En 2025, les pirates ont arrêté d’utiliser des mousquets et ont commencé à utiliser des mitrailleuses IA. Si votre stratégie de défense repose toujours sur une réponse humaine manuelle, vous êtes déjà une victime.
Sur la rivière James, à Petersburg, en Virginie, en juin 1864, pendant la guerre civile américaine, le général Benjamin Butler, de l’armée américaine, a déployé une nouvelle arme sur le terrain qui a effectivement modifié la nature des batailles cinétiques. Ce dernier, nommé « Siège de Pétersbourg », fut le premier cas enregistré d’utilisation de la mitrailleuse Gatling au combat. Avec une cadence de tir de plus de 200 coups par minute, les mousquets des troupes confédérées adverses n’étaient qu’une maigre réplique au barrage de balles à grande vitesse dirigé vers elles.
Beaucoup plus récemment, en septembre 2025, 30 entreprises et agences gouvernementales américaines ont été touchées par une cyberattaque ; une campagne de cyberespionnage efficace et à grande échelle qui a entraîné une exfiltration de données, un impact opérationnel et des pertes financières non divulguées. Ce qui était unique et novateur dans cette attaque était son haut degré d’automatisation. Le groupe parrainé par l’État chinois (GTG-1002), soupçonné d’être responsable de l’attaque, a utilisé le « Code Claude » d’Anthropic (un assistant de codage) pour exécuter environ 90 % des opérations tactiques avec une intervention humaine minimale.
Il s’agit à ce jour de la plus grande attaque agentique basée sur l’IA au monde. Les pirates ont utilisé des techniques d’« injection rapide » et de jeu de rôle pour manipuler l’IA en lui faisant croire qu’elle effectuait des tests de cybersécurité défensifs légitimes pour une entreprise. Cette méthode a été utilisée pour contourner les protocoles de sécurité de l’IA et générer du code malveillant.
La campagne GTG-1002 n’a pas été révélée parce que les victimes ont repéré des logiciels malveillants circulant dans leurs réseaux. Cela n’a été révélé que lorsque l’équipe de renseignement sur les menaces d’Anthropic a tiré la sonnette d’alarme à la mi-septembre 2025, après avoir vu des attaquants transformer leur plate-forme d’IA en arme.
Quel est le lien entre ces deux incidents ? Ils représentent tous les deux un . Tous deux sont emblématiques d’un point de basculement irréversible, où la nature du conflit a été modifiée par sa soudaine asymétrie.
La mitrailleuse Gatling est l’analogie parfaite avec le cyber-paysage actuel. Tout comme elle a transformé la guerre d’un métier manuel en un processus industriel, les menaces modernes sont passées des attaques individuelles aux engagements automatisés à grande vitesse.
Voici quelques-unes des façons dont la mitrailleuse Gatling a modifié la guerre cinétique, en lien direct avec la bataille « IA contre IA » qui émerge aujourd’hui dans le domaine de la cybersécurité.
Partie 1 : Comment la mitrailleuse Gatling a changé la guerre
Avant la mitrailleuse Gatling (brevetée en 1862), la guerre était strictement limitée par la mécanique humaine. Un soldat ne pouvait tirer avec un mousquet que 3 à 4 fois par minute. Le volume des tirs était limité par le nombre de mains humaines que l’on pouvait mettre sur le terrain.
La mitrailleuse Gatling a fondamentalement modifié cette réalité de trois manières :
- Cadence de tir mécanisée : En utilisant un mécanisme à manivelle pour faire fonctionner plusieurs barils, cela a permis à un petit équipage de tirer plus de 200 coups par minute. Cela dissociait la létalité de l’arme des limitations physiques du soldat.
- Asymétrie instantanée : Soudain, un équipage de trois hommes pouvait coincer un régiment de plusieurs centaines de personnes. Les « mathématiques » de la guerre ont changé ; vous n’aviez plus besoin de troupes supplémentaires pour gagner ; vous aviez plutôt besoin d’une meilleure automatisation.
