Cybermenaces : avec l’IA, les pirates ont pris un coup d’avance

Confrontées à une flambée des attaques dopées à l’intelligence artificielle, les entreprises accusent un retard périlleux. Pour les comités de direction, l’heure n’est plus à l’attentisme, mais à l’intégration de la cybersécurité au coeur de la stratégie et de l’innovation.

Par Gildas Bouteiller, Directeur associé au BCG.

Il y a quelques mois, une multinationale d’ingénierie s’est vue délestée de quelque 25 M€. En toute bonne foi, les employés ont satisfait aux demandes de leur directeur financier en effectuant, coup sur coup, 15 virements vers cinq banques différentes.
Or il s’agissait d’un deepfake réalisé grâce à une IA, pour lequel un escroc avait imité à la perfection l’apparence et la voix du dirigeant.

Cette mésaventure n’a rien d’un cas isolé. Selon une étude récente (décembre 2025) sur l’IA et la cybersécurité du Boston Consulting Group, près de 60 % des entreprises estiment avoir subi une cyberattaque alimentée par l’IA en 2025. Plus que leur nombre, c’est la sophistication des actions menées qui se révèle préoccupante.
L’intelligence artificielle rend les attaquants plus rapides, plus créatifs et les aide à automatiser leurs raids, créant une asymétrie croissante avec les défenseurs. Les mécanismes d’authentification (voix, images, mots de passe…), sur lesquels reposent la sécurité de nos échanges numériques, sont désormais vulnérables. Et petit à petit, les systèmes d’IA de l’entreprise deviennent eux-mêmes des cibles. Les modèles, ainsi que leurs données d’entraînement et leurs interfaces, ont besoin d’être protégés contre des manipulations malveillantes.

Immobilisme structurel

Mais si plus d’un dirigeant sur deux classe désormais la menace cyber parmi le top 3 des risques, seules 7 % des entreprises utilisent à leur tour l’IA pour s’en protéger. Les conséquences peuvent être, on l’a vu, financières. Elles peuvent aussi être opérationnelles, lorsqu’un rançongiciel programmé avec une IA paralyse toute une organisation. Ou même… électorales quand un opérateur téléphonique voit ses robots d’appel piratés par des activistes afin d’influencer de futurs votants.

Tous les secteurs accusent un temps de retard. Leur immobilisme découle de cinq causes majeures. La première est le manque de budget. Seules 5 % des entreprises ont augmenté les sommes consacrées à leur cybersécurité en 2025. La pénurie de talents arrive en deuxième. Plus de deux tiers des organisations éprouvent des difficultés pour recruter des profils combinant expertise cyber et compétences IA.

Outils immatures

Vient ensuite le manque de leadership stratégique. Le sujet reste trop souvent cantonné à la sphère technique, piloté par le directeur des systèmes d’information ou le responsable de leur sécurité (CISO), et non par le Comex. Quatrième cause de retard, le marché manque de maturité technologique. Les outils de défense IA sont récents et un quart des organisations seulement les jugent suffisamment éprouvés. Ultime explication, ces dernières craignent souvent de se retrouver prisonnières de systèmes menacés par une obsolescence rapide.

Pour ne rien arranger, alors que la plupart des organismes de régulation ont élaboré des politiques en matière de cybersécurité et d’IA, la majorité des entreprises ignore comment les mettre en oeuvre… Devant ces constats, la cybersécurité est appelée à changer de statut au sein des Conseils d’administration et des Comex. Le CEO doit en faire une priorité stratégique permanente, soumise à un examen régulier, et non un simple point d’étape annuel. C’est au plus haut niveau qu’il faut identifier et combattre les vulnérabilités liées à l’IA, avec les financements adéquats.

La sécurité by design

Chaque innovation basée sur l’IA doit être sécurisée nativement, avant sa mise sur le marché. Cela implique de penser la cybersécurité en amont – security by design – et de l’intégrer au coeur de la R&D et du développement des produits. Il faut ensuite agir massivement sur le capital humain et technologique. Alors que sévit une vraie pénurie de talents, recruter tôt des profils hybrides (experts cyber et IA) et investir dans la formation continue des équipes existantes est une condition de survie. Enfin, les entreprises doivent diversifier leurs fournisseurs afin de conserver l’agilité et la résilience nécessaires face à l’évolution rapide des menaces.

Nous sommes à un moment de bascule. Les organisations font face à un choix binaire : investir dans une défense intelligente ou bien subir. L’attentisme est désormais le plus grand des risques.

À LIRE AUSSI :

Secu

Dans la tête d’un cyberattaquant : le théâtre de l’illusion, le vol du temps, et le dernier clic

Thierry Derouet

4 Mar

À LIRE AUSSI :

Data / IA

La cybersécurité à l’ère de l’IA en 2026 : enfin des chiffres intéressants…

Laurent Delattre

4 Fév

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !