3 juillet 2026

Ce que ces 27 secondes signifient pour ta sécurité en matière d'IA

IA contre IA
| Partie
2

Temps de lecture :

5 minutes

Les attaques basées sur l'IA ont augmenté de 89 %. Le temps de pénétration le plus rapide : 27 secondes. Ils ne piratent pas les entreprises. Ils piratent les infrastructures. Même le hacker au sweat à capuche noir a perdu son boulot à cause de l'IA.

Découvre toute la série sur la sécurité de l'IA

1. La faille que personne ne surveille
93 % de confiance. 29 % de préparation. Une seule personne a piraté un chatbot et vidé dix administrations. Le fossé entre ce qu’on raconte aux dirigeants et ce que dit le rapport d’incident.

2. 27 secondes pour réussir une intrusion
Des temps de piratage de 27 secondes. Des tentatives de phishing générées par l’IA qui connaissent ton équipe par son nom. Le hacker au sweat à capuche noir a lui aussi perdu son boulot au profit de l’IA. Ce qui l’a remplacé ne dort jamais.

3. La menace qui porte ton propre badge
76 % des entreprises sont confrontées à l’IA fantôme. La menace n’est pas à la porte. Elle porte un badge que tu as délivré. Des modèles intégrés par les fournisseurs, des plugins compromis et les outils que ton équipe a elle-même invités à entrer.

4. La souveraineté, c'est un choix d'architecture
Tout le monde parle de « souveraineté ». Cet article explique ce qui se passe quand ton client te pose la question et que ta réponse doit être nuancée. Interchangeabilité, indépendance vis-à-vis des fournisseurs, et ce que le CLOUD Act implique pour les données canadiennes.

5. Le manque de personnel
L'offre d'emploi en sécurité IA demande quatre profils en une seule personne. Cette personne n'existe pas. Le travail, lui, existe bel et bien. Des banques d'heures, un contexte réutilisable et un PMO qui assure la cohésion de l'ensemble.

6. Quelles questions poser à ton fournisseur
Sept questions. Imprime-les. Apporte-les à la réunion. Attends-toi à des réponses directes, pas à des changements de sujet soigneusement formulés. Pose-les à tout le monde. Y compris à nous.

7. À quoi ça ressemble quand la sécurité de l'IA fonctionne
Mardi matin. Le téléphone n'a pas sonné. Le client n'est pas parti. Le fil de discussion sur Reddit n'a pas été publié. Voilà à quoi ressemble une bonne sécurité.

Auteur

Dimitri Phalen est le responsable marketing chez ISM préfère le langage simple aux grandes promesses. Depuis des années, il bosse en coulisses pour transformer des problèmes informatiques compliqués et confus en solutions concrètes que les équipes peuvent vraiment utiliser. Si un texte donne l'impression d'avoir été écrit par quelqu'un qui n'a pas bu assez de café et qui est resté assis trop près de l'équipe de développement pendant trop longtemps, c'est sûrement de sa faute.

Vingt-sept secondes.

C'est tout ce qu'il faut : quand ce LLM à la mode que ton neveu utilise pour mettre un haut-de-forme à son golden retriever traite ton infrastructure comme un projet de recherche sur les failles de sécurité. Pour le modèle, tu n'es pas une entreprise. Tu es une tâche. Un casse-tête à démêler, parce que quelqu'un à l'autre bout d'un abonnement à un chatbot a posé la bonne question dans le bon ordre.

CrowdStrike a relevé ce temps de 27 secondes dans son rapport mondial sur les menaces de 2026. Le premier système est piraté, puis l’intrus se déplace latéralement vers le suivant. Avant même que tu aies le temps de déverrouiller ton ordinateur portable, l’intrus s’est déjà faufilé ailleurs dans ton réseau. La moyenne est de 29 minutes, ce qui semble encore gérable jusqu’à ce que tu te rendes compte de ce que fait réellement ton équipe quand une alerte se déclenche. Quelqu’un vérifie s’il s’agit d’un faux positif. C’est généralement le cas. Ils remontent l’info. Le responsable de la réponse aux incidents est en réunion. Puis en appel à propos du dernier incident. Quarante-cinq minutes si tout se passe bien. Le temps que l’appel commence, l’intrus a déjà eu seize minutes d’action ininterrompue à la vitesse de la machine. Identifiants récupérés. Autorisations cartographiées. Exfiltration préparée. Ton équipe est encore en train de décider qui va partager son écran.

