L'intelligence artificielle a changé la donne en cybersécurité — et pas dans le bon sens. Les attaquants disposent désormais d'outils qui automatisent la reconnaissance, génèrent des emails de phishing indétectables, clonent des voix en temps réel et contournent les antivirus classiques. Pour comprendre l'ampleur du phénomène, nous avons rencontré Marc Durand, consultant en sécurité offensive à Paris depuis 14 ans, fondateur d'un cabinet de cybersécurité indépendant.
Sommaire
- Introduction : Marc Durand et le choc de l'IA offensive
- En quoi les cyberattaques de 2026 sont-elles fondamentalement différentes ?
- Comment l'IA est-elle concrètement utilisée par les cybercriminels ?
- Les deepfakes audio et vidéo : quel risque réel ?
- Le phishing assisté par IA : peut-on encore le détecter ?
- Quelles sont les cibles privilégiées des attaquants ?
- Comment une PME peut-elle se protéger sans budget de grande entreprise ?
- Les attaques étatiques par IA : que se passe-t-il vraiment ?
- Questions rapides — idées reçues sur les cyberattaques IA
- Quels outils de défense recommandez-vous ?
- Les 3 choses à retenir
Consultant en sécurité offensive, Paris. 14 ans d'expérience en tests d'intrusion, fondateur d'un cabinet de cybersécurité indépendant spécialisé dans les audits Red Team pour grands comptes et administrations.
Introduction : quand l'IA change les règles du jeu offensif
Le 14 novembre 2025, une entreprise de logistique lyonnaise recevait un appel téléphonique de son PDG lui demandant de transférer 230 000 euros vers un compte fournisseur d'urgence. La voix était parfaite. L'intonation, le vocabulaire, même les petites hésitations caractéristiques du patron — tout concordait. La directrice financière a exécuté le virement. Le vrai PDG était en réunion depuis le matin, sans son téléphone.
Ce n'était pas de la magie. C'était un deepfake audio généré par IA à partir de quelques minutes d'enregistrements glanés sur les réseaux sociaux de l'entreprise. L'incident a coûté 230 000 euros et illustre mieux que n'importe quelle statistique ce que Marc Durand appelle "la démocratisation de la sophistication offensive".
Avant d'aller plus loin, si vous n'êtes pas encore familier avec les fondamentaux de la cybersécurité, notre guide de cybersécurité 2026 pose les bases indispensables pour comprendre le paysage des menaces.
SOPHIE MARCHAND — I-ACTU.FREn quoi les cyberattaques de 2026 sont-elles fondamentalement différentes de celles d'il y a 5 ans ?
MARC DURANDIl y a cinq ans, une attaque sophistiquée nécessitait une équipe de plusieurs personnes : un spécialiste en ingénierie sociale, un développeur de malwares, un expert en persistance réseau, un coordinateur. Cette organisation prenait des semaines à préparer une campagne ciblée contre une seule entreprise.
Aujourd'hui, un attaquant seul, avec un abonnement à quelques services IA et des connaissances techniques moyennes, peut lancer une campagne ciblée contre 500 entreprises simultanément. L'IA a multiplié l'échelle et la vitesse des attaques. Ce qui m'inquiète le plus n'est pas l'attaquant sophistiqué d'État, qui existait déjà. C'est la démocratisation qui permet à des acteurs de niveau moyen d'atteindre une sophistication autrefois réservée aux élites.
SOPHIE MARCHAND — I-ACTU.FRComment l'IA est-elle concrètement utilisée par les cybercriminels aujourd'hui ?
MARC DURANDJe vois principalement quatre usages opérationnels. Premier usage : la reconnaissance automatisée. Des agents IA scrapent LinkedIn, les sites d'entreprises, les dépôts GitHub et les médias sociaux pour cartographier l'organigramme, identifier les technologies utilisées, les fournisseurs, les partenaires — tout ce qui peut servir à une attaque ciblée. En une heure, un attaquant sait qui appeler, comment se présenter et quelle urgence inventer.
