Une sécurité autonome à la vitesse de l'IA

Développer une riposte rapide aux menaces pour les environnements modernes

Je me souviens encore de la stupeur qui se lisait sur les visages de mes collègues à la fin de l'année 2016 lorsque la toute première attaque par déni de service distribué (DDoS, Distributed Denial-of-Service) a franchi la barre des 1 Tbit/s. Le botnet Mirai, à l'origine de cette toute première attaque DDoS à entrer sur le terrain des 1 Tbit/s, disposait de plus de 145 000 appareils IoT sous son contrôle pour lancer de telles attaques aux effets dévastateurs.

À l'époque, de nombreux analystes, techniciens et spécialistes de la sécurité ont travaillé d'arrache-pied, partout dans le monde entier et 24 h/24, pour atténuer ces attaques. Toutefois, aussi sophistiquées qu'aient pu être ces attaques, elles étaient exécutées et gérées par des humains.

Nous avons passé un cap. Les menaces actuelles ne se définissent pas par leur sophistication, mais également par leur ampleur et leur autonomie accablantes. Nous sommes entrés dans l'ère des attaques « hypervolumétriques », au sein desquelles l'intervention humaine ne s'avère pas uniquement lente, mais de plus en plus inutile.

Bienvenue dans l'ère des attaques de plus de 30 Tbit/s

Les indicateurs de résilience ont changé. Comme le montre l'un de nos récents rapports sur les menaces DDoS, les attaques « record » des années passées constituent désormais comme la base de référence du présent.

• Le nouveau monstre : le botnet Aisuru a redéfini l'idée d'échelle en lançant des attaques qui ont culminé à 29,7 Tbit/s.

• La fréquence : au quatrième trimestre 2025, le nombre d'attaques DDoS lancées sur la couche réseau a augmenté de 202% par rapport à la même période l'année précédente, comme le confirme ce rapport.

• La rapidité : entre 71 % et 89 % de ces attaques durent moins de 10 minutes. Si votre stratégie de résilience repose sur une alerte générique conçue pour « réveiller » un technicien, l'attaque sera déjà terminée (et les dégâts faits) avant même qu'il ne puisse se connecter.

Comment réagir à un flux constant d'attaques de grande envergure à la vitesse de la machine ?

C'est là qu'interviennent l'automatisation et l'IA. Un agent IA n'a pas besoin de se connecter manuellement à la console de gestion des informations et des événements de sécurité (Security Information and Event Management, SIEM) ni à l'outil de détection et de réponse réseau (Network Detection and Response, NDR) pour appréhender les événements en train de se produire. Il lit les données en temps réel, comprend la situation au fur et à mesure qu'elle se déroule et peut désormais déployer des contremesures efficaces (p. ex. ajout de règles de pare-feu, blocage de certains schémas de trafic ou de certains protocoles). Forts de ce gain de temps, les experts du Security Operations Center (SOC, centre des opérations de sécurité) peuvent se consacrer à l'intelligence humaine et sont habilités à renforcer les défenses et à contrôler les modifications mises en œuvre de manière automatisée par les agents IA.

Les zones d'ombre de l'IA clandestine

La sécurité ne consiste pas uniquement à empêcher le trafic malveillant d'entrer. Il s'agit également de conserver les données propriétaires à l'intérieur du périmètre. L'adoption rapide des outils IA par les collaborateurs a entraîné un déficit de gouvernance considérable.

• La statistique : selon IBM, 20 % des violations impliquent désormais « l'IA clandestine », c'est-à-dire l'ensemble des outils non autorisés et utilisés par les collaborateurs pour accélérer leur travail.

• La réalité : 63 % des entreprises victimes de violations de données reconnaissent qu'elles ne disposent toujours pas de politique de gouvernance en matière d'IA.

• La solution : vous ne pouvez pas protéger ce que vous ne voyez pas. Les besoins de sécurité nécessitent aujourd'hui une vue d'ensemble complète sur votre pile technologique (y compris vos outils SaaS) afin d'identifier les éléments que vous devez surveiller et observer. Vous devez de même disposer d'outils de prévention des pertes de données (DLP, Data Loss Prevention) spécifiquement conçus pour détecter le code propriétaire ou les informations d'identification personnelle (PII) copiés au sein des LLM publics afin de couvrir la menace représentée par l'IA clandestine.

La DLP ne se limite plus aujourd'hui au courrier électronique et à l'utilisation des navigateurs. Avec l'évolution des navigateurs assistés par IA, du tout-API (API-anywhere) et de l'IA agentique, l'ancien modèle de couverture DLP ne suffit plus. Le contrôle centralisé doit être une priorité absolue. Les responsables de la technologie doivent savoir quel outil utilise quelles données et ce que chaque outil peut faire de celles-ci.

La défense contre les deepfakes

En passant des fautes de frappe dans les e-mails à une reproduction parfaite de l'identité, l'ingénierie sociale a musclé son jeu. Les collaborateurs sont ainsi invités à des appels vidéo avec leurs cadres de direction, qui leur intiment d'effectuer diverses tâches, comme le transfert d'importantes sommes d'argent à un endroit du monde. Or, le fait d'être en communication avec les dirigeants dans le cadre d'un appel vidéo constitue assurément certainement (pour presque tout le monde) le signe clair d'une demande légitime venant d'en haut.