Le hacker au sweat à capuche noir a lui aussi perdu son boulot à cause de l'IA

Ce personnage à la capuche qu’on voit sur les photos d’archives ? Il est désormais obsolète grâce aux mêmes outils que ton EA utilise pour embellir tes notes de service. La différence entre un e-mail de remerciement et un script d’exploitation, ça tient à environ quatre phrases de suggestions créatives. Même interface. Même abonnement mensuel. Des résultats complètement différents.

En décembre 2025, un seul individu a réussi à convaincre un chatbot basé sur l'IA de pirater dix agences gouvernementales mexicaines. Une seule personne. Mille instructions. 195 millions de dossiers de contribuables. Tout ce que cet individu a apporté, c'est de la patience et douze dollars par mois.

C'était une personne avec un chatbot. Maintenant, multiplie ça.

D'après Amazon Threat Intelligence, des pirates russes ont utilisé une IA commerciale pour compromettre plus de 600 pare-feu FortiGate dans 55 pays en 5 semaines. Pas de « zero-days ». Pas d'exploits sophistiqués. Juste des interfaces exposées et des identifiants par défaut, repérés à un rythme qui a transformé le cycle de correctifs en un vrai spectacle. Un pare-feu en Saskatchewan et un autre au Portugal ont les mêmes paramètres d'usine. L’IA ne visait pas les entreprises. Elle s’en prenait aux utilisateurs de cette même infrastructure commune.

Par ailleurs, l’indice X-Force 2026 d’IBM a mis en évidence des agents nord-coréens qui créaient de faux employés à l’aide de l’IA. De fausses photos d’identité. De faux diplômes. De faux parcours professionnels suffisamment convaincants pour passer les entretiens. Ils postulent à des emplois à distance. Ils sont embauchés. Ils s’installent dans ton environnement avec un badge valide et un formulaire de virement automatique jusqu’à ce qu’ils trouvent ce qu’ils sont venus chercher. Tu n’as pas été piraté. Tu as embauché le pirate et tu lui as accordé des avantages sociaux.

L'IA connaît déjà tous les Gary de ton immeuble

Les e-mails de hameçonnage ne se ressemblent plus tous. C'est la vieille méthode : envoyer à tout va en espérant que ça marche. Ton filtre anti-spam en bloque 90 % avant même le petit-déjeuner.

Là, c'est différent. Chaque Gary a reçu un e-mail différent, rédigé spécialement pour lui, au même moment. Gary de la gestion de projet a reçu un e-mail de suivi de la part du fournisseur de services cloud que son équipe utilise réellement, faisant référence à la migration dont il avait parlé sur LinkedIn il y a trois semaines. Gary de la finance a reçu un e-mail pour réinitialiser son mot de passe du système de paie, envoyé pile au moment de la véritable réinitialisation. Gary des achats a reçu un avenant de contrat d'un vrai fournisseur, formaté à partir d'un document rendu public. Trois secondes de calcul par Gary. Une centaine de Garys ont été contactés avant même que quelqu’un ait fini de se servir un café. Chaque e-mail était sur mesure. Chacun a été assemblé à partir de profils publics, de pages mises en cache et de bases de données d’identifiants piratées.

Et puis, il y a l’aspect « identifiants » mis en évidence par les données d’IBM X-Force : un malware de vol d’informations a exposé plus de 300 000 identifiants ChatGPT rien qu’en 2025. Pas seulement des mots de passe. Des transcriptions. Toutes les questions que Gary a posées au chatbot : « Rédige cet e-mail confidentiel », « Résume ce document interne », « Analyse cet ensemble de données ». Un identifiant de chatbot volé, ce n’est pas juste une réinitialisation de mot de passe. C’est un dossier de renseignements. Et l’IA qui a conçu la campagne de hameçonnage peut recouper ces transcriptions avec le mot de passe réutilisé par Gary, issu de la fuite qui a touché le site d’inscription de sa ligue de hockey l’année dernière, ainsi qu’avec l’organigramme figurant sur la page « À propos » de ton entreprise.