- Suppression: Il a introduit le concept de « tir de suppression » : remplir l’air d’une telle quantité de plomb que l’ennemi ne pouvait plus bouger, penser ou manœuvrer.
Le résultat ? Cela a forcé la fin de la tactique des « vagues humaines » (charges massives d’infanterie), car lancer des humains dans des tirs à la vitesse d’une machine était un suicide.
Partie 2 : L’IA est la arme Gatling de la cybercriminalité
Tout comme la mitrailleuse Gatling a industrialisé le tir de balles, l’IA a industrialisé le « tir » de cyberattaques.
Les acteurs malveillants ne créent plus manuellement des e-mails de spear phishing ni ne recherchent manuellement les vulnérabilités une par une. Ils utilisent l’IA pour « faire tourner la poignée ».
Volume de feu (L’évolution « pulvériser et prier »)
L’ancienne méthode (mousquet) : Un hacker humain rédige un e-mail de phishing, le traduit et l’envoie à une cible. Si cela échoue, ils réessayent.
La méthode IA (pistolet Gatling) : Un attaquant utilise un Large Language Model (LLM) pour générer en quelques secondes 10 000 e-mails de phishing uniques, parfaitement traduits et contextuels. L’IA agit comme des « barils rotatifs », parcourant les cibles à une vitesse qu’aucun humain ne peut égaler.
Asymétrie (multiplication des forces)
L’ancienne méthode : Pour attaquer simultanément une entreprise Fortune 500 ou une grande agence gouvernementale sous plusieurs angles, il fallait une grande organisation criminelle (une cyber-armée).
La méthode de l’IA : Un seul « script kiddie » (un mauvais acteur non qualifié) peut utiliser des agents d’IA pour écrire des logiciels malveillants, analyser des ports et rédiger des scripts d’ingénierie sociale. Une seule personne peut désormais générer la pression offensive d’une unité d’État-nation d’il y a dix ans.
La balle « polymorphe »
Dans la guerre cinétique, une balle n’est qu’une balle. Cependant, l’IA ajoute une cyberattaque dangereuse : le polymorphisme – la capacité d’un malware ou d’une cyberattaque à modifier de manière autonome son code, son apparence ou sa structure pour échapper à la détection tout en gardant intacte son intention malveillante. Alors que le polymorphisme « traditionnel » existe depuis des décennies, l’intégration de l’IA générative l’a transformé d’un processus scripté en une évolution dynamique et « intelligente ».
Les mauvais acteurs utilisent l’IA pour réécrire le code à la volée. Chaque fois que le « pistolet » tire, la « balle » semble différente (hachage de fichier différent, structure de code différente), la rendant invisible aux « gilets pare-balles » traditionnels (anciens antivirus).
Partie 3 : La défense – combattre des machines avec des machines
Au 19ème siècle, la seule façon de survivre à une mitrailleuse Gatling était de creuser une tranchée (défense passive) ou de se procurer sa propre mitrailleuse (défense active).
En matière de cybersécurité, vous ne pouvez pas vous défendre contre l’IA en ajoutant simplement davantage d’humains. La cadence de tir est trop rapide. Si une IA agit comme une mitrailleuse Gatling déclenchant 1 000 alertes par minute sur votre organisation, un analyste de la sécurité humaine (qui prend 10 minutes pour enquêter sur une alerte) sera immédiatement dépassé.
Les organisations déploient des outils défensifs d’IA pour créer un bouclier « à la vitesse de la machine » :
Tir de contre-batterie automatisé
La notion : Comparable à l’orchestration, l’automatisation et la réponse de la sécurité (SOAR).
Comment ça marche : Lorsque l’IA offensive « envoie » un e-mail malveillant, l’IA défensive attrape la balle, analyse sa trajectoire (métadonnées) et « riposte » instantanément en supprimant simultanément cet e-mail de 10 000 boîtes de réception à travers l’entreprise. Aucun humain ne clique sur un bouton ; la machine le fait.
Reconnaissance de formes (trouver le signal dans le bruit)
La notion : Détection d’anomalies (UEBA).