• Le tournant : une violation des données sur six implique désormais des tactiques soutenues par IA et 35 % d'entre elles s'appuient sur des techniques de deepfake (hypertrucage) audio ou vidéo.

• Les dégâts : souvent amplifié par l'IA, le phishing peut entraîner un coût moyen de 4,8 millions de dollars par violation.

• Les mesures à prendre : la formation à la résilience doit évoluer. La question ne consiste plus à savoir identifier un e-mail frauduleux, mais à vérifier l'identité au moyen de canaux de communication hors bande.

Nous constatons également que le nombre d'attaques générées par IA augmente de plus en plus sur les réseaux sociaux. Plus inquiétant encore, nous assistons aussi à une hausse importante des attaques d'ingénierie sociale reposant sur les deepfakes. Lorsqu'un cadre supérieur de Ferrari a reçu un appel de son CEO, la seule manière pour lui d'atténuer ce qui s'est révélé être une attaque a été de parler brièvement d'un livre sur lequel ils avaient échangé des idées. L'acteur malveillant s'est trouvé incapable de répondre, bien entendu.

Les collaborateurs devraient à nouveau adopter les mots d'identification ou les codes de sécurité traditionnels pour s'assurer que la personne à qui ils parlent est bien une personne réelle et non un acteur malveillant qui le contacte dans le cadre d'un deepfake assisté par l'IA. De même, la mise en œuvre de mesures de sécurité du courrier électronique assistées par IA vous aide à bloquer les tentatives de phishing rapidement, efficacement et à grande échelle grâce à l'analyse de centaines d'attributs différents au sein des e-mails reçus.

Rançongiciels : le virage vers l'extorsion

Après des années de versement de rançons élevées suite à des attaques par rançongiciel réussies, nous constatons enfin une baisse de ces chiffres. Toutefois, en raison de l'échec du modèle économique des rançongiciels, ces derniers sont désormais contraints de modifier leurs tactiques.

• Le déclin : 36 % seulement des victimes ont payé la rançon au troisième trimestre 2025, soit une proportion historiquement basse.

• Le virage : pour compenser cette diminution, 76 % des attaques impliquent désormais le vol des données et non plus uniquement leur chiffrement.

• La leçon à tirer : les sauvegardes ne suffisent plus. L'approche totale de la sécurité et de la résilience implique d'arrêter l'exfiltration des données. S'ils ne peuvent voler vos données, les cybercriminels ne peuvent pas vous extorquer non plus.

Le passage du modèle d'attaque par rançongiciel « standard » à un processus de double (voire de triple) extorsion constituait l'évolution logique de cette forme d'activité criminelle. Cette transition doit bien entendu se refléter sur nos capacités de défense.

Si le chiffrement de vos données a été considéré pendant un certain temps comme une mesure compensatoire suffisante, nous devrions viser plus haut et ne jamais laisser aucune donnée quitter notre environnement IT sans raison opérationnelle claire et valable. Or, avec l'avènement prochain de l'informatique post-quantique, la menace du « collecter maintenant, déchiffrer après » devient de plus en plus préoccupante. Pensez à l'immense volume de données brutes volées et chiffrées qui sont stockées sur le disque dur d'un acteur malveillant et n'attendent que la puissance de calcul nécessaire pour être déchiffrées et utilisées lors d'une prochaine phase d'attaque.

Mettre en place une sécurité autonome

La sécurité d'aujourd'hui est autonome ou n'est rien. Nous devons déployer des systèmes capables de réagir et de réfléchir rapidement, car les menaces auxquelles ils font face agissent de la même façon. Ces systèmes devraient être en capacité d'absorber les attaques de grande ampleur et de bloquer les menaces (des attaques DDoS aux deepfakes) sans intervention humaine et sans compliquer la gestion des solutions.

Cloudflare propose une gamme complète de fonctionnalités de sécurité capables d'aider votre équipe à réagir rapidement et de manière autonome aux menaces. La protection anti-DDoS Cloudflare, par exemple, peut atténuer même les attaques DDoS les plus imposantes et les plus rapides. De même, la solution Cloudflare Email Security vous propose une protection assistée par IA conçue pour bloquer automatiquement les menaces sophistiquées et assistées par IA que constituent les e-mails de phishing. Le cloud de connectivité Cloudflare intègre en outre l'ensemble de nos solutions de sécurité sur une plateforme unique afin de vous permettre d'ajouter facilement des fonctionnalités autonomes sans complexifier la gestion.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.

Approfondir le sujet

Vous trouverez davantage d'informations sur la manière dont l'IA redéfinit le paysage de l'entreprise et de la sécurité, tout en bénéficiant d'un guide conçu pour vous aider à protéger vos collaborateurs, vos données et vos applications, dans notre e-book intitulé Moderniser la sécurité à l'ère de l'IA.

Auteur

Max Imbiel — @maximbiel
RSSI de terrain, Cloudflare

Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

• Les raisons pour lesquelles les attaques hypervolumétriques distancent les techniques d'atténuation traditionnelles

• Le rôle des systèmes autonomes dans la lutte contre les deepfakes et le vol de données

• La marche à suivre pour déployer des mesures de défense assistées par IA et faire appliquer un régime de gouvernance à l'égard de l'IA clandestine

Ressources associées

• Moderniser la sécurité à l’ère de l’IA

• Se protéger contre la hausse du nombre d'attaques DDoS sur la couche applicative

• Les acteurs malveillants déploient leurs filets dans de nouveaux bassins de phishing