· GO4IT · IA · 6 min read
IA et cybersécurité : les DSI françaises s'arment contre des attaquants augmentés
Face à des cyberattaques dopées à l'IA générative, les directions des systèmes d'information françaises déploient des défenses intelligentes capables de détecter, analyser et neutraliser les menaces en temps réel.
Le 12 mars 2026, une tentative d’intrusion massive a été détectée simultanément sur les systèmes de trois grandes entreprises françaises. L’attaque, coordonnée et d’une sophistication inédite, utilisait des agents IA génératifs pour personnaliser en temps réel les messages de phishing, contourner les filtres antivirus et s’adapter aux réponses des équipes de sécurité. Ce n’était qu’un test grandeur nature, mais il a confirmé ce que les experts redoutaient : la cybersécurité est entrée dans l’ère de l’IA offensive.
Le constat : des attaquants augmentés
Le rapport annuel de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), publié en avril 2026, dresse un tableau préoccupant : le nombre d’attaques utilisant l’IA générative a été multiplié par 7 en un an. Les attaquants utilisent des LLMs pour générer des emails de phishing parfaitement crédibles dans un français impeccable, sans les fautes d’orthographe qui permettaient autrefois de les identifier.
“Nous avons intercepté en février une campagne de phishing ciblant les services financiers de 25 entreprises du CAC 40. Chaque email était personnalisé avec le nom du destinataire, sa fonction, des références à des projets récents de l’entreprise, et même le nom de son supérieur hiérarchique. Tout cela généré automatiquement par un LLM à partir de données publiques”, raconte Guillaume Poupard, directeur général adjoint de l’ANSSI.
Les attaquants ne se contentent pas de générer du texte. Ils utilisent l’IA pour analyser les codes sources des applications à la recherche de vulnérabilités, pour créer des malwares polymorphiques qui modifient leur signature en permanence, et pour orchestrer des attaques multi-vecteurs coordonnées.
“Les outils de pentest traditionnels détectent des vulnérabilités connues. Les attaquants utilisant l’IA découvrent des vulnérabilités zero-day en analysant le comportement des applications. Le rapport de force est en train de basculer”, alerte Pierre-Yves Hentzen, CEO de la société française de cybersécurité Gatewatcher.
La réponse des DSI : l’IA défensive
Face à cette menace, les DSI françaises ne restent pas passives. Le déploiement de systèmes de détection basés sur l’IA connaît une croissance explosive. Selon une étude du cabinet PAC publiée en mai 2026, 62% des entreprises de plus de 1 000 salariés en France ont déployé au moins une solution de cybersécurité basée sur l’IA, contre 28% en 2024.
Le leader français du secteur, Thales, a intégré des capacités IA dans sa plateforme de cybersécurité Imperva. “Nos modèles analysent en temps réel le comportement des utilisateurs et des applications pour détecter des anomalies qu’aucune règle statique ne pourrait identifier. Nous parlons de 15 milliards d’événements analysés par jour, avec un taux de faux positifs réduit de 60% par rapport aux approches traditionnelles”, détaille Pierre-Yves Jolivet, vice-président cybersécurité de Thales.
L’approche la plus prometteuse est celle du SOC (Security Operations Center) augmenté par l’IA. Des startups françaises comme HarfangLab et Alsid (acquise par Tenable) développent des systèmes où l’IA trie, priorise et analyse les alertes de sécurité avant de les soumettre aux analystes humains.
“Un SOC traditionnel reçoit des milliers d’alertes par jour, dont 99% sont des faux positifs. Les analystes passent leur temps à trier. Avec l’IA, nous réduisons le volume d’alertes de 90% et nous permettons aux analystes de se concentrer sur les menaces réelles”, explique Vincent Gremilliet, CEO d’HarfangLab.
Les nouveaux outils : SOC autonome et XDR intelligent
L’innovation la plus récente est celle du “SOC autonome”, où l’IA non seulement détecte les menaces mais déclenche automatiquement des contre-mesures. La startup française Tehtris a développé une plateforme capable de détecter, analyser et neutraliser un ransomware en moins d’une minute, sans intervention humaine.