C'est pas juste une petite piqûre. C'est du fromage suisse. Chaque trou a une taille différente, une forme différente, un Gary différent. Tu peux pas bloquer ça comme du spam parce que ça ressemble pas à du spam. Ça ressemble à un mardi.

Tu ne peux pas faire mieux avec plus de monde

Pas tout seuls. Pas à cette vitesse.

Ton meilleur analyste peut trier quarante alertes avant même que ton café ne refroidisse. L’IA qui a généré ces alertes a testé quatre mille voies d’attaque avant même que la bouilloire ne soit prête. Ta formation trimestrielle à la sécurité apprend aux gens à passer la souris sur les liens et à vérifier si les expéditeurs sont suspects. L’IA qui a conçu la campagne de hameçonnage avait déjà pris en compte toutes les leçons de ce module et s’en est servie pour construire sa stratégie. C’est comme si tu alignais une ligne de mousquets contre un essaim de drones. Les mousquets fonctionnent toujours. Tes équipes sont bien formées. Mais le combat a atteint une vitesse et une ampleur que les mousquets ne peuvent plus contrer.

La seule chose qui peut rivaliser avec la vitesse d'une machine, c'est la vitesse d'une machine. L'IA de ton côté du mur. Une application des politiques qui bloque les actions non autorisées dès le départ, pas après que l'alerte ait été mise en file d'attente. Une surveillance qui met en corrélation les signaux de ton réseau, de tes terminaux, de ta couche d'identité et de tes pipelines d'IA en temps réel. Une détection des dérives qui repère tout écart par rapport au scénario prévu avant même que les systèmes en aval n'en ressentent les répercussions. Les humains fixent les règles. L'IA les applique. Les humains vérifient les résultats. L'IA ne dort pas entre deux audits.

C'est ça, le modèle. Il ne s'agit pas de remplacer les gens, mais de leur donner des outils qui réagissent aussi vite que la menace, pour tester les attaques à ta façon avant que quelqu'un d'autre ne le fasse. ISM ça au Canada, avec du personnel habilité et une infrastructure canadienne. Kyndryl apporte la portée mondiale nécessaire. Le reste de cette série va te parler de l'architecture et de la manière dont ça fonctionne.

À lire ensuite

La plupart des discussions sur la sécurité de l'IA portent sur les outils des pirates. L'article suivant parle des tiens. L'IA fantôme, les modèles intégrés par les fournisseurs, les plugins compromis qui fonctionnent normalement pendant des mois. 76 % des entreprises savent déjà qu'elles sont concernées par ce problème. La menace n'est pas à la porte. Elle a un badge que tu lui as donné. Ton IA, c'est leur porte d'entrée.

Références

Rapport mondial sur les menaces 2026 de CrowdStrike: augmentation de 89 % des opérations menées par des attaquants utilisant l'IA, temps moyen de pénétration de 29 minutes, temps le plus court observé de 27 secondes, 82 % des détections sans malware

Indice IBM 2026 X-Force Threat Intelligence: hausse de 44 % des attaques exploitant des applications accessibles au public, plus de 300 000 identifiants ChatGPT exposés par des logiciels de vol d'informations, stratagèmes nord-coréens d'identité synthétique

Gambit Security: violation de données au Mexique, 150 Go de données exfiltrés de 10 agences via des chatbots IA « jailbreakés », décembre 2025

Amazon Threat Intelligence: plus de 600 pare-feu FortiGate piratés dans 55 pays

Rapport Kyndryl sur l'état de préparation en matière de sécurité et de réseaux 2025-2026: coût moyen d'un incident de 4,5 millions de dollars

Tu veux savoir comment on fonctionne ?

Chaque conversation commence par ton environnement. Pas par notre liste de produits.

Contacte-nous
FlècheFlèche

Ce n'est pas une question de technologie ou de processus. Ce qui compte, ce sont tes clients, tes utilisateurs et la confiance que tu as su gagner à la sueur de ton front. Toutes nos équipes gardent ça à l'esprit.

Appel à l'action sur mobile