Deuxième usage : la personnalisation du phishing à grande échelle. Autrefois, un email de phishing générique touchait 1 % des destinataires. Aujourd'hui, un LLM génère des emails parfaitement personnalisés pour chaque cible — en citant des projets récents, des collègues, des événements internes. Le taux de clic peut atteindre 30 à 40 % selon mes tests.
Troisième usage : la génération de code malveillant. Les outils IA jailbreakés permettent de générer des variantes de malwares qui échappent aux signatures des antivirus classiques. Un code polymorphe généré par IA est nouveau à chaque exécution.
Quatrième usage : les deepfakes audio et vidéo pour l'ingénierie sociale vocale — comme l'exemple de Lyon que vous connaissez peut-être.
SOPHIE MARCHAND — I-ACTU.FRLes deepfakes audio et vidéo : quel est le risque réel pour les entreprises ?
MARC DURANDLe risque est réel et documenté. Selon un rapport de l'ANSSI publié en mars 2026, les attaques de fraude au président utilisant des deepfakes audio ont augmenté de 340 % en France entre 2024 et 2025. Le coût moyen d'une telle attaque réussie est de 185 000 euros.
La technologie de clonage vocal a atteint un niveau de qualité qui rend la détection quasi impossible à l'oreille humaine. Avec seulement 30 secondes d'audio source — une vidéo YouTube, une conférence téléphonique enregistrée, une interview radio — on peut générer une voix synthétique convaincante. En temps réel, c'est plus complexe techniquement, mais les systèmes de voix synthétique en temps réel existent déjà.
Pour les PDFs et vidéos, c'est plus difficile à détecter en temps réel, mais pour les messages vocaux et les appels téléphoniques, la détection humaine est proche de zéro. La solution n'est pas technique — elle est procédurale : tout transfert financier doit être confirmé par un deuxième canal indépendant, peu importe qui appelle et avec quelle urgence. Ces attaques s'inscrivent dans une tendance plus large : les arnaques générées par intelligence artificielle en 2026 combinent désormais clonage vocal, vidéos synthétiques et manipulation comportementale pour piéger aussi bien les particuliers que les entreprises.
SOPHIE MARCHAND — I-ACTU.FRLe phishing assisté par IA : peut-on encore le détecter ?
MARC DURANDDistinguer un email écrit par un humain natif d'un email généré par GPT-4 est impossible dans 90 % des cas. Les LLMs écrivent mieux que la majorité des attaquants humains. Et ils ne font pas de fautes d'orthographe, qui étaient autrefois le premier signal d'alerte.
Ce qui reste détectable, c'est l'infrastructure : l'adresse email de l'expéditeur (domain spoofing, typosquatting), les liens vers des domaines qui ne correspondent pas à la marque officielle, les incohérences techniques dans les en-têtes SMTP. Mais un utilisateur non formé ne vérifie pas ces éléments. C'est pourquoi la formation des employés, plus que n'importe quelle solution technique, reste la défense la plus efficace contre le phishing. Pour aller plus loin sur les techniques anti-phishing et arnaques, notre guide pratique détaille les réflexes à adopter.
SOPHIE MARCHAND — I-ACTU.FRQuelles sont les cibles privilégiées des attaquants qui utilisent l'IA ?
MARC DURANDLes attaquants opportunistes ciblent les organisations dont la surface d'attaque est large et la maturité cybersécurité faible — en tête, les PME de 50 à 500 salariés qui ont des systèmes legacy et peu de ressources dédiées à la sécurité. Les hôpitaux, les collectivités locales et les cabinets d'avocats sont également sur-représentés dans les victimes, car ils traitent des données très sensibles et ont historiquement sous-investi en cybersécurité.
Les attaquants ciblés — les groupes APT étatiques ou semi-étatiques — ciblent les opérateurs d'importance vitale (OIV), les entreprises de défense, les infrastructures critiques et les organismes gouvernementaux. Pour ces cibles, l'IA est utilisée pour accélérer la reconnaissance et maintenir une persistance discrète sur le long terme, parfois pendant des mois avant une exfiltration.
