Prédictions en matière de cybersécurité et d’IA pour 2025

Lucas Morel

Le paysage de la cybersécurité et de l’IA continue d’évoluer à un rythme effréné, tout comme les risques qui y sont associés.

Le paysage de la cybersécurité et de l’IA continue d’évoluer à un rythme effréné, tout comme les risques qui y sont associés. Les coûts boule de neige de la cybercriminalité sont aggravés par un déficit de main-d’œuvre en cybersécurité de près de 4,8 millions de professionnels, comme le rapporte l’ISC2. Parallèlement, le rapport sur l’état de la cybersécurité de l’ISACA de fin 2024 montre que près de la moitié des personnes interrogées déclarent ne pas être impliquées dans le développement, l’intégration ou la mise en œuvre de solutions d’intelligence artificielle (IA).

Cela soulève une question cruciale : l’IA contribuera-t-elle à combler cet écart ou amplifiera-t-elle par inadvertance les défis à venir en matière de cybersécurité ?

En m’appuyant sur mes prédictions de 2024 (dont beaucoup continueront d’être des risques cette année), j’ai identifié une sélection de menaces majeures pour 2025 – en me concentrant sur les risques de sécurité opérationnelle et les défis évolutifs posés par l’IA. Bien que de nombreuses menaces notables puissent être omises, ces prédictions visent à mettre en évidence ce que je considère comme les préoccupations les plus urgentes qui façonnent le paysage de la cybersécurité et de l’IA.

1. Sommes-nous prêts pour CrowdStrike 2.0 ?

En réfléchissant à l’incident le plus marquant de 2024, un débat considérable a eu lieu quant à savoir s’il s’agissait d’une panne technique ou d’un incident de sécurité. Quoi qu’il en soit, un point essentiel à retenir est la dépendance précaire de nombreuses entreprises – et même de nombreux pays – à l’égard de fournisseurs ou de systèmes uniques. Cette dépendance augmente le risque d’un événement de déni de service global en cascade déclenché par une seule vulnérabilité. Gérer la résilience est loin d’être simple ; ceux qui travaillent en première ligne comprennent les immenses défis pratiques et financiers que cela implique. La solution consiste-t-elle à investir massivement dans des systèmes de sauvegarde complexes et à passer miraculeusement à des fournisseurs alternatifs en un clic, ou devrions-nous plutôt nous concentrer sur l’identification, la réaction et la résolution des problèmes plus rapidement ? Sans chercher à être trop controversé, l’agilité dans certaines situations (être capable de s’adapter et de corriger rapidement) constitue peut-être une approche plus pratique et durable que la redondance complexe et excessive.

2. La menace silencieuse des plugins de navigateur IA

Les plugins d’IA – tout en améliorant la productivité – comportent souvent des risques cachés en contournant les contrôles de sécurité traditionnels. Ces vulnérabilités surviennent lorsque les plugins semblent remplir leurs fonctions prévues mais exécutent également des actions secrètes en arrière-plan. Par exemple, dans l’industrie de la cryptographie, de faux plugins de portefeuille ont été utilisés pour arnaquer les utilisateurs en capturant des données sensibles lors des connexions de portefeuille numérique ou via la surveillance du presse-papiers. Avec l’essor des agents d’IA, même des plugins d’apparence inoffensive destinés à la vérification orthographique, à la correction grammaticale ou à l’écriture générative d’IA peuvent exposer par inadvertance des informations confidentielles ou créer une passerelle pour les logiciels malveillants. Les attaquants peuvent exploiter ces plugins pour obtenir un accès non autorisé ou extraire secrètement des informations au fil du temps.

Les organisations doivent adopter des mesures proactives, notamment un contrôle rigoureux des plugins, similaire à des évaluations complètes des risques liés aux fournisseurs (VRA). D’un point de vue opérationnel, une défense plus solide implique d’appliquer les navigateurs gérés par l’entreprise, de bloquer tous les plugins par défaut et d’approuver uniquement les plugins vérifiés via une liste blanche contrôlée. De plus, les organisations doivent faire preuve de prudence avec les plugins open source.

