L’IA met la cybersécurité sous tension

Serge Escalé 16 juin 2025Dernière mise à jour : 16 juin 2025

3 094 Lecture 5 minutes

Focus Expert

Comment se mettre en conformité avec la directive NIS 2 pour le contrôle d’accès ?

Les menaces ne faiblissent pas mais elles changent de nature avec la montée en puissance de l’IA. Si elle permet de meilleures performances des outils de cybersécurité, de l’autre côté, l’intelligence artificielle est mise à profit par les pirates pour préparer des attaques sophistiquées.

Si le niveau de tentatives d’intrusion, de vol et de modification de données ou de blocage des sites Web se maintient à haut niveau, force est de constater qu’il est devenu stable. En témoigne le rapport annuel du Cesin (Club des experts de la sécurité de l’information et du numérique) début 2025 qui confirme une relative accalmie sur le front de la cybersécurité.

Un constat corroboré par un assureur tel que Howden au plan international ou encore l’Amrae (Association pour le management des risques et des assurances de l’entreprise) qui regroupe les assureurs français. Ces spécialistes de la couverture du risque constatent une baisse des sinistres. Un indicateur fiable par conséquent de la stabilité du risque cyber.

Les entreprises se doivent de conserver un degré de vigilance

Il ne s’agit pas pour autant de baisser la garde, car trois facteurs s’imposent aux entreprises et singulièrement aux équipes chargées de la sécurité numérique.

D’une part, les enjeux de souveraineté que nous avons déjà exposés dans GPO Magazine. Les lois d’extraterritorialité américaines placent les hébergeurs de Cloud européens en première ligne pour protéger les données sensibles et critiques des entreprises et des administrations.

D’autre part, la législation européenne exige un renforcement de la sécurité numérique. Le règlement Digital Operational Resilience Act (DORA) concerne les institutions financières (en vigueur depuis le 17 janvier 2025). Le Network and Information Security (NIS 2) est entré en vigueur le 17 octobre 2024 et concerne toutes les entreprises. Les deux textes sont assortis de sanctions en cas de non-respect.

Autre législation européenne, le CRA ou Acte sur la Résilience Cyber, vise à renforcer la cybersécurité des produits numériques. « Ce texte repose sur trois exigences. D’abord, garantir un développement sécurisé des équipements. Ensuite, suivre les bonnes pratiques en matière de traitement des vulnérabilités. Enfin, s’assurer d’une bonne gouvernance de la cybersécurité », précise Vincent Lomba, responsable de la cybersécurité des produits Alcatel-Lucent Enterprise (ALE).

Si l’Europe ne domine pas le marché mondial des services numériques, elle est en revanche en tête des législations pour le contrôle de leur utilisation. Une spécificité qui distingue l’UE du reste du monde. Troisième facteur significatif, l’IA est utilisée par les entreprises mais aussi par les pirates, ce qui complexifie la posture de défense.

Protéger les données sensibles en les stockant en interne

Lorsque les données présentent un degré élevé de confidentialité, deux solutions sont possibles. Soit les confier à un prestataire européen et souverain tel que OVHcloud, soit les héberger en interne.

« Nous travaillons beaucoup avec OVHcloud, à savoir un IaaS souverain, mais certains de nos clients estiment que ce niveau de confidentialité est insuffisant, par exemple dans le secteur de la santé. Dans ce cas, nous hébergeons ces données localement », détaille Samuel Tourbot, directeur Business Développement Cloud Alcatel-Lucent Enterprise (ALE).

Le contrôle direct sur les données sensibles s’impose lorsqu’il faut les mettre à l’abri des intrusions et des malveillances. « Le niveau de sensibilité des données est au cœur du problème. Il faut s’assurer que ces informations restent confidentielles et demeurent sous la complète maîtrise de ceux qui les ont produites. Les solutions de sécurité doivent être conformes aux référentiels de protection de données tels HDS pour les données de santé », explique Vincent Lomba.

