Google décrit une évolution tangible dans l’usage de l’intelligence artificielle par les acteurs de la menace. L’IA ne sert plus uniquement à accélérer des tâches techniques, elle structure désormais des chaînes offensives complètes, du hameçonnage jusqu’à l’automatisation d’opérations complexes. Cette réalité place les entreprises et les responsables sécurité devant un paysage de risques qui se transforme rapidement.
Google Cloud observe depuis sa plateforme d’IA un panorama exceptionnellement étendu des activités numériques mondiales. Cette position centrale, nourrie par des données massives et par une capacité d’analyse continue, lui donne une vision à la fois large et prolongée des méthodes employées par les cybercriminels. Ce regard privilégié montre que l’IA n’est plus un simple outil d’appoint pour les attaquants mais un levier structurant de leurs opérations.
Le billet signé par Sandra Joyce, vice-présidente de Google Threat Intelligence, et consacré aux perspectives de sécurité, rappelle une vérité simple et désormais difficile à ignorer. Les acteurs de la menace ne se contentent plus d’exploiter l’IA pour gagner du temps ou améliorer la qualité de leurs campagnes. Ils l’intègrent désormais au cœur de leurs processus offensifs, avec une continuité entre reconnaissance, hameçonnage, assistance technique et automatisation. Le Google Threat Intelligence Group documente ces évolutions non pas comme des hypothèses mais comme des pratiques observées sur le terrain, issues de campagnes réelles et attribuables à des groupes structurés, parfois étatiques.
Quand l’IA devient composante active des attaques
Cette profondeur de visibilité permet à Google de dresser un constat sans concession : les cybercriminels exploitent l’IA avec méthode, apprennent rapidement et transforment l’innovation technologique en avantage opérationnel. Cela réduit les barrières à l’entrée, professionnalise les attaques et modifie l’équilibre entre défenseurs et attaquants. Les entreprises ne font donc pas face à une menace théorique. Elles affrontent déjà des chaînes offensives alimentées, dynamisées et adaptées en temps réel par des outils d’intelligence artificielle.
Google indique que des groupes soutenus par des États mais aussi des cybercriminels structurés exploitent déjà des modèles de langage et des outils d’IA pour écrire, corriger, traduire, adapter et multiplier des campagnes offensives. Les chercheurs de Google soulignent une continuité entre plusieurs étapes de l’attaque. L’IA intervient dans la reconnaissance, dans l’ingénierie sociale, dans l’assistance technique et désormais dans certaines formes d’automatisation de commande malveillante. Cela change la nature du rapport de force, car cela réduit le coût d’entrée et améliore la productivité opérationnelle des attaquants.
Quand l’IA devient composante active des attaques
Sandra Joyce rapporte des cas documentés où l’IA ne se limite plus à préparer les attaques mais intervient dans leur exécution. Des familles de maliciels observées par le Google Threat Intelligence Group exploitent des requêtes vers des services d’IA pour générer des instructions au lieu de se contenter de commandes codées. Cette méthode rend les opérations plus dynamiques et complique la détection, car les infrastructures de commande ne ressemblent plus aux schémas traditionnels. Les chercheurs évoquent également des outils utilisés par des groupes étatiques qui mobilisent des capacités d’IA pour orienter leurs actions en fonction des réponses du modèle consulté.
L’autre point marquant concerne l’ingénierie sociale. Google décrit des tentatives structurées pour tromper les garde-fous des modèles en se présentant comme des chercheurs, des analystes ou des participants à des compétitions techniques. Les attaquants obtiennent ainsi des informations techniques exploitables. Ce contournement repose moins sur une faille technique que sur une capacité à manipuler le cadre de la requête. Il confirme que l’IA ne neutralise pas la ruse humaine. Elle peut au contraire l’amplifier lorsque des individus malveillants apprennent à dialoguer avec les systèmes pour en extraire des comportements utiles.
Un écosystème souterrain qui se structure autour de l’IA
Sandra Joyce décrit également une économie parallèle de services IA destinés à des usages illégitimes. Des marchés clandestins proposent désormais des outils de génération de hameçonnage, des assistants de rédaction de maliciels et des plateformes d’automatisation. Ces offres reprennent les codes de la commercialisation légitime mais appliquées au cybercrime. Cela produit un effet d’échelle inquiétant. Les acteurs peu expérimentés accèdent à des capacités avancées sans disposer eux-mêmes d’un haut niveau technique. L’IA devient alors une commodité criminelle, structurée, accessible et monétisée, qui élargit mécaniquement la base des attaquants compétents.
Cette industrialisation modifie profondément l’équilibre du marché de la cybersécurité. Là où la rareté de compétences constituait une barrière naturelle, l’IA agit désormais comme un amplificateur. Google souligne que cet effet concerne aussi bien des groupes étatiques que des cybercriminels opportunistes. Les entreprises se retrouvent confrontées à des adversaires plus nombreux, plus rapides et plus organisés. Ce mouvement crée une pression nouvelle sur les équipes sécurité déjà confrontées à des budgets contraints, à une inflation réglementaire et à une sophistication technique croissante des environnements numériques.
Des usages étatiques structurés au long du cycle d’attaque
Les analystes de Google décrivent des usages récurrents attribués à des acteurs liés à la Corée du Nord, à l’Iran et à la Chine. L’IA accompagne la reconnaissance, aide à fabriquer des messages d’approche crédibles, facilite la recherche documentaire technique et soutient des phases plus avancées de compromission. L’IA devient ainsi un multiplicateur d’efficacité opérationnelle. Ce constat réduit la pertinence d’une vision naïve où les États seraient uniquement consommateurs de capacités techniques classiques. Ils intègrent l’IA dans leurs doctrines offensives.
Pour les organisations, ce signal oblige à reconsidérer la maturité requise en matière de défense. La menace n’est pas seulement criminelle et financière. Elle touche aussi la stabilité économique, la propriété intellectuelle, la continuité opérationnelle et la souveraineté des données. L’IA facilite des opérations qui demandent habituellement des ressources importantes. Cela renforce l’intérêt stratégique pour les attaquants et alourdit les conséquences pour les victimes.
Une réponse défensive qui doit devenir systémique
Google explique avoir désactivé des comptes, démantelé des infrastructures et renforcé les mécanismes de protection de ses propres modèles. L’entreprise insiste sur la nécessité de construire des garde-fous techniques, mais aussi de partager les renseignements sur les menaces. Cette approche met en évidence une idée centrale. La défense ne peut plus se limiter à protéger un périmètre technique. Elle doit intégrer l’IA comme un objet de sécurité à part entière. Cela inclut la protection des modèles, des données d’entraînement, des interfaces et des comportements d’usage.
Pour les entreprises utilisatrices, cette évolution implique une nouvelle hygiène numérique. Il devient nécessaire d’inclure l’IA dans les politiques de sécurité, dans les audits, dans la gestion des identités, dans la supervision et dans la formation. Les responsables des systèmes d’information doivent considérer que l’IA représente à la fois une opportunité défensive et une surface supplémentaire d’exposition. L’enjeu n’est plus de savoir si l’IA va transformer la cybersécurité. Elle l’a déjà fait du côté des attaquants. Les organisations doivent donc atteindre un niveau de maturité comparable du côté défensif.