Il y a aussi un phénomène nouveau que j'appelle "l'attaque de la chaîne logicielle IA" : cibler les datasets d'entraînement ou les modèles IA utilisés par les entreprises pour y injecter des comportements malveillants. C'est encore émergent mais potentiellement dévastateur.
SOPHIE MARCHAND — I-ACTU.FRComment une PME peut-elle se protéger sans budget de grande entreprise ?
MARC DURANDLa bonne nouvelle : 85 % des attaques exploitent des failles connues depuis plus de deux ans. Maintenir les logiciels à jour est la mesure la plus efficace et la moins coûteuse. Ensuite, l'authentification multi-facteurs sur tous les comptes critiques — messagerie, VPN, cloud — bloque la grande majorité des accès non autorisés, y compris après un phishing réussi.
Pour une PME avec un budget serré, je recommande dans l'ordre : 1) MFA partout (coût quasi nul avec Microsoft Authenticator ou Google Authenticator), 2) Formation anti-phishing des employés deux fois par an (quelques centaines d'euros par session), 3) Plan de sauvegarde 3-2-1 testé régulièrement — pas seulement mis en place, mais vraiment testé. Pour un plan de sauvegarde cloud post-attaque, nos recommandations détaillent les stratégies testées en production.
4) Enfin, souscrire une cyber-assurance — le marché s'est structuré en France et les primes pour les PME sont désormais accessibles. Une attaque ransomware coûte en moyenne 200 000 euros à une PME ; une assurance coûte quelques milliers d'euros par an.
SOPHIE MARCHAND — I-ACTU.FRLes attaques étatiques par IA : que se passe-t-il vraiment ?
MARC DURANDCe que je peux dire sans violer la confidentialité de mes missions : les groupes APT (Advanced Persistent Threat) étatiques utilisent l'IA depuis au moins 2023 pour automatiser la reconnaissance, générer des outils d'intrusion sur mesure et maintenir une persistance plus discrète. Les groupes russes (APT28, APT29), chinois (APT40, APT41) et nord-coréens (Lazarus) sont les plus documentés dans les rapports publics de Mandiant, CrowdStrike et de l'ANSSI.
Ce qui est moins discuté publiquement, c'est l'utilisation de l'IA pour les opérations d'influence informationnelle — pas les cyberattaques au sens technique, mais la manipulation de l'information via des deepfakes, des faux comptes IA et des campagnes de désinformation hyper-personnalisées. C'est là que se joue une partie importante de la "guerre cyber" contemporaine, loin des serveurs mais avec des impacts réels sur les élections, les marchés financiers et la cohésion sociale. Pour comprendre comment s'inscrit ce phénomène dans le cadre réglementaire européen, voir notre décryptage de l'encadrement légal de l'IA en Europe.
Questions rapides — idées reçues sur les cyberattaques IA
Un antivirus suffit à se protéger des malwares IA. FAUX. Les antivirus basés sur les signatures sont dépassés face aux malwares polymorphes générés par IA, qui changent de signature à chaque exécution. Les solutions EDR (Endpoint Detection and Response) basées sur l'analyse comportementale sont nécessaires.
Les petites entreprises ne sont pas ciblées par les attaques sophistiquées. FAUX. L'automatisation par IA a supprimé l'argument "trop petit pour être ciblé". Les PME sont souvent ciblées précisément parce que leur sécurité est plus faible, notamment comme point d'entrée vers de plus grandes organisations partenaires.
Changer régulièrement ses mots de passe est la meilleure protection. PARTIELLEMENT VRAI. L'utilisation d'un gestionnaire de mots de passe avec des mots de passe uniques et complexes est plus efficace que le changement fréquent de mots de passe mémorables. L'activation du MFA est bien plus impactante que la rotation des mots de passe.
Les deepfakes sont faciles à reconnaître à l'œil nu. FAUX. Les deepfakes audio de 2026 sont indétectables à l'oreille humaine dans 90 % des cas. Les deepfakes vidéo restent légèrement plus décelables mais progressent rapidement.