À en croire les grands hébergeurs américains tels que Amazon, Microsoft ou Google, leurs clients européens peuvent leur faire toute confiance malgré le Cloud Act et le Patriot Act qui les obligent à communiquer toute information jugée utile par les services américains. « Il existe une alternative, à savoir une solution qu’on va héberger soi-même », tranche Samuel Tourbot.

L’IA potentialise les risques de sécurité

Certes, l’IA permet d’automatiser la gestion des alertes ou d’analyser plus rapidement que les humains l’ensemble d’un système d’information pour éliminer les vulnérabilités et décrire les impacts qui y sont liés. Mais cette fonction peut aussi être utilisée par les attaquants.

« L’IA va permettre de s’introduire dans le système d’information et de le scanner. Ensuite, l’IA peut générer le « malware » (code malveillant) qui va permettre d’exploiter les données utiles. Autre risque de l’IA générative, c’est qu’elle permet de créer des emails, « deepfakes » et appels vocaux plus crédibles. On constate une résurgence de l’arnaque au président [le pirate se fait passer pour le président de l’entreprise pour intimer d’effectuer un virement – NDLR] », nous explique Blandine Delaporte, directrice solutions avant-vente de SentinelOne.

La réponse à ces attaques passe, en partie, par une sensibilisation sur l’utilisation des outils professionnels et des campagnes de tests.

Prévoir un plan de continuité de l’activité de l’entreprise et les mesures préventives

En cas de cyberattaque, de panne technique, voire de catastrophe naturelle, les organisations doivent être en mesure de reprendre l’activité au plus vite. C’est le rôle d’un PCA (Plan de continuité d’activité) ou d’un PRA (Plan de reprise d’activité).

« Il est essentiel de prévoir un PCA-PRA pour faire face à un incident majeur de sécurité ou une panne des équipements, ou un événement externe et imprévisible tel qu’une catastrophe naturelle », prévient Johan Klein, responsable système sécurité de l’information au sein de Meritis, une ESN (entreprise service numérique).

Aujourd’hui, les antivirus ont fait place aux EDR (Endpoint Detection and Response) et cette solution équipe aujourd’hui la grande majorité des entreprises. « Cet outil de défense repose sur l’analyse du comportement de la machine », précise Johan Klein qui évoque aussi l’intérêt à consulter le Mitre ATT&CK, une base de connaissances mondiale qui documente les tactiques des pirates et les techniques pour y faire face.

« Les outils de sécurité, même appuyés par l’IA, ne suffisent pas à assurer des défenses robustes. L’aspect humain est tout aussi important et permet entre autres, comme le souligne Johan Klein, d’identifier les personnes clés à solliciter en cas d’incident. Il s’agit de répondre au mieux aux questions « qui va faire quoi et à quel moment ? ».

Les sauvegardes régulières et testées sont le parachute vital en cas d’attaque

Johan Klein, responsable Système Sécurité de l’Information au sein de Meritis, rappelle les recommandations de l’ANSSI (Agence Nationale des Systèmes de Sécurité Informatique) sur la stratégie de sauvegarde dite 3-2-1.

En bref, il est conseillé de disposer de trois copies de la sauvegarde sur deux supports différents, dont une copie sera hors ligne et en local. Les deux supports sont typiquement un service Cloud en mode IaaS et une sauvegarde en mode local.

Il convient de définir la fréquence des sauvegardes, par exemple journalière, mensuelle, annuelle en fonction du type de données à protéger. Si les exigences sur la disponibilité des données et des systèmes sont élevées, il est conseillé de mettre en place une réplication des données vers un site de stockage annexe.

Enfin, il est fortement conseillé d’isoler les données critiques sur une sauvegarde hors de l’Internet. Elle sera placée sur un support de type SSD ou bande pour l’archivage. Les données ainsi stockées seront ainsi inaccessibles par les pirates en cas d’attaque.

Une vérification régulière du contenu des sauvegardes est indispensable pour s’assurer qu’elles pourront assurer la continuité de service.