Security

IA cyberattaques : tendances 2025 et défenses Microsoft

3 min de lecture

Résumé

Microsoft indique qu’en 2025, l’IA est surtout utilisée par les cybercriminels comme un accélérateur d’attaques existantes : phishing plus crédible, analyse plus rapide des données volées, génération de code et automatisation de la reconnaissance. Cette évolution compte pour les entreprises car elle augmente la vitesse, l’échelle et la persistance des opérations malveillantes, ce qui impose de renforcer rapidement les défenses et la détection face à des menaces plus industrialisées.

Besoin d'aide avec Security ?Parler à un expert

Introduction : pourquoi cela compte maintenant

Les entreprises intègrent rapidement l’IA pour améliorer la productivité, mais les attaquants adoptent les mêmes technologies afin d’augmenter la vitesse, l’échelle et la répétabilité des opérations cyber. Microsoft Threat Intelligence souligne que l’usage malveillant le plus courant aujourd’hui est la génération de contenu et de code pilotée par des modèles de langage—réduisant la friction technique tandis que les humains gardent le contrôle du ciblage et de l’exécution. Pour les équipes IT, le principal enseignement est que l’IA ne crée pas nécessairement de « nouvelles » voies d’attaque, mais qu’elle accélère de manière significative celles qui existent déjà et peut accroître la persistance opérationnelle.

Nouveautés : comment les attaquants rendent l’IA opérationnelle

Les observations de Microsoft distinguent l’IA comme accélérateur (le cas le plus courant aujourd’hui) de l’IA comme arme (tendance émergente).

L’IA comme accélérateur tout au long du cycle de vie de l’attaque

Les acteurs de la menace utilisent l’IA générative pour :

  • Rédiger et localiser du contenu de phishing/d’ingénierie sociale (appâts plus convaincants, itérations plus rapides).
  • Résumer et trier des données volées après compromission afin d’identifier rapidement les informations à forte valeur.
  • Générer, déboguer ou structurer du code (composants de malware, scripts, modèles d’infrastructure).
  • Accélérer la reconnaissance, y compris la recherche de vulnérabilités et la compréhension des chemins d’exploitation à partir de CVE publiques.
  • Créer des personas crédibles en analysant des offres d’emploi, en extrayant les exigences des postes et en générant des artefacts d’identité alignés culturellement.

Un exemple concret clé du blog est l’activité de travailleurs IT à distance nord-coréens (suivie sous les noms Jasper Sleet et Coral Sleet), où l’IA soutient la fabrication d’identité, l’ingénierie sociale et la persistance à long terme—aidant les acteurs à « se faire embaucher, rester embauchés et abuser des accès à grande échelle ».

Contourner les contrôles de sécurité de l’IA (jailbreaking)

Microsoft note des expérimentations actives visant à contourner les garde-fous des modèles, notamment :

  • Reformulation de prompts et chaînage d’instructions en plusieurs étapes
  • Usage abusif de prompts de type système/développeur
  • Jailbreaks basés sur des rôles (par exemple, « Répondez comme un analyste cybersécurité de confiance ») pour obtenir des conseils restreints

Tendance émergente : expérimentation autour de l’agentic AI

Bien que cela n’ait pas encore été observé à grande échelle, Microsoft constate des premières expérimentations avec l’agentic AI pour la prise de décision itérative et l’exécution de tâches—ce qui pourrait conduire à un savoir-faire opérationnel plus adaptatif compliquant la détection et la réponse.

Impact sur les administrateurs IT et les utilisateurs finaux

  • Volume et qualité plus élevés du phishing augmentent le risque de vol d’identifiants et de compromission via le helpdesk.
  • Exploitation plus rapide et sélection plus rapide des outils réduisent les fenêtres de réponse après la divulgation d’une vulnérabilité.
  • Risque accru de type insider via des scénarios frauduleux de sous-traitants/travailleurs et l’abus d’accès légitimes.