Un incident de cybersécurité est de la responsabilité exclusive de l'IT. FAUX. 82 % des incidents débutent par une erreur humaine — un clic sur un lien de phishing, un mot de passe partagé, un document ouvert. La cybersécurité est une responsabilité collective.
Payer la rançon en cas de ransomware est parfois la seule solution. FAUX. Les organismes comme Cybermalveillance.gouv.fr, l'ANSSI et No More Ransom proposent parfois des déchiffreurs gratuits. Payer ne garantit pas la récupération des données et encourage les attaquants.
SOPHIE MARCHAND — I-ACTU.FRQuels outils de défense recommandez-vous pour faire face à l'IA offensive ?
MARC DURANDPour les grands comptes, les plateformes XDR (Microsoft Sentinel, CrowdStrike Falcon, Palo Alto Cortex) qui intègrent la détection comportementale par IA sont incontournables. Elles analysent en temps réel les comportements anormaux sur l'ensemble du SI — une connexion à 3h du matin depuis un pays inhabituel, une exfiltration de données vers un service cloud inconnu, une escalade de privilèges suspecte.
Pour les PME, des solutions managées comme Managed Detection and Response (MDR) permettent de déléguer la surveillance à des équipes spécialisées sans maintenir une équipe interne 24/7. Des acteurs français comme Sekoia.io, ITrust ou Stormshield proposent des offres adaptées aux budgets PME.
Côté formation, les tests de phishing simulés en conditions réelles restent l'outil le plus efficace pour sensibiliser les équipes. Je recommande deux campagnes par an minimum, en variant les scénarios — la monotonie endort la vigilance. Les ressources d'intelligence sur les menaces cyber et les mises à jour de threat intelligence permettent de rester à la pointe des nouvelles techniques d'attaque. Pour les développeurs qui veulent intégrer la sécurité dans leur code dès la conception, les bonnes pratiques de développement sécurisé sont un complément indispensable.
SOPHIE MARCHAND — I-ACTU.FRQuel conseil donneriez-vous à un développeur pour sécuriser son code face à l'IA offensive en 2026 ?
MARC DURANDIntégrez la sécurité dès la conception — le fameux "shift left security". Un développeur qui utilise Cursor ou GitHub Copilot pour générer du code doit comprendre que ce code peut être généré avec des vulnérabilités classiques : injections SQL, XSS, gestion des secrets dans le code, dépendances avec des failles connues. Les LLMs ne sont pas des experts en sécurité, ils reproduisent des patterns qui peuvent être vulnérables.
Utilisez des outils SAST (Static Application Security Testing) comme Semgrep ou Snyk dans vos pipelines CI/CD. Formez-vous aux OWASP Top 10 — ce sont les mêmes vulnérabilités depuis des années, et elles représentent encore 80 % des failles exploitées. Et n'utilisez jamais de credentials en dur dans votre code, même pour le développement.
Les 3 choses à retenir de cet entretien avec Marc Durand
- L'IA a démocratisé la sophistication des attaques. Des cybercriminels de niveau moyen peuvent désormais lancer des campagnes ciblées à grande échelle grâce aux outils IA. La quantité d'attaques augmente, la qualité aussi.
- Les procédures humaines sont la première ligne de défense contre les deepfakes. Aucune technologie ne détecte de manière fiable un deepfake audio en temps réel. Seule une procédure de vérification multi-canal (appel de confirmation via un numéro connu) peut protéger contre les fraudes au président vocales.
- 85 % des attaques exploitent des failles connues. MFA + mises à jour régulières + formation anti-phishing bloque l'immense majorité des attaques, même sophistiquées. Les fondamentaux comptent plus que les technologies de pointe.
Pour aller plus loin, notre dossier sur les métiers de la cybersécurité et leurs salaires détaille comment se reconvertir vers ce secteur en forte demande en 2026 — car la sécurité face aux attaques IA crée autant d'emplois qu'elle en transforme.