâce au GEO

Le prompt vous ralentit, le contexte vous aligne

Faire ses achats avec l’IA devient une habitude

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !