Entre fin de l'âge d'or de l'IA et les nouvelles stratégies pour les acteurs malveillants

Alors que l'année 2024 a été marquée par de multiples bouleversements – technologiques, géopolitiques, économiques –, il en va de même du paysage des cybermenaces et de la cybersécurité.

Malgré l’explosion de l’intelligence artificielle (IA) et les bénéfices dont elle s’accompagne, sa jeunesse relative, sa démocratisation et son exploitation par les cybercriminels sont à l’origine de l’émergence de nouvelles cybermenaces.

Par ailleurs, face au perfectionnement des outils et des pratiques de cybersécurité, les acteurs malveillants cherchent perpétuellement de nouveaux moyens de contourner les mesures de mises en place par les défenseurs pour protéger les systèmes. Sophos offre ses prédictions concernant ces évolutions en 2025 et propose un ensemble de recommandations pour mieux se protéger.

L’intelligence artificielle : un risque pour la cybersécurité ?

1.       LLM et modèles d’IA : une nouvelle surface d’attaque

En matière de cybersécurité, les risques liés à l’IA ne sont pas encore tous clairement identifiés. Toutefois, l’application de correctifs par des acteurs majeurs comme Microsoft montre que les modèles d’IA et autres ne sont pas exempts de vulnérabilités ou de risques. Ils peuvent être exploités par les acteurs malveillants pour y introduire des malwares, tels que des chevaux de Troie, au sein des environnements où l’IA est déployée.

2.       L’IA comme vecteur de multiplication des attaques

L’IA générative et sa démocratisation devraient permettre à de nombreux acteurs malveillants opportunistes et peu compétents de se former et de perfectionner rapidement et facilement leurs techniques, tactiques et procédures (TTP), entraînant ainsi une multiplication du nombre d’attaques qui complexifiera la tâche des défenseurs tout en générant du « bruit » pouvant masquer des attaques plus sérieuses, tactique qui pourrait être utilisée par des acteurs malveillants plus perfectionnés.

3.       Des outils d’IA et d’automatisation au service des cyberattaquants

De nouveaux systèmes orchestrés composés de multiples LLM et autres modèles d’IA pourraient être exploités par les cyberattaquants afin d’automatiser des tâches complexes, comme l’intrusion au sein des systèmes et des cyberdéfenses. Certains groupes pourraient même proposer un « service d’accompagnement » ou des assistants intégrés aux cybercriminels.

Les recommandations de Sophos : Si l’ensemble des risques liés à l’IA qui émergeront en 2025 ne sont pas encore clairement connus, il appartiendra aux experts de la cybersécurité et aux défenseurs de définir la marche à suivre pour se préserver contre les attaques, en se préparant à faire face à des perturbations entraînées par une multiplication des cyberattaques, en publiant des correctifs afin de minimiser les vulnérabilités, en mettant en place des mesures et des outils sécurisés et en définissant de bonnes pratiques d’exploitation de la technologie d’IA.

Stratégies des attaquants : les cybercriminels s’adaptent aux mesures de cybersécurité en place

1.       Contourner la sécurité des endpoints pour cibler le cloud

À mesure que les entreprises mettent en place des outils de cybersécurité avancés pour protéger les endpoints et qu’elles déploient l’authentification multifactorielle (MFA), les attaquants ciblent de plus en plus les environnements cloud. Cela est en partie dû au fait que les entreprises sont moins susceptibles d’utiliser la MFA avec leurs actifs cloud. Cela signifie également qu’alors que les mots de passe représentaient le but à atteindre pour les cybercriminels, ceux-ci se mettent en quête d’actifs cloud et de tokens d’authentification afin de pénétrer au sein des systèmes.

2.       Intensifier les attaques sur la chaîne d’approvisionnement

Les attaques visant la chaîne d’approvisionnement, en particulier logicielle, devraient s’intensifier. En 2024, ces attaques ont eu des ramifications multiples allant bien au-delà de l’entreprise visée en touchant l’ensemble des utilisateurs finaux. De plus, il s’agit d’un moyen extrêmement efficace pour les cyberattaquants de mettre la pression sur leurs victimes, sachant que les clients touchés ne disposent que d’options de remédiation limitées.

3.       Les ransomwares devraient cibler davantage les secteurs de la santé et de l’éducation

En 2025, les ransomwares devraient demeurer un vecteur d’attaque privilégié des cyberattaquants, mais cibler davantage les acteurs de l’éducation et de la santé, qui possèdent à la fois de budgets de cybersécurité limités et des systèmes et applications obsolètes. En raison des nombreuses données sensibles qu’ils abritent et du fait que le secteur de la santé, en particulier, offre des services essentiels et vitaux, cela en fait des cibles de choix pour les cybercriminels qui ont pour objectif de leur extorquer une rançon.

Recommandation de Sophos : Afin de se prémunir contre ces nouvelles tactiques et stratégies criminelles, les entreprises et les défenseurs devraient s’assurer qu’elles disposent des bons outils et partenaires de cybersécurité, qu’elles emploient les bonnes pratiques et qu’elles disposent de plans adaptés pour garantir leur résilience et la continuité de leurs activités. Il est notamment essentiel de se préparer à faire face à une attaque le long de la chaîne d’approvisionnement et d’évaluer les mesures de cybersécurité des fournisseurs, de faire des correctifs et de l’adoption de la MFA une priorité, de renforcer la sécurité des produits en intégrant la sécurité aux logiciels émanant de fournisseurs et de former les utilisateurs à mettre en place de bonnes pratiques et à rapporter toute anomalie.

Eviter l’épuisement des équipes de cybersécurité

L’application concrète de ces recommandations repose avant tout sur les équipes en charge de la cybersécurité des entreprises. Malheureusement, il arrive souvent que celles-ci ne disposent pas des ressources financières et humaines suffisantes pour faire face à l’augmentation drastique de leur charge de travail liée à la multiplication des risques. Il est donc essentiel que les entreprises s’efforcent de s’entourer de partenaires experts en cybersécurité et de se doter de solutions managées de détection et de réponse aux incidents (MDR) afin de soulager leurs équipes.