IA, Ransomware 3.0 et nouvelles règles du cyberrisque : ce que pensent vraiment les RSSI

Le ransomware n’a pas disparu ; il a évolué vers un Ransomware 3.0. Les outils alimentés par l’IA permettent désormais aux attaquants d’automatiser le phishing, d’accélérer le vol d’identifiants et de se déplacer latéralement entre les endpoints à une échelle inimaginable il y a encore quelques années. Pour les responsables sécurité, il ne s’agit pas simplement d’une hausse ponctuelle des incidents, mais d’un changement structurel dans la manière dont les risques se matérialisent au niveau des emails, des identités et des environnements cloud.

Les acteurs malveillants utilisent le machine learning pour détecter les failles, générer des leurres très crédibles dans n’importe quelle langue et enchaîner les intrusions avec un minimum d’intervention humaine. Leur mode opératoire devient plus rapide, plus adaptatif et plus personnalisé pour chaque cible. Pour de nombreux RSSI, le constat est troublant : c’est la même histoire de ransomware, mais amplifiée par l’IA et plus difficile à distinguer dans le flux des opérations quotidiennes.

Dans cet article, nous analysons l’évolution du ransomware, l’impact de l’IA sur l’attaque comme sur la défense, et ce que révèlent les données de notre CSR 2026 sur les préoccupations réelles en matière de sécurité. Nous examinerons où l’IA apporte déjà des bénéfices concrets aux équipes de défense, où elle accroît discrètement l’exposition au risque, et comment les enseignements des RSSI peuvent aider à bâtir une véritable résilience, plutôt que de simplement réagir à la prochaine cyberattaque médiatisée.

La résurgence des ransomwares en 2025

Après trois années consécutives de déclin, les ransomwares sont revenus au premier plan des préoccupations en matière de cybersécurité. Les données de Hornetsecurity montrent qu’en 2025, 24 % des organisations ont déclaré avoir été victimes d’une attaque par ransomware, soit une forte augmentation par rapport aux 18,6 % enregistrés en 2024. Ce revirement est un signal d’alarme dans le paysage des menaces post-pandémique et un avertissement que les attaquants évoluent de plus en plus rapidement.  

Malgré des années de campagnes de sensibilisation et de programmes de formation, les ransomwares restent un risque critique pour les entreprises, précisément parce qu’ils s’adaptent à nos défenses. Les acteurs malveillants combinent désormais l’automatisation améliorée par l’IA avec des techniques d’ingénierie sociale éprouvées pour atteindre une plus grande portée, une plus grande précision et une plus grande persistance.  

Automatisation, IA et nouveau manuel des ransomwares

Les attaquants exploitent de plus en plus l’IA générative et l’automatisation pour identifier les vulnérabilités, créer des leurres de phishing plus convaincants et orchestrer des intrusions en plusieurs étapes avec un minimum de supervision humaine. 

Malheureusement, cela rend les opérations de ransomware plus évolutives et plus personnelles. 

Quelques données clés :  

• 61 % des RSSI estiment que l’IA a directement accru le risque d’attaques par ransomware.  

• 77 % identifient le phishing généré par l’IA comme une menace émergente et grave.  

• 68 % investissent désormais dans des capacités de détection et de protection basées sur l’IA.  

Il en résulte une course à l’armement où les deux camps utilisent l’apprentissage automatique. Pour l’un, l’objectif est de tromper, pour l’autre, de se défendre. 

Points d’entrée : le phishing perd du terrain, les terminaux gagnent du terrain

Si le phishing reste le principal vecteur d’infection pour 46 % des personnes interrogées, sa domination s’estompe. Les attaquants se diversifient : 

Vecteur	2024	2025	Δ
Phishing	52.3%	46%	–6.3 pp
Identifiants compromis	~20%	~25%	+5 pp
Vulnérabilités exploitées	–	12%	n/a
Compromission des terminaux	–	26%	n/a

Les données montrent une nette évolution vers le vol d’identifiants et la compromission des terminaux, en particulier dans les environnements de travail hybrides et à distance où la politique BYOD (Bring Your Own Device) et les lacunes en matière de correctifs restent très répandus. Les ransomwares ne sont plus seulement un problème lié aux e-mails, mais un problème lié à l’écosystème.

La fatigue liée à la formation et le piège de la « fausse conformité »

Les organisations continuent d’investir massivement dans la formation à la sensibilisation. 74 % d’entre elles la proposent, mais 42 % estiment qu’elle est insuffisante.  

De nombreux programmes restent des exercices de routine : annuels, peu engageants et rapidement oubliés. Il en résulte ce que Hornetsecurity appelle la « fausse conformité ». Il s’agit de l’illusion d’une préparation sans changement comportemental significatif.  

Les petites et moyennes entreprises (PME) sont les plus touchées. Beaucoup fonctionnent avec un personnel informatique minimal et une infrastructure obsolète, en s’appuyant sur des prestataires externes ou des locataires cloