← Retour au blog

Cybersecurite: dualite de l'IA, defense et attaque

Lucian BLETAN

L’IA renforce la détection, la corrélation et la priorisation des alertes. Elle outille aussi les attaquants pour générer du phishing, du code malveillant et des deepfakes. La bonne approche: des capteurs simples, une hygiène collective solide et des playbooks automatisés avec validation humaine.

de la détection éparse au triage automatisé

Objectif: passer d’alertes dispersées et lentes à traiter à un triage rapide et reproductible.

avant: détection éparse

alertes multiples non corrélées

analyste sur-sollicité

priorisation manuelle lente

incidents manqués

après: IA + règles

haut

moyen

bas

capteurs simples (mail, web, endpoints)

features + règles

score de risque

quarantaine auto + ticket

revue analyste rapide

monitoring

defenses pratiques

  • filtrage des contenus entrants: pièces jointes, liens, macros
  • classification des emails et sandbox des scripts
  • priorisation par risque avec signaux combinés
  • playbooks de réponse automatiques avec validation humaine
-- score de risque email
SELECT id, 0.5*spf_fail + 0.3*url_suspect + 0.2*lang_anormal AS risk
FROM inbound_signals
ORDER BY risk DESC;

pipeline de triage (vue d’ensemble)

haut

moyen

bas

emails entrants

passerelle mail: SPF/DKIM/DMARC

classification texte légère

réputation de domaine/url

features normalisées

score de risque

quarantaine + retrait global

file analyste 30 min

monitoring

hygiene des equipes

  • FIDO2 et MFA partout
  • moindre privilège et revues trimestrielles
  • secrets hors du code, rotation
  • formations brèves et tests de phishing

menaces emergentes

  • deepfakes pour support et commercial
  • prompt injection dans des documents utilisés par RAG
  • attaques de supply chain modèle et package

menaces IA

deepfakes

voix en support

visio commerciale

prompt injection

documents internes

pages web indexées

supply chain

packages compromis

modèles altérés

parades

  • vérification hors bande (call back, code court)
  • liste blanche de sources pour RAG
  • SBOM pour deps, hashes et provenance modèle
# contrôle d'intégrité d'un modèle (exemple générique)
EXPECTED="3a9f...d7"
ACTUAL=$(shasum -a 256 models/cls-v1.bin | cut -d' ' -f1)
test "$EXPECTED" = "$ACTUAL" || { echo "hash mismatch"; exit 1; }

playbook de réponse (séquence)

AnalysteSOARSandboxPasserelleAttaquantAnalysteSOARSandboxPasserelleAttaquantalt[score haut][score moyen][score bas]email avec lien/scriptdétone pièce jointe/URLverdict + IOCcalcule score de risquedemande d'approbationOKretrait global + bloc domaineassignation triagemonitoring + métriques

erreurs courantes

  • détection seule -> sans hygiène -> faille humaine
  • hyper-automatisation -> faux positifs -> validation humaine rapide
  • secrets dans les prompts -> fuite -> masquage systématique

faq

  • faut-il des grands modèles pour ces cas ? non. des règles bien choisies et des modèles légers couvrent la majorité des scénarios.

  • comment régler les pondérations du score de risque ? commencez simple, mesurez chaque semaine, ajustez selon les faux positifs/négatifs.

  • comment réduire l’impact des deepfakes sur le support ? imposez une vérification hors bande: appel retour sur numéro connu ou code court à usage unique.

tags