3. Risques liés à l’IA agentique : robots malveillants

La croissance de l’IA agentique – des systèmes capables de prendre des décisions autonomes – présente des risques importants à mesure que son adoption s’étendra en 2025. Les entreprises et le personnel pourraient être désireux de déployer des robots Agentic-AI pour rationaliser les flux de travail et exécuter des tâches à grande échelle, mais le potentiel de ces systèmes devenir voyou est une menace imminente. Les attaques contradictoires et une optimisation mal alignée peuvent transformer ces robots en responsabilités. Par exemple, les attaquants pourraient manipuler les algorithmes d’apprentissage par renforcement pour émettre des instructions dangereuses ou détourner les boucles de rétroaction, exploitant les flux de travail à des fins nuisibles. Dans un scénario, une IA gérant des machines industrielles pourrait être manipulée pour surcharger les systèmes ou arrêter complètement les opérations, créant ainsi des risques pour la sécurité et des arrêts opérationnels. Nous n’en sommes qu’aux tout premiers stades, et les entreprises doivent procéder à des révisions rigoureuses du code, à des tests d’intrusion réguliers et à des audits de routine pour garantir l’intégrité du système. Dans le cas contraire, ces vulnérabilités pourraient se répercuter et provoquer d’importantes perturbations de l’activité. L’Organisation internationale de normalisation (ISO) et le National Institute of Standards and Technology (NIST) disposent de bons cadres à suivre, ainsi que l’ISACA avec ses boîtes à outils d’audit d’IA ; attendez-vous à plus de contenu en 2025.

4. La guerre des puces AI Hardware

Le discours dominant sur les risques liés à l’IA néglige souvent l’importance fondamentale du matériel, en particulier des puces IA. Ces puces font partie intégrante de l’exécution d’algorithmes d’IA avancés, mais elles comportent leur propre ensemble de vulnérabilités et de risques géopolitiques. Les sanctions et les restrictions de la chaîne d’approvisionnement peuvent avoir un impact sur l’accès aux puces hautes performances, les pays adversaires tirant parti des composants contrefaits ou compromis. En théorie, les risques de sécurité proviennent également des contrôles sur puce, dans lesquels les attaquants pourraient exploiter des défauts de conception pour obtenir un accès non autorisé ou modifier les résultats des calculs.

Des informations récentes du Federal News Network révèlent comment les puces IA deviennent de plus en plus des vecteurs d’attaque en raison d’une protection inadéquate des micrologiciels et, en général, le manque de standardisation dans la sécurisation du matériel spécifique à l’IA laisse des lacunes critiques dans les pratiques de sécurité. En plus de ces préoccupations, le STAIR Journal a souligné les risques liés aux contrôles matériels de l’IA sur puce, où la mise en œuvre de portes dérobées pourrait permettre un accès à distance non autorisé, posant ainsi de graves menaces à l’intégrité opérationnelle et à la sécurité des données.

5. Tromperie numérique : au-delà des deepfakes

La tromperie numérique évolue rapidement, dépassant de loin les deepfakes traditionnels. Les outils d’IA générative exposent des vulnérabilités lorsque les attaquants manipulent les systèmes pour créer des résultats convaincants mais nuisibles. Par exemple, l’IA pourrait être exploitée pour générer de faux conseils médicaux ou des communications commerciales frauduleuses, brouillant ainsi la frontière entre contenu réel et faux. Le texte invisible caché et les techniques de masquage dans le contenu Web compliquent encore davantage la détection, faussant les résultats de recherche et ajoutant au défi pour les équipes de sécurité.

Soyez prudent lorsque certains fournisseurs (et peut-être vos propres équipes techniques internes) se contentent d’intégrer des modèles de langage étendus publics (LLM) à vos systèmes via des API, en donnant la priorité à la rapidité de mise sur le marché plutôt qu’aux tests robustes et aux configurations d’instances privées. Les données sensibles peuvent par inadvertance circuler dans les pipelines de formation ou être enregistrées dans des systèmes LLM tiers, les laissant potentiellement exposées. Ne vous laissez pas tromper en supposant que tous les contrôles et contrepoids ont été effectués.

Parallèlement, les progrès de la technologie de conversion texte-vidéo et les deepfakes de haute qualité rendent de plus en plus difficile pour les équipes de sécurité et de conformité de différencier le contenu authentique des médias manipulés lors des contrôles Know Your Customer (KYC). Alors qu’en 2024 ces outils ont été principalement utilisés à des fins humoristiques sur des plateformes comme Instagram et X, 2025 apportera des avancées significatives dans le domaine des vidéos deepfake – augmentant les risques d’escroqueries ciblées, d’attaques de réputation et de fausses nouvelles.

