Depuis l'année dernière, les grands modèles de langage (LLM) se sont hissés au rang d’atouts inestimables : leur accès aux connaissances et aux visualisations est extrêmement bénéfique pour la sécurité informatique. En revanche, ces progrès profitent également aux cyberattaquants, qui peuvent désormais compter sur de nouveaux logiciels tels que les agents d’IA pour modifier en profondeur l’ensemble de leur approche tactique.
L’IA agentique aux mains des cyberattaquants : faire face au nouveau paysage des menaces

Ryan Fetterman, Security Strategist chez Splunk partage son expertise sur le sujet.
L’IA agentique modifie la chaîne d’attaque en profondeur
Les grands modèles de langage (LLM) apportent une aide considérable dans des domaines spécifiques en tant qu’outils : ils sont ainsi capables de générer du texte, d’expliquer des scripts et de simplifier la documentation technique. Ils peuvent même agir comme des agents autonomes sur des ordinateurs locaux, ce qui laisse entrevoir la possibilité de les utiliser pour mener des attaques ciblées de phishing et d’ingénierie sociale.
Cependant, les LLM n’offrent que des avantages minimes par rapport aux outils existants[1] puisqu’ils ne peuvent pas remplacer la créativité, la capacité à planifier ou une véritable connaissance du contexte. Or, la situation est totalement différente lorsque les LLM sont intégrés dans des systèmes d’agents capables de penser et d’agir de manière autonome grâce à l’intelligence artificielle.
À l’heure actuelle, l’application la plus intéressante pour la cybercriminalité basée sur les agents se trouve dans un contexte plus large, à savoir dans les phases centrales de la kill chain, notamment pour l’identification de nouvelles cibles. L’IA agentique permet d’analyser automatiquement les systèmes compromis et les données des serveurs, de classer les informations et d’identifier des cibles de grande valeur. Il est également possible de dupliquer les agents d’IA pour infiltrer plusieurs systèmes simultanément.
Ces recherches, qui prendraient d’ordinaire plusieurs jours ou plusieurs semaines à des humains, peuvent désormais être effectuées en quelques minutes ou quelques heures seulement avec l’aide d’agents d’IA . Ils peuvent également offrir un service de support en aval de la kill chain, comprenant notamment l’accès au système et le déploiement d’un mécanisme qui permet aux agents de revenir dans le système même après son redémarrage. La recherche d’informations pertinentes et l’exfiltration des données de valeur fonctionnent en boucle (percevoir, planifier, agir, évaluer, répéter), ce qui permet aux agents d’adapter constamment leur approche.
Ainsi, peu importe l’objectif de l’attaque, les agents d’IA, augmentent considérablement l’évolutivité et l’efficacité des attaquants pour identifier des cibles de grande valeur, mais également la rapidité des cyberattaques.

En pratique, les LLM reproduisent efficacement les techniques d’attaque
Une récente étude[2] met en lumière les tactiques et les techniques les plus fréquemment utilisées par les attaquants lors de cyber incidents en conditions réelles, sur une période de cinq ans. En combinant ces données avec une évaluation des capacités des LLM, il a été démontré que leur capacité à recréer diverses procédures d’attaque varie en fonction du modèle et du système d’exploitation cible. Dans près de 90 % des cas, les LLM effectuent la tâche souhaitée. Dans près de 45 % des cas testés, ils ont été en mesure d’exécuter le prompt de commande avec exactitude. Dans l’ensemble, tout indique que les cybercriminels sont déjà capables de créer des agents de reconnaissance liés à des tentatives d’exploitation massive. Les modèles sont intuitifs et sont capables de résumer et de contextualiser les informations recueillies.
Toutefois, il est également important de garder à l’esprit que les LLM « n’inventent » pas de nouvelles techniques d’attaque : ils se contentent de reproduire ce qui est déjà connu. Une chose est sûre : les points d’accès initiaux et le raisonnement avancé représentent encore des obstacles techniques pour les chaînes d’attaque totalement autonomes.
Les blue teams n’ont donc pas encore besoin de se préparer à des divergences majeures par rapport aux tactiques et aux techniques utilisées par les cyberattaquants, mais il est important de réagir stratégiquement à la rapidité, à l’efficacité et à la précision des attaques pilotées par l’IA. Pour ce faire, les blue teams disposent de logiciels intelligents dédiés. Le fait d’anticiper les failles de sécurité, d’induire les attaquants en erreur et d’élaborer des stratégies de défense à la fois adaptables et sous-tendues par l’IA sont à ce jour les meilleures manières de contrer les cybermenaces utilisant elles aussi l’intelligence artificielle.
Les entreprises doivent désormais réagir de manière proactive en investissant dans des technologies de détection adaptables, en développant l’expertise en IA chez leurs responsables de la sécurité et en gardant à l’esprit qu’à l’avenir, les attaques ne seront plus menées uniquement par des humains, ce qui aura des conséquences importantes sur la rapidité et la compréhension du contexte.
[1] Comme le montre une étude de SURGe menée par Splunk (https://www.splunk.com/en_us/blog/security/old-school-vs-new-school.html).
[2] Le projet Macro ATT&CK de Splunk https://www.splunk.com/en_us/blog/security/agentic-adversaries-blue-teams-cyber-defense.html
Téléchargez cette ressource

Rapport mondial 2025 sur la réponse à incident
Dans ce nouveau rapport, les experts de Palo Alto Networks, Unit 42 livrent la synthèse des attaques ayant le plus impacté l'activité des entreprises au niveau mondial. Quel est visage actuel de la réponse aux incidents ? Quelles sont les tendances majeures qui redessinent le champ des menaces ? Quels sont les défis auxquels doivent faire face les entreprises ? Découvrez les top priorités des équipes de sécurité en 2025.
Les articles les plus consultés
- Les services cognitifs : un élément essentiel pour la gestion intelligente des contenus d’entreprise
- Les entreprises européennes championnes de l’IA
- L’Indice d’Agilité Digitale : un critère pour défier le choc sanitaire
- Le rôle de la 5G dans la croissance et relance économique
- Les nouvelles technologies à l’horizon 2030
- Transformation digitale, 8 tendances à retenir
- L’impact positif de l’Intelligence Artificielle dans l’environnement de travail
- L’expérience client : une feuille de route 2021 en 5 axes
- MOOC : Propulser les femmes dans le numérique !
- Les 3 fondamentaux pour réussir son projet d’automatisation intelligente
Les plus consultés sur iTPro.fr
- Attaque Microsoft SharePoint, analyse et recommandations
- Devenir RSSI : quels parcours et de quelles qualités faire preuve ?
- Évolution du marché de la virtualisation : quelle voie choisir ?
- La performance de l’IA et l’analytique reposent sur des fondations de données solides
- AI Appreciation Day,16 juillet « cet email de 10 pages aurait pu se résumer en 3 points »
Sur le même sujet

Le rôle de la 5G dans la croissance et relance économique

L’expérience client : une feuille de route 2021 en 5 axes

MOOC : Propulser les femmes dans le numérique !

L’Indice d’Agilité Digitale : un critère pour défier le choc sanitaire

Les entreprises européennes championnes de l’IA
