Le Mois de sensibilisation à la cybersécurité est de retour, alors que les menaces actuelles n’ont jamais été aussi lourdes. Dire que beaucoup de choses ont changé depuis le lancement du Mois de la cybersécurité aux États-Unis en 2004 serait un euphémisme.
L’IA offre désormais à des cybercriminels peu compétents des outils techniques pour lancer des attaques très sophistiquées. Depuis l’an dernier, les technologies IA sont encore plus puissantes et accessibles. Résultat : des campagnes de phishing automatisées, des deepfakes ou encore des attaques par empoisonnement.
La bonne nouvelle ? L’IA sert aussi les intérêts de votre équipe, pour garder une longueur d’avance. Elle aide à détecter les risques en amont et à identifier les vulnérabilités avant les attaquants. Enfin, elle permet de créer des simulations de phishing aussi convaincantes que des attaques réelles, l’IA permet quand même de garder une longueur d’avance.
À l'occasion du Mois de la cybersécurité 2025, nous allons revenir sur cinq menaces majeures qui pèsent sur les entreprises et voir comment s’en protéger en renforçant la sécurité de vos collaborateurs.
1. Le recours à l’IA pour collecter et recouper des données des cibles
Autrefois, les hackers étaient limités dans leur capacité à élaborer des attaques ciblées. En clair, il fallait du temps et de l’énergie pour trouver des victimes, monter une arnaque crédible et trouver le bon angle d’attaque. Aujourd’hui, c’est devenu un jeu d’enfant.
Il suffit de récupérer l’intégralité de nos empreintes numériques en quelques secondes (les données que nous partageons volontairement sur LinkedIn, par exemple), ainsi que des informations volées ou exposées lors de violations de données. Même chose pour les données de notre entreprise.
À titre d’exemple, un hacker peut créer une base de données de cibles à forte valeur, puis utiliser un outil génératif (comme ChatGPT) pour rédiger un e-mail de phishing destiné à piéger ces personnes. Certes, ces mêmes outils pourraient bannir ce genre de requête. Mais il serait alors facile de les contourner avec un prompt de type « jailbreak » : par exemple en incitant le modèle à répondre sous l’identité d’un personnage fictif ou en mode « développement ».
Heureusement, les équipes IT et sécurité peuvent elles aussi exploiter le potentiel de l’IA pour éviter que leurs données ne tombent entre de mauvaises mains. Pour aider vos collaborateurs à avoir un coup d’avance, vous pouvez déjà analyser les fuites de données qui les concernent et les classer selon leur gravité pour les préparer à d’éventuelles attaques ciblées.
À retenir : limitez les infos que vous partagez en ligne et analysez régulièrement les fuites pouvant affecter votre organisation.
2. Les attaques de phishing et d’ingénierie sociale automatisées
De la même manière que l’IA facilite la collecte de données sur des cibles à forte valeur, elle a accéléré les campagnes de phishing et d’ingénierie sociale. Ces attaques peuvent être menées 24h/24 dans tous les fuseaux horaires, et sont personnalisées pour cibler des individus en fonction de leur empreinte numérique. Pas étonnant que les attaques de phishing contre des salariés soient en hausse de 1 265 % depuis le lancement de ChatGPT en 2022.
Les progrès de l’IA ont aussi permis l'émergence d'opérations de « phishing-as-a-service ». C’est le cas de Raccoon0365, qui vend des kits de phishing par abonnement à des cybercriminels peu expérimentés, dans le but de voler des données dans le monde entier. Autrement dit, l’IA générative accélère toutes les étapes du cycle de l’ingénierie sociale, bien plus vite qu’un hacker humain.
Dans ce contexte, les simulations de phishing pilotées par l’IA peuvent aider à mettre en place une défense commune plus solide. Pour vous familiariser avec cette approche, voici un guide pratique pour créer une campagne de formation au phishing.
À retenir : formez vos équipes à reconnaître les menaces ciblées grâce aux simulations et à la sensibilisation.
3. La création de deepfakes et de médias synthétiques convaincants
Les cybercriminels trouvent des moyens toujours plus innovants d’utiliser les deepfakes et médias synthétiques comme preuve sociale. Ainsi, les victimes ont un faux sentiment de sécurité qui les rend encore plus vulnérables aux activités malveillantes.
