L’écosystème numérique de plus en plus complexe et un contexte économique incertain posent de nombreuses questions mais les responsables sécurité et leurs équipes n’ont pas toutes les réponses. Au plan géopolitique, la vaste opération d’influence Doppelgänger menée par la Russie contre l’Allemagne a consisté à cloner des sites web d’information pour propager de fausses nouvelles.
Les petites entreprises ont été visées du fait de l’accroissement de la surface d’attaque des équipements IoT et SoHo (architecture réseau des TPE). Des vulnérabilités critiques ont été identifiées dans les dispositifs réseau de plusieurs fournisseurs de service puis exploitées à des fins d'espionnage via des botnets DDoS, de manière évolutive et furtive.
Les agents IA, tels les chatbots ou les outils de collecte des données issues des capteurs IoT gagnent du terrain dans l'industrie. Ils sont appelés à devenir une cible pour les attaquants qui utilisent aussi ces outils et ces systèmes dans leurs opérations. En 2024, les attaques contre la chaîne d'approvisionnement logicielle des logiciels libres ont été globalement évitées, mais elles pourraient inciter d'autres acteurs malveillants à tenter d’exploiter ce modèle de logiciels.
Cette année, les actions menées par les groupes pirates utilisant les APT (menaces persistantes avancées) montrent qu’ils ont commencé à utiliser des modèles d'IA pour leurs cyberopérations. Par exemple, un rapport d'OpenAI a montré comment les APT reposaient sur des modèles génératifs propriétaires pour améliorer les campagnes d'influence et mener des cyberattaques.
Les cybermenaces à prévoir pour 2025
En matière de sécurité mondiale, la Chine s’est retranchée derrière sa « grande muraille de feu », un écosystème numérique parallèle. Une stratégie qui a permis à « L’Empire du Milieu » d’éviter des perturbations majeures lors de la panne informatique mondiale CrowdStrike en 2024.D’après Harflang, la chaine d’approvisionnement des logiciels en code open source sera visée en 2025. « Nous nous attendons à ce que d'autres attaques contre la chaîne d'approvisionnement des logiciels libres soient découvertes en 2025, en s'appuyant sur les enseignements tirés d'incidents tels que la porte dérobée XZ Utils et la compromission CSRF-MAGIC. »
L’empoisonnement des LLM des IA, un risque redoutable
Les agents IA font référence à l’exécution automatique d’outils d’intelligence artificielle, avec un minimum de surveillance humaine. Une autonomie qui présente des risques importants d’attaques et d’erreurs. D’autre part, la complexité de ce type de solutions complique la conformité aux lois strictes sur la protection des données telles le RGPD, un défi pour la mise à jour des pistes d’audit.L’empoisonnement des données et des LLM introduit des informations corrompues en phase d'entraînement ou d'apprentissage. Plusieurs recherches ont démontré que l’empoisonnement de seulement 0,01 % des données de formation des LLM peut modifier de manière significative leur comportement. Cette méthode peu coûteuse et à fort impact, en fait une tactique attrayante pour les pirates.
Le potentiel de cyberattaques stratégiques via des logiciels malveillants sera une préoccupation pressante. Le malware RomCom, attribué à un acteur aligné sur la Russie, a déjà été déployé dans des campagnes d’attaques récentes en Europe et en Amérique du Nord. Ces opérations ont exploité deux vulnérabilités zero-day (failles inconnues au jour de l’attaque) dans FireFox et Windows. Des opérations couplées permettant une infection en trompant facilement les outils et les stratégies de protection.
Autant de menaces sérieuses que les RSSI se doivent d’anticiper et de combattre.
