L’intégration rapide de l’intelligence artificielle dans les infrastructures critiques crée un paysage de sécurité alarmant, selon des experts en cybersécurité cités dans la plus récente édition du RISKS Forum Digest, publiée le 17 mai 2025.
Le rapport Global Cybersecurity Outlook 2025 du Forum économique mondial souligne que, bien que 66 % des organisations considèrent l’IA comme le principal facteur de transformation en cybersécurité cette année, seulement 37 % ont mis en place des mesures pour évaluer les outils d’IA avant leur déploiement. Ce décalage entre la prise de conscience et l’action a créé d’importantes vulnérabilités dans tous les secteurs.
« Les organisations et systèmes qui ne suivent pas le rythme des menaces alimentées par l’IA risquent de devenir des points de fragilité supplémentaires au sein des chaînes d’approvisionnement, en raison de leur exposition accrue aux vulnérabilités et à leur exploitation subséquente », a averti un porte-parole du National Cyber Security Centre (NCSC) du Royaume-Uni dans son dernier rapport. Le NCSC prévoit qu’en 2027, les attaquants utilisant l’IA réduiront encore davantage le temps entre la découverte d’une vulnérabilité et son exploitation, un délai déjà réduit à quelques jours seulement.
Les professionnels de la cybersécurité s’inquiètent particulièrement des attaques par injection de requêtes visant les grands modèles de langage (LLM). Lors d’un récent test d’intrusion cité par des chercheurs en sécurité, le chatbot IA d’une boutique de bougies a été compromis par ingénierie de requêtes, créant des risques pour la sécurité, la sûreté et les activités commerciales. L’attaque a permis l’extraction de données système et la manipulation des réponses du chatbot, démontrant comment des implémentations d’IA apparemment anodines peuvent devenir de sérieuses failles de sécurité.
Les vulnérabilités de la chaîne d’approvisionnement représentent une autre préoccupation majeure, 54 % des grandes organisations les identifiant comme le principal obstacle à la résilience cybernétique. La complexité croissante des chaînes d’approvisionnement, combinée à une visibilité limitée sur les pratiques de sécurité des fournisseurs, crée un environnement où les systèmes d’IA peuvent être compromis par des composantes tierces.
L’émergence de l’IA agentique — des systèmes capables de prendre des décisions et d’exécuter des tâches complexes de façon autonome — devrait transformer le paysage des menaces en 2025. « Auparavant, nous nous concentrions sur des assistants IA capables de répondre aux requêtes des utilisateurs. Maintenant, nous examinons des outils d’IA agentique qui peuvent prendre des décisions et accomplir des tâches compliquées de façon indépendante », explique Hao Yang, vice-président de l’intelligence artificielle chez Splunk, une filiale de Cisco.
Les experts recommandent aux organisations de mettre en place des politiques formelles de sécurité de l’IA, de réaliser des modélisations de menaces avant le déploiement, de réduire systématiquement la surface d’attaque et de s’assurer que les fournisseurs disposent de programmes actifs d’amélioration de la sécurité. De plus, la formation continue des équipes de sécurité est essentielle, car les attaques propulsées par l’IA évoluent au-delà des mécanismes de défense traditionnels.
Comme l’a noté un chercheur en sécurité dans le RISKS Forum : « Le changement ne consiste pas seulement à se défendre contre des attaques propulsées par l’IA — il s’agit de reconnaître que nos propres systèmes d’IA sont désormais des cibles de choix. »