Et les hackers ne ciblent pas que des débutants. Et pour cause, des cybercriminels ont utilisé une série de deepfakes pour tromper un directeur financier expérimenté. Croyant qu’il participait à un appel avec la direction générale, ils l’ont convaincu d’effectuer un virement de 25 millions de dollars.
Les attaquants exploitent également l’IA pour créer et héberger de fausses pages CAPTCHA afin de piéger les internautes, et récupérer leurs identifiants de connexion. Il devient alors possible pour n’importe quel hacker de lancer des attaques sophistiquées d’ingénierie sociale.
C’est pourquoi vos équipes doivent savoir reconnaître un deepfake et prendre le réflexe de vérifier la demande suspecte via un autre canal de communication ; du moins pour les attaques classiques (demandes de numéro de carte bancaire ou d’identifiants de connexion). Si vous ne savez pas par où commencer, voici cinq bonnes pratiques de cybersécurité.
À retenir : incitez vos collaborateurs à faire preuve de méfiance face à ce qu’ils voient ou entendent, et à utiliser un canal secondaire pour vérifier toute demande suspecte.
4. Les attaques par empoisonnement de données
Les attaquants ne se contentent pas d’utiliser l’IA pour nous attaquer nous. Alors que l'IA est de plus en plus présente dans les systèmes des entreprises, les cybercriminels visent directement les outils que nous utilisons au quotidien.
En utilisant la manipulation de modèles d'IA et l'empoisonnement des données, les hackers peuvent cibler nos chatbots et nos modèles génératifs internes via des prompts malveillants ou du jailbreaking. Ces attaques trompent les systèmes, qui vont ensuite sous-estimer une activité malveillante, voire l’ignorer complètement. Elles peuvent aussi forcer un modèle à divulguer des informations sensibles.
Pour protéger vos employés et votre organisation, votre action de sensibilisation doit porter sur le bon usage des modèles d'IA, sans exposition des données confidentielles. En parallèle, réexaminer régulièrement les autorisations des outils d’IA garantit une gouvernance claire des données.
À retenir : intégrez l’utilisation responsable de l’IA à votre campagne de sensibilisation, avec les précautions à prendre avant de partager des données sensibles.
5. L’automatisation du développement de malwares et l’exploitation de vulnérabilités logicielles
Enfin, intéressons-nous aux logiciels malveillants. L’IA permet non seulement aux hackers d’automatiser le développement de malwares sur mesure, mais aussi de détecter les vulnérabilités logicielles à exploiter pour les propager.
Avec des outils tels que WormGPT ou FraudGPT, les criminels sont capables de lancer des attaques sophistiquées et personnalisées capables d’infecter les systèmes, voler des données ou même contourner les mesures de sécurité. Bien que ces outils soient régulièrement supprimés par les autorités, de nouveaux outils similaires continuent d’apparaître. Ces logiciels malveillants générés par l’IA sont également de plus en plus adaptatifs, et de moins en moins détectables par les défenses traditionnelles.
La solution la plus simple reste encore de former nos équipes à détecter les malwares et à combler les vulnérabilités logicielles de manière proactive. La formation et les mesures de correction proactives permettent non seulement de réduire les risques, mais aussi d’optimiser le retour sur investissement des solutions de sécurité.
À retenir : formez vos collaborateurs à stopper la propagation des malwares et à corriger les vulnérabilités logicielles de manière proactive.
Conclusion : gardez une longueur d’avance en renforçant votre posture collective de sécurité
Le Mois de la cybersécurité est l’occasion idéale pour faire de la sensibilisation. Les menaces évoluent plus vite que jamais, et chacun doit être en mesure de détecter ces menaces et de s’en prémunir.
Pour une défense commune efficace, les responsables sécurité doivent proposer des moyens de protection concrets : simulations de phishing régulières, formations pratiques aux menaces liées à l’IA et procédures claires pour le signalement des activités suspectes.
Miser sur le collectif, c’est donner à chacun — des dirigeants aux opérationnels — les moyens de reconnaître les menaces et d’agir rapidement. En combinant sensibilisation, formation proactive et surveillance assistée par l'IA, vous allez créer une défense résiliente en avance sur les cybercriminels.
Pour en savoir plus sur les formations immersives, les simulations de phishing réalistes et autres outils de prévention avec Riot, contactez l’un de nos experts dès aujourd’hui.