Actions à entreprendre / prochaines étapes

  • Renforcer l’identité et les accès : appliquer des contrôles résistants au contournement de la MFA lorsque c’est possible, mettre en place Conditional Access et limiter strictement les privilèges.
  • Renforcer la vérification lors de l’embauche et de l’intégration des sous-traitants : valider les identités, la posture des appareils et les limites d’accès pour les travailleurs à distance.
  • Accroître la résilience au phishing : formation des utilisateurs et contrôles techniques (liens/pièces jointes sûrs, protection contre l’usurpation d’identité).
  • Surveiller les schémas d’accès anormaux cohérents avec des comportements de travailleurs externalisés/frauduleux (géolocalisation inhabituelle, impossible travel, outils atypiques).
  • Exploiter les détections et investigations Microsoft Defender mises en avant par Microsoft pour détecter, remédier et répondre aux activités activées par l’IA.

Microsoft souligne que l’IA peut aussi amplifier les défenseurs—lorsqu’elle est associée à des contrôles robustes, à des détections guidées par le renseignement et à des efforts de disruption coordonnés.

Besoin d'aide avec Security ?

Nos experts peuvent vous aider à implémenter et optimiser vos solutions Microsoft.

Parler à un expert

Restez informé sur les technologies Microsoft

Lire l'article original de Microsoft Threat Intelligence
Microsoft Threat IntelligenceDefenderphishinggenerative AIidentity security

Articles connexes

Security

Compromission supply chain Trivy : guide Defender

Microsoft a publié des recommandations de détection, d’investigation et d’atténuation concernant la compromission de la supply chain Trivy de mars 2026, qui a affecté le binaire Trivy et des GitHub Actions associées. Cet incident est important, car il a détourné un outil de sécurité CI/CD de confiance pour voler des identifiants à partir de pipelines de build, d’environnements cloud et de systèmes de développeurs tout en semblant s’exécuter normalement.

Security

Gouvernance des agents IA : aligner l’intention

Microsoft présente un modèle de gouvernance pour les agents IA qui aligne l’intention de l’utilisateur, du développeur, du rôle et de l’organisation. Ce cadre aide les entreprises à garder des agents utiles, sécurisés et conformes en définissant des limites de comportement et un ordre de priorité clair en cas de conflit.

Security

Microsoft Defender : predictive shielding stoppe le ransomware GPO

Microsoft a détaillé un cas réel de ransomware dans lequel le predictive shielding de Defender a détecté un abus malveillant de Group Policy Object avant le début du chiffrement. En renforçant la propagation des GPO et en perturbant les comptes compromis, Defender a bloqué environ 97 % des tentatives de chiffrement et empêché tout appareil d’être chiffré via le chemin de diffusion GPO.

Security

Sécurité agentic AI : Microsoft renforce sa protection

Microsoft a présenté à la RSAC 2026 une stratégie complète pour sécuriser l’agentic AI en entreprise, avec le lancement en disponibilité générale d’Agent 365 le 1er mai et de nouveaux outils de visibilité comme Security Dashboard for AI. Ces annonces comptent car elles visent à aider les équipes IT et sécurité à mieux gouverner les agents AI, limiter les risques de surpartage de données et détecter plus tôt les menaces émergentes liées à l’IA.

Security

CTI-REALM open source : benchmark IA cybersécurité

Microsoft a dévoilé CTI-REALM, un benchmark open source qui évalue si des agents IA peuvent réellement produire des détections de sécurité de bout en bout à partir de rapports de cyber threat intelligence, plutôt que simplement répondre à des questions théoriques. C’est important pour les équipes SOC, car cet outil mesure des résultats opérationnels concrets — sur Linux, AKS et Azure — et aide à comparer la capacité réelle des modèles à soutenir l’ingénierie de détection.

Security

Zero Trust for AI de Microsoft : atelier et architecture

Microsoft a enrichi sa documentation Zero Trust avec une approche dédiée à l’IA, appliquant les principes « verify explicitly », « least privilege » et « assume breach » aux modèles, agents, prompts et sources de données. Cette évolution compte parce qu’elle fournit aux équipes IT et sécurité un cadre concret, renforcé par un nouveau pilier IA dans le Zero Trust Workshop, pour évaluer les risques propres à l’IA et déployer des contrôles adaptés à grande échelle.