Il y a encore trois ans, un cybercriminel avait besoin de compétences sérieuses pour monter une attaque convaincante. Aujourd’hui, il lui suffit d’un abonnement à un LLM détourné et d’un peu de temps libre. L’intelligence artificielle n’a pas inventé la cybermenace, elle l’a mise à l’échelle industrielle. Et les chiffres qui tombent depuis début 2026 donnent le vertige.

De l’artisanat à la chaîne de production

Pendant longtemps, la sophistication d’une attaque reflétait le niveau technique de son auteur. Le phishing grossier se repérait au premier regard : fautes d’orthographe, formulations bancales, liens douteux. Ce temps est révolu.

Des outils comme FraudGPT, WormGPT ou BlackmailerV3 circulent sur le darknet et permettent de générer à la volée des e-mails de spear phishing hyper-personnalisés, des scripts malveillants sur mesure, des messages d’extorsion rédigés avec la fluidité d’un natif. Ce qui prenait des heures de travail humain se produit maintenant en quelques secondes, à la demande, en volume quasi illimité.

Selon le rapport Acronis sur les cybermenaces du second semestre 2025, les attaques par e-mail par organisation ont progressé de 16% sur un an, avec une accélération de 36% au second semestre par rapport au premier. Le phishing représente désormais 83% des menaces véhiculées par e-mail. Ce n’est pas une coïncidence : c’est le résultat direct de l’automatisation à grande échelle.

Fortinet enregistre en moyenne 36 000 tentatives de scan d’infrastructure par seconde. Des bots dopés à l’IA sondent le périmètre numérique des organisations en continu, cartographient les services exposés, identifient les versions vulnérables, avant même qu’une équipe sécurité ait eu le temps de prendre son café.

72 minutes. C’est le nouveau chrono.

C’est le chiffre qui a marqué les équipes sécurité cette année : le temps moyen entre la découverte d’une vulnérabilité et son exploitation active est tombé à 72 minutes dans certains scénarios observés par CrowdStrike. En 2021, on parlait de plusieurs jours. L’IA permet aux attaquants de fuzzer automatiquement les failles, de générer des exploits adaptés et de les déployer à vitesse machine, sans intervention humaine dans la boucle.

Google a publié en mai 2026 un rapport alarmant : les attaques assistées par IA ont atteint une échelle industrielle, avec des groupes étatiques et criminels capables de lancer des campagnes multi-vectorielles coordonnées que les outils traditionnels de détection peinent à segmenter correctement. Le problème ne porte plus uniquement sur l’ingénierie sociale, mais aussi sur la génération automatique de malwares polymorphes capables de modifier leur signature à chaque exécution pour échapper aux antivirus basés sur des règles statiques.

Les attaques qui font désormais peur aux experts

Qui n’a jamais reçu un e-mail tellement bien rédigé, tellement contextualisé, qu’il a failli cliquer ? Maintenant, imaginez ce même e-mail enrichi de données issues de vos publications LinkedIn des six derniers mois, mentionnant votre projet en cours, le prénom de votre manager, et l’objet exact d’une réunion interne. C’est ce que permettent les attaques de spear phishing augmentées par OSINT automatisé : l’IA scrappe vos traces numériques, synthétise un profil psychologique et génère un message sur mesure.

Mais au-delà du phishing, trois vecteurs émergents méritent une attention particulière.

Le deepfake vocal en temps réel est désormais accessible avec moins de 30 secondes d’échantillon audio. Des équipes sécurité ont documenté des cas de fraude au virement où un « PDG » appelait le service comptable avec une voix parfaitement imitée. Le vishing (phishing vocal) entre dans une nouvelle ère.

Les attaques sur les chaînes CI/CD représentent une cible de choix : empoisonner un modèle d’IA utilisé en production, injecter du code malveillant dans un pipeline d’entraînement ou compromettre un dépôt de packages tiers. L’affaire xz/liblzma en 2024 avait préfiguré cette tendance avec une sophistication qui avait laissé la communauté sans voix.

Enfin, le prompt injection sur les agents IA autonomes ouvre un nouveau front. Si votre copilote de développement ou votre assistant RH peut exécuter des actions sur votre SI, un attaquant qui empoisonne son contexte d’entrée peut potentiellement lui faire exfiltrer des données sensibles sans déclencher la moindre alerte traditionnelle.

