De nouvelles enquêtes du CSO et de CrowdStrike révèlent des craintes croissantes selon lesquelles l’IA générative accélère les attaques de ransomwares tandis que les défenseurs se précipitent pour exploiter la même technologie pour riposter.
Cette préoccupation semble déjà fondée, car une deuxième étude publiée aujourd’hui, l’enquête 2025 State of Ransomware Survey de CrowdStrike, fournit un aperçu de l’évolution de la menace des ransomwares, révélant les craintes des professionnels de la cybersécurité concernant l’utilisation de l’IA dans les chaînes d’attaque des ransomwares, ainsi que la nécessité pour les RSSI de construire des défenses meilleures – et plus intelligentes – pour faire face aux attaquants basés sur l’IA.
« Du développement de logiciels malveillants à l’ingénierie sociale, les adversaires utilisent l’IA pour accélérer chaque étape des attaques, réduisant ainsi la fenêtre de réponse du défenseur », a déclaré Elia Zaitsev, CTO chez CrowdStrike, en annonçant les résultats de l’enquête. » L’enquête 2025 sur l’état des ransomwares souligne que les défenses existantes ne peuvent égaler la vitesse ou la sophistication des attaques basées sur l’IA. Le temps est la monnaie de la cyberdéfense moderne – et dans le paysage actuel des menaces basées sur l’IA, chaque seconde compte. «
Où en sont les ransomwares aujourd’hui
CrowdStrike a interrogé 1 100 décideurs informatiques et de cybersécurité en Allemagne, en Australie, en France, aux États-Unis, en Inde, à Singapour, au Royaume-Uni et aux États-Unis pour leur demander comment ils évaluent leur préparation aux ransomwares et s’adaptent à l’évolution du paysage des ransomwares, y compris l’émergence de menaces améliorées par l’IA.
Voici les principaux points à retenir du rapport de CrowdStrike :
La plupart des organisations sont victimes de ransomwares et certaines souffrent d’un excès de confiance : Parmi les organisations interrogées, 78 % ont déclaré avoir été victimes d’une attaque de ransomware au cours de l’année écoulée. Parmi ceux-ci, la moitié pensaient être « très bien préparés » aux ransomwares, mais moins d’un quart s’est remis d’une attaque dans les 24 heures. Ces statistiques confirment ce que CrowdStrike appelle « l’illusion de confiance », une disparité entre les attentes et la réalité quant à la capacité de l’organisation à se remettre rapidement d’une attaque.
Les paiements par ransomware ne constituent pas un filet de sécurité: Selon l’enquête CrowdStrike, 83 % des victimes payantes ont été à nouveau attaquées, et 93 % se sont quand même fait voler leurs données, les sauvegardes s’étant révélées peu fiables. Près de 4 personnes interrogées sur 10 ont déclaré ne pas être en mesure de restaurer entièrement les données perdues.
Le phishing est le vecteur d’attaque le plus courant: Le phishing a été cité par 45 % des victimes de ransomware interrogées comme premier point de compromission. D’autres points d’entrée fréquemment cités incluent les exploits de vulnérabilité (40 %), la compromission de la chaîne d’approvisionnement (35 %), les informations d’identification compromises (33 %), les téléchargements malveillants (32 %), l’utilisation abusive des outils de surveillance et de gestion à distance (RMM) (31 %) et les menaces internes (27 %).
Les attaques de ransomwares coûtent cher : Selon les résultats de l’enquête, les organisations ont signalé un coût moyen des temps d’arrêt de 1,7 million de dollars par incident, mais ont également supporté des coûts importants non quantifiables. Parmi ces problèmes figurent les atteintes à la réputation, qui ont touché 34 % des organisations victimes ; les sanctions légales et réglementaires, qui ont impacté 24 % des organisations ; et les données rendues publiques ou volées ont touché 24 % des victimes.
Les améliorations post-attaque sont utiles mais sont souvent insuffisantes : Les résultats de l’enquête CrowdStrike indiquent qu’environ la moitié (51 %) des organisations ont augmenté leurs investissements généraux en cybersécurité à la suite d’attaques, et 47 % ont amélioré leurs capacités de détection et de surveillance. Près de la moitié des personnes interrogées (45 %) ont déclaré avoir amélioré leurs programmes de formation et de sensibilisation. Mais seuls 38 % ont abordé le problème spécifique qu’ils ont identifié comme ayant permis l’attaque.
Le phishing basé sur la génération IA est une préoccupation majeure : 82 % des organisations interrogées estiment que l’IA générative rend les e-mails de phishing plus difficiles à identifier, même pour les employés bien formés. La plupart des organisations (87 %) considèrent les tactiques d’ingénierie sociale générées par l’IA comme plus convaincantes que les méthodes traditionnelles.
Les défenses héritées sont à la traîne des outils d’IA : Les recherches de CrowdStrike suggèrent que les outils de détection des menaces basés sur l’IA éclipsent les techniques standards de renseignement sur les menaces. La détection des menaces basée sur l’IA est en tête de l’adoption à 53 % parmi les organisations interrogées, suivie par la réponse automatisée aux incidents à 51 % et la détection du phishing améliorée par l’IA à 48 %. La plupart des équipes de sécurité (85 %) reconnaissent que les méthodes de détection traditionnelles ne suivent pas le rythme des menaces modernes.
L’avenir des ransomwares grâce à l’IA
Bien que la dernière enquête de CrowdStrike ne fournisse pas une image complète de l’utilisation de l’IA par les gangs de ransomwares, le fait que l’IA générative se révèle très efficace dans la création d’e-mails de phishing menant à des infections par ransomwares ne montre que la pointe de l’iceberg à laquelle sont confrontés les RSSI.
Selon Rodriguez, la capacité d’utiliser l’IA pour créer des logiciels malveillants évolue également rapidement. « Nous voyons de plus en plus de fournisseurs de ransomware-as-a-service exploiter des logiciels malveillants développés par l’IA pour déployer et perturber les systèmes », dit-il. « Ainsi, l’IA est omniprésente tout au long du cycle de vie des menaces de ransomware – et elle ne fait que s’accélérer. »
À l’ère de l’IA, la vitesse est le nouveau champ de bataille. Les attaquants passent de l’intrusion au chiffrement en quelques minutes, et non en quelques heures. « Les données renforcent vraiment le fait que la vitesse constitue le plus grand défi », déclare Rodriguez. « Les ransomwares ont toujours été une course pour contenir et neutraliser, mais l’IA l’a porté à un autre niveau : les attaquants passent de l’intrusion au chiffrement en quelques minutes, et non en heures. Le rythme des adversaires d’aujourd’hui est ce qui rend la rapidité dans la sécurité moderne si importante. »
Une analyse réalisée par la société de détection et d’intervention Huntress plus tôt cette année a montré que le « délai moyen jusqu’à la rançon » – depuis l’accès initial jusqu’à l’extorsion – était de 17 heures, certains groupes réduisant cette fenêtre à 4 à 6 heures. Mais c’était il y a huit mois dans un domaine en évolution rapide.