6. Réglementation de l’IA : le prochain défi de conformité

La loi sur l’IA de l’Union européenne est sur le point de transformer les réglementations mondiales, tout comme le Règlement général sur la protection des données (RGPD) l’a fait en 2018. Alors que le RGPD se concentrait sur la confidentialité des données, la loi sur l’IA relève le défi plus large de la gouvernance des systèmes d’IA, en les catégorisant par niveaux de risque. et imposer des exigences strictes aux applications à haut risque – y compris la transparence, la documentation et la surveillance humaine.

Ce qui rend l’AI Act particulièrement efficace, c’est sa portée mondiale. Les entreprises qui interagissent avec le marché de l’UE doivent aligner leurs pratiques en matière d’IA sur ces règles. La Corée du Sud, avec sa loi fondamentale sur l’IA, emboîte déjà le pas – faisant écho à l’accent mis par l’UE sur la transparence, la responsabilité et l’utilisation éthique de l’IA. Cela marque le début d’un changement mondial vers une réglementation unifiée de l’IA. Une IA mal gouvernée va au-delà des amendes, pouvant entraîner des défaillances systémiques, des résultats discriminatoires et une atteinte à la réputation.

7. Signal dans le bruit : Plus de secrets ?

Les pirates ciblent de plus en plus à la fois les données synthétiques et les modèles d’apprentissage automatique, exposant ainsi des vulnérabilités qui compromettent la confidentialité et la propriété intellectuelle. Les données synthétiques – souvent présentées comme une alternative aux données réelles en matière de préservation de la vie privée – peuvent révéler par inadvertance des modèles ou des biais sous-jacents si elles sont mal mises en œuvre. Par exemple, les adversaires peuvent procéder à de l’ingénierie inverse sur des ensembles de données synthétiques pour en déduire des informations sensibles ou injecter des biais malveillants lors de leur création. En parallèle, des modèles de substitution sont exploités en interrogeant des systèmes d’IA propriétaires pour extraire des données de formation sensibles ou imiter le comportement du modèle d’origine. Des recherches sont déjà en cours sur la façon dont les caractéristiques de surveillance de plusieurs flux de données pseudo-anonymisées (et peut-être même de données anonymisées) pourraient potentiellement permettre à l’IA de reconstruire les informations personnelles source, avec des exemples tels que la réidentification du patient grâce à des données de radiographie pulmonaire médicale.

Conclusion : la voie à suivre pour 2025

2025 s’annonce comme une année à la fois transformatrice et pleine de défis, où l’IA et la cybersécurité devraient dominer le paysage. Qu’il s’agisse d’applications innovantes ou de la progression naturelle vers l’Intelligence Générale Artificielle (AGI), 2025 sera marquée à la fois par des avancées révolutionnaires et des risques importants. Les ensembles de données cloisonnés convergeront de plus en plus, découvrant de nouvelles vérités sans qu’il soit nécessaire de briser le cryptage, du suivi des flux de transactions via des mélangeurs/gobelets cryptographiques aux percées dans le domaine des soins de santé. Imaginez identifier des modèles précoces et subtils de symptômes médicaux apparemment sans rapport, fournissant ainsi des indices essentiels pour la détection précoce de la maladie. D’un autre côté, cette même convergence de données permettra aux pirates informatiques de regrouper des années d’ensembles de données violés qu’ils ont récoltés ainsi que du contenu du Dark Web, créant ainsi des profils d’entreprise très détaillés à exploiter.

Alors que l’IA et la cybersécurité évoluent à un rythme sans précédent, le besoin d’expérimenter, d’apprendre et de s’adapter n’a jamais été aussi grand. Comprendre ces technologies sur le terrain est essentiel pour identifier à la fois les opportunités et les risques. Pour conclure, j’emprunterai les mots de Thomas Huxley, un fervent défenseur de la théorie de l’évolution et de la culture scientifique de Darwin : « Essayez d’apprendre quelque chose sur tout et tout sur quelque chose. »

En 2025, ce conseil ne pourrait être plus pertinent : nous devrions « tout apprendre » sur l’IA. Plongez-y, comprenez son potentiel et armez-vous des connaissances et des compétences pratiques nécessaires pour garder une longueur d’avance sur son évolution rapide, ou être laissé pour compte.