L'IA accélère la vitesse des cyberattaques

Le temps nécessaire pour exploiter une faille est descendu à 72 minutes, selon des chercheurs de Palo Alto Networks qui pointent du doigt l'impact de l'IA. Mais ils soulignent aussi la persistance des problèmes de sécurité basiques comme accélérateur des attaques.

Les cyberattaques se multiplient, laissant toujours moins de temps entre la compromission initiale et les conséquences néfastes. De plus, l'avènement de l'IA accélère leur déroulement à un rythme que les défenseurs humains ne peuvent plus suivre. C'est la conclusion générale et sans doute peu surprenante du rapport « 2026 Global Incident Response » de Palo Alto Networks, qui a analysé 750 incidents dans 50 pays. Les enquêtes ont été réalisées par l’unité 42 de l’entreprise. Dans les attaques les plus rapides analysées, les auteurs sont passés de l'accès initial à l'exfiltration des données en 72 minutes, contre près de cinq heures en 2024. Selon Palo Alto, cela s'explique de plus en plus par la capacité de l'IA à réduire les délais de reconnaissance, d'hameçonnage, de script et d'exécution opérationnelle.

Cependant, un examen plus approfondi atténue ce sombre tableau et offre aux RSSI un peu d'espoir : le vrai risque pour les entreprises, ce ne sont pas tant les attaquants rapides ou l’impact de l’IA, mais la sécurité de base, comme une faible authentification, le manque de visibilité en temps réel et les erreurs de configuration causées par une complexité toujours plus grande des systèmes de sécurité. En théorie, tous ces problèmes peuvent être résolus. Comme le soulignent les auteurs, « malgré la rapidité et l'automatisation que nous observons, la plupart des incidents auxquels nous répondons ne sont pas le fruit d'une innovation radicale ». Selon eux, ils trouvent majoritairement leur origine dans des failles qui apparaissent régulièrement. « Très souvent, les pirates n'ont pas eu recours à des exploits sophistiqués, mais ils ont simplement exploité des vulnérabilités négligées. »

Une lutte autour de l'identité

Un thème récurrent concerne la lutte que mènent de nombreuses entreprises en matière d'identité et de confiance, qui, selon l’Unité 42, a joué un rôle dans 90 % des incidents étudiés par ses équipes. Celles-ci relèvent que dans les tactiques des attaquants, 33 % des incidents impliquaient de l'ingénierie sociale ; 22 %, du phishing basé sur l'identité ; 21 %, de l'abus d'identifiants et de la force brute ; et 8 %, des menaces internes. Trop de comptes disposent d'autorisations excessives. C'était le cas pour 99 % des 680 000 utilisateurs, rôles et services cloud analysés par l’Unité 42, y compris certains qui n'avaient pas été utilisés depuis 60 jours ou plus. En fait, alors que les entreprises ajoutent toujours plus d'applications cloud, SaaS et IA, cette surface d'attaque de l’identité s’étend plus rapidement que leur capacité à résoudre les problèmes sous-jacents.

De plus en plus, ces identités sont liées à des machine (comptes de service, rôles d'automatisation, clés API, agents IA), des identités fantômes (comptes non autorisés, environnements de développement et tiers) et des « silos » d'identité (AD sur site et plusieurs fournisseurs d'identité cloud). « Il est rare qu'une attaque se limite à un seul environnement. Au contraire, nous observons des activités coordonnées entre les terminaux, les réseaux, le cloud, les SaaS et les identités, ce qui oblige les défenseurs à surveiller tous ces éléments simultanément », ont expliqué les chercheurs de l’Unité 42. Les fournisseurs constituent un autre domaine vulnérable. Dans 23 % des incidents, les attaquants ont pu exploiter des applications SaaS tierces, contournant ainsi les contrôles de sécurité traditionnels. « Lorsqu'un fournisseur en amont signalait une compromission ou une panne, les clients devaient souvent s'arrêter et répondre à une question fondamentale : sommes-nous concernés ? Dans de nombreux cas, ils avaient une visibilité limitée sur leur propre exposition », ont fait remarquer les experts.

Besoin de SOC dopé à l’IA

Pour mettre fin à ce cycle dans lequel les attaquants ont toujours une longueur d'avance sur les défenseurs, l’Unité 42 estime qu’il faut changer de paradigme : « La cybersécurité est devenue tellement spécialisée, que la solution consiste à utiliser un service géré conçu dès le départ pour contrer les menaces réelles plutôt qu'abstraites », ont suggéré les auteurs. Dans cette optique, Palo Alto Networks a lancé cette semaine la deuxième version de son service SOC managé nommé Xsiam. Elle inclut l’intégration complète la recherche et la réponse aux menaces, ainsi que la modélisation des schémas d'attaque plus rapidement qu'un SOC traditionnel. Reste à savoir si cette offre est convaincante.

Les RSSI ont déjà entendu ce message : les anciens systèmes ne fonctionnent plus, il faut donc investir dans quelque chose de nouveau. Et il y a toujours un ancien système ou service qui doit être remplacé par un autre, plus performant. Pour compliquer les choses, l'idée de SOC toujours plus avancés n'est peut-être pas la panacée. Certains ont même avancé que les SOC eux-mêmes peuvent finir par être confrontés aux mêmes problèmes de pénurie de compétences et de contraintes budgétaires que les services IT traditionnels. Comme le dit Palo Alto Networks, « la fenêtre de défense s'est effondrée, et la plupart des SOC n'ont pas été conçus pour faire face à la rapidité des attaques actuelles. » Il faut donc abandonner les anciens outils comme les SIEM et SOAR traditionnels, qui se contentent de générer des alertes. Les SOC modernes, alimentés par l'IA, doivent agir « à la vitesse de la machine ».