“Notre système a bloqué une attaque de type ransomware chez un client du secteur bancaire en 37 secondes chrono. L’attaque venait juste de commencer, un seul poste était infecté, et l’IA a immédiatement isolé la machine, identifié le vecteur d’attaque et déployé les règles de blocage sur l’ensemble du parc”, témoigne Laurent Oudot, CEO de Tehtris.
Les solutions XDR (Extended Detection and Response) intégrant l’IA deviennent le standard. Elles corrèlent les données de sécurité provenant des endpoints, du réseau, des emails et du cloud pour détecter des attaques complexes qui passeraient inaperçues sur un seul vecteur.
“Une attaque moderne utilise plusieurs canaux : un email de phishing, un téléchargement malveillant, un mouvement latéral sur le réseau, une exfiltration vers le cloud. Chaque étape prise individuellement peut paraître anodine. Seule l’IA peut corréler ces événements et identifier la menace globale”, explique un expert d’Orange Cyberdefense.
LLMs sous surveillance : le cas des fuites de données
Un nouveau risque émerge avec l’utilisation des LLMs en entreprise : celui de la fuite de données sensibles via les prompts. Une étude menée par l’éditeur français Vade Secure en mars 2026 a révélé que 34% des entreprises françaises utilisant des LLMs avaient déjà eu un incident de fuite de données via cette voie, souvent sans le savoir.
“Un employé copie des données clients dans ChatGPT ou Mistral AI pour les analyser, sans se rendre compte qu’il envoie ces données sur des serveurs américains. Nous avons vu des cas où des codes sources, des stratégies marketing confidentielles ou même des données bancaires ont été exposés”, alerte Adrien Gendre, CTO de Vade Secure.
Pour répondre à ce risque, des solutions de “DLP AI” (Data Loss Prevention pour l’IA) émergent. La startup française Filigran, spécialisée dans la gestion de crise cyber, a intégré dans sa plateforme OpenCTI un module qui analyse les prompts envoyés aux LLMs et bloque ceux qui contiennent des données sensibles, sur la base de règles configurables.
Le défi de l’IA générative de confiance
La confiance dans les modèles d’IA utilisés pour la cybersécurité est un enjeu crucial. Si le modèle qui analyse vos alertes de sécurité est lui-même vulnérable à des attaques par prompt injection, l’édifice défensif s’effondre.
“Nous travaillons avec des chercheurs du Laboratoire d’Informatique de l’École Polytechnique pour développer des modèles d’IA résistants aux attaques adverses. C’est un domaine de recherche encore balbutiant, mais essentiel pour l’avenir de la cybersécurité”, indique Pierre-Yves Jolivet.
Le régulateur s’en mêle également. L’ANSSI a publié en février 2026 un guide de bonnes pratiques pour l’utilisation de l’IA en cybersécurité, qui recommande notamment la segmentation des modèles, le chiffrement des données de training et l’audit régulier des performances.
Le coût de la cybersécurité IA
Investir dans la cybersécurité augmentée par l’IA a un coût, mais il est marginal comparé au coût d’une attaque réussie. Selon le rapport annuel du Club des Directeurs de Sécurité des Systèmes d’Information (CLUSIF), le coût moyen d’une cyberattaque réussie pour une entreprise française est passé de 1,8 million d’euros en 2024 à 2,7 millions en 2026.
“Les budgets cybersécurité des entreprises françaises augmentent en moyenne de 18% par an, et la part dédiée à l’IA défensive passe de 15% à 35% en deux ans. C’est une réallocation massive”, observe Marianne Bouchaud, associée chez McKinsey France.
Comme nous l’analysions dans notre article sur l’IA en entreprise, l’année de la vérité, 2026 marque un point de bascule. Les DSI françaises comprennent que l’IA n’est pas seulement un outil offensif pour les attaquants, mais aussi une arme défensive indispensable. La cybersécurité de demain sera largement automatisée, pilotée par des modèles d’IA capables de réagir plus vite que n’importe quel humain.
“Le futur de la cybersécurité, c’est l’asymétrie inverse : l’IA défensive doit être plus rapide que l’IA offensive. C’est une course aux armements où chaque camp utilise les mêmes technologies, mais avec des objectifs opposés”, résume Guillaume Poupard.