Comment ça marche : Tout comme la mitrailleuse Gatling crée un « brouillard de guerre » avec de la fumée et du bruit, les attaques de l’IA créent un brouillard de données. L’IA défensive ignore le bruit et recherche des déviations subtiles.
Exemple : « L’utilisateur Dave se connecte généralement depuis New York. Aujourd’hui, il s’est connecté depuis Boston et la vitesse de frappe (dynamique de frappe) correspond à celle d’un robot, pas à Dave. » L’IA verrouille le compte avant même que le manager de Dave ne se réveille.
Blindage prédictif
La notion : Intelligence sur les menaces basée sur l’IA.
Comment ça marche : L’IA défensive analyse les « balles » frappant d’autres entreprises. Si l’entreprise A est touchée par un nouveau ransomware généré par l’IA, l’IA défensive de l’entreprise B met instantanément à jour son « armure » (règles de pare-feu ou protection des points finaux) pour bloquer ce vecteur d’attaque spécifique avant même que l’attaquant ne tourne son arme vers l’entreprise B.
Comment cela fonctionne-t-il en pratique ?
Vous trouverez ci-dessous quelques exemples de la manière dont les capacités de sécurité basées sur l’IA contrent les mécanismes des menaces générées par l’IA.
Contrer le code polymorphe et écrit par l’IA
L’IA permet aux attaquants d’écrire des logiciels malveillants qui « mute » (réécrit son propre code) pour éviter la détection traditionnelle des signatures. L’intelligence artificielle sur les menaces, au lieu de rechercher un hachage de fichier spécifique (qui change constamment avec les logiciels malveillants de l’IA), l’IA générative peut lire et « expliquer » le comportement d’un script. Il peut analyser du code obscurci ou complètement nouveau et générer un résumé en langage naturel de ce qu’est le code (par exemple, « Ce script capture les frappes au clavier et les envoie à une adresse IP externe »).
Correspondre à la vitesse des attaques de l’IA
Les agents d’IA peuvent lancer des attaques à la vitesse d’une machine, submergeant ainsi les analystes humains qui s’appuient sur l’écriture manuelle de requêtes (SQL, SPL, etc.). Un SIEM alimenté par l’IA pourrait permettre aux défenseurs d’utiliser le langage naturel pour générer instantanément des règles de détection complexes et des requêtes de recherche en temps réel.
Un défenseur peut taper, et un LLM convertit cela dans la syntaxe nécessaire (règles de recherche ou de détection UDM) et l’exécute.
Détection du phishing et de l’ingénierie sociale améliorés par l’IA
Les attaquants utilisent GenAI pour créer des e-mails de phishing hyper-personnalisés (spear-phishing) dépourvus d’erreurs grammaticales typiques. Un modèle d’IA formé aux renseignements de première ligne peut analyser une menace entrante et la corréler avec les comportements connus des acteurs menaçants. Il peut résumer des chemins d’attaque complexes et en informer un analyste, même si le texte de l’e-mail lui-même semble parfait.
Franchir le Rubicon de l’IA
En résumé, l’IA a provoqué un changement radical de paradigme, à l’instar de la cyberguerre, et chaque organisation doit s’adapter au nouveau champ de bataille auquel nous sommes confrontés. Il est désormais clair qu’il n’est pas possible de revenir à l’ancienne forme de cyberdéfense et que 2025 est l’année où la cybersécurité a franchi le Rubicon de l’IA.
Tout comme la mitrailleuse Gatling a radicalement modifié les tactiques du champ de bataille de la guerre civile américaine, l’IA générative a transformé les cyberattaques d’un processus scripté en un processus dynamique et automatisé. Les mêmes vieilles stratégies et outils défensifs deviennent rapidement inefficaces. Le statu quo et la stase ne suffiront pas.
Alors, comment votre organisation va-t-elle réagir ?
Cet article est publié dans le cadre du Foundry Expert Contributor Network.
Voulez-vous nous rejoindre ?