L’IA défensive : la riposte est en cours

Plot twist : les mêmes capacités qui renforcent les attaquants s’avèrent redoutables côté défense, à condition de les déployer intelligemment.

Les SIEM et EDR de nouvelle génération intègrent désormais des modèles de langage capables de corréler des milliers d’événements en quelques secondes, d’identifier des comportements anormaux sans signature préalable, et de générer des hypothèses d’investigation. CrowdStrike Charlotte AI, Microsoft Copilot for Security ou Darktrace ActiveAI sont déjà déployés en production chez de nombreux grands comptes. Le gain en temps de détection est réel : certaines organisations rapportent une réduction de 40 à 60% du MTTD (Mean Time to Detect).

La chasse aux menaces assistée par IA (AI-powered threat hunting) permet aussi d’anticiper plutôt que de subir : en analysant les TTPs (Tactics, Techniques and Procedures) documentés dans MITRE ATT&CK et en les croisant avec la surface d’exposition réelle d’un SI, les outils actuels génèrent des scénarios d’attaque plausibles et priorisent les remédiations. C’est du red teaming automatisé, disponible en continu.

Pro tip : Si vous gérez un SI sensible, la mise en place d’un honeypot dopé à l’IA capable d’adapter son comportement pour paraître crédible aux yeux des bots de reconnaissance est une stratégie défensive sous-estimée. Des projets comme Canarytokens ou Thinkst Canary offrent des bases solides pour commencer.

Ce que ça change concrètement pour votre posture de sécurité

La réalité opérationnelle, c’est que la surface d’exposition personnelle et professionnelle a explosé. Entre le télétravail, les accès cloud multi-appareils et l’utilisation d’outils SaaS en dehors du périmètre contrôlé de l’entreprise, chaque endpoint non maîtrisé est une porte potentielle. Et dans ce contexte, des pratiques longtemps considérées comme « optionnelles » deviennent structurantes.

Chiffrer ses communications et masquer son adresse IP sur des réseaux non maîtrisés n’est plus réservé aux paranoïaques. Un vpn sérieux, avec une politique de no-log auditée de façon indépendante, fait désormais partie de l’hygiène numérique de base, au même titre que l’authentification multifacteur ou le gestionnaire de mots de passe. Ce n’est pas une garantie absolue, mais c’est une couche de protection supplémentaire qui complique sérieusement le travail des outils de reconnaissance automatisée.

Sur le plan organisationnel, l’IA oblige à repenser le modèle Zero Trust non plus comme un projet pluriannuel mais comme une urgence. La vérification continue de l’identité, la microsegmentation du réseau et le principe du moindre privilège appliqué à tous les comptes, y compris les comptes de service et les agents IA, doivent s’accélérer.

Ce que l’ANSSI et le CERT-FR en disent

Le CERT-FR a publié début 2026 une analyse détaillée sur l’IA générative face aux attaques informatiques. Le constat est nuancé mais lucide : si l’IA n’a pas encore produit de cyberattaque « autonome » de bout en bout sans intervention humaine, elle abaisse drastiquement la barrière d’entrée et augmente la cadence des campagnes existantes. L’agence insiste sur la nécessité de renforcer la sensibilisation des utilisateurs finaux, qui restent le maillon le plus sollicité par les attaques augmentées à l’IA.

La France n’est pas épargnée. Les incidents signalés à l’ANSSI via MonAideCyber ont progressé de façon significative en 2025, avec une part croissante d’attaques présentant des caractéristiques d’automatisation avancée. Les PME et les collectivités locales restent les cibles les plus exposées, faute de ressources pour déployer des défenses adaptées.

Points clés à retenir

L’IA offensive ne remplace pas les attaquants humains, elle les démultiplie. Le delta de compétence entre un amateur et un expert s’est réduit de façon préoccupante. Les vecteurs les plus dangereux en 2026 combinent OSINT automatisé, génération de contenu malveillant et exploitation à vitesse machine des vulnérabilités.

La réponse défensive existe et progresse vite, mais elle exige une mise à jour des postures de sécurité : adoption réelle du Zero Trust, déploiement d’outils de détection comportementale, formation continue des équipes à des menaces qui évoluent chaque semaine. La cybersécurité est redevenue un sujet de veille active, pas un paramètre que l’on règle une fois par an lors d’un audit.