Les ransomwares dopés à l'IA, une menace sérieuse pour les RSSI

Alimentés par l'IA, les rançongiciels gagnent en rapidité et en sophistication. Les entreprises, souvent mal préparées, peinent à contenir ces attaques qui peuvent coûter des millions et exposer durablement leurs données.

De récentes études menées par nos confrères de CSO et CrowdStrike montrent que l’IA accélère la fréquence et la sophistication des attaques par ransomware. Face à cette menace, les responsables de la sécurité cherchent à utiliser les mêmes armes pour se défendre. Selon l’étude Security Priorities 2025 de CSO, 38 % des dirigeants de la sécurité considèrent les ransomwares exploitant l’IA comme leur principale source d’inquiétude.

Et cette inquiétude n’est pas infondée. D’après l'enquête de State of Ransomware 2025 de CrowdStrike, les cybercriminels intègrent déjà ces capacités dans leurs chaînes d’attaque, forçant les entreprises à revoir leurs stratégies de défense. « Les pirates se servent de l’IA pour accélérer chaque étape des attaques, de la conception du malware à l’ingénierie sociale. Cela réduit considérablement le temps de réaction des défenseurs », alerte Elia Zaitsev, CTO de CrowdStrike. « Les défenses anciennes ne peuvent rivaliser avec la vitesse et la sophistication des attaques pilotées par l’IA. Dans le paysage actuel, chaque seconde compte. »

Une préparation souvent surestimée face à des attaques éclair

CrowdStrike a interrogé 1 100 décideurs IT et cybersécurité dans sept pays dont la France pour mesurer leur niveau de préparation face aux rançongiciels et évaluer l’impact de l’IA sur cette menace. Le constat est alarmant : 78 % des entreprises ont subi une attaque par ransomware au cours de l’année écoulée. Parmi elles, la moitié se jugeait « très bien préparée », mais moins d’un quart a pu restaurer ses systèmes en moins de 24 heures. Le fournisseur parle d’une véritable « illusion de confiance ».

Payer la rançon ne garantit pas la sécurité. Selon l’enquête, 83 % des victimes ayant payé ont été de nouveau attaquées, et 93 % ont tout de même perdu des données. Près de 40 % n’ont pas réussi à restaurer leurs fichiers intégralement. Le phishing reste la porte d’entrée la plus courante : 45 % des victimes citent cette méthode, suivie par l’exploitation de vulnérabilités (40 %), la compromission de la chaîne d’approvisionnement (35 %), le vol d’identifiants (33 %), les téléchargements malveillants (32 %) et l’usage détourné d’outils de supervision à distance (31 %).

Des coûts colossaux

Au-delà des pertes techniques, les attaques ont un impact financier considérable. Le coût moyen d’un incident ransomware atteint 1,7 million de dollars, sans compter les dégâts immatériels : atteinte à la réputation (34 %), sanctions légales (24 %) ou divulgation publique de données (24 %). Pourtant, la réaction post-attaque reste inégale. Une entreprise sur deux augmente son budget cybersécurité après un incident et 47 % renforcent la détection, mais seules 38 % s’attaquent réellement à la cause de l’attaque, soulignant la difficulté à tirer les leçons d’une compromission.

L’IA générative accentue encore le danger, en rendant le phishing plus sophistiqué et difficile à détecter : 82 % des entreprises estiment que ces e-mails sont désormais plus difficiles à identifier, même pour des employés formés, et 87 % jugent ces tactiques plus convaincantes que les méthodes classiques. Huit équipes sur dix reconnaissent que leurs outils traditionnels ne suivent plus le rythme des menaces. Conséquence directe : les solutions basées sur l’IA se généralisent rapidement, avec 53 % des sociétés utilisant la détection de menaces basée sur cette technologie, 51 % la réponse automatisée aux incidents et 48 % la détection du phishing.

La vitesse, nouveau champ de bataille

Selon Cristian Rodriguez, Field CTO chez CrowdStrike, « l’IA intervient désormais à toutes les étapes de la chaîne d’attaque ». Elle offre la possibilité de générer des campagnes de phishing d’un réalisme saisissant, première porte d’entrée des ransomwares, et la prochaine vague intégrera les deepfakes, rendant ces attaques encore plus convaincantes. L’IA facilite également la création de nouveaux malwares, déjà exploités par les opérateurs de ransomware-as-a-service pour infiltrer et perturber les systèmes.

Dans ce contexte, la rapidité devient désormais le nerf de la guerre. Là où il fallait autrefois plusieurs heures, voire une journée, pour passer de l’intrusion au chiffrement, l’IA réduit ce délai à quelques minutes. Une étude de Huntress publiée plus tôt cette année estimait le « temps jusqu’à la rançon » moyen à 17 heures, certaines attaques tombant à 4 à 6 heures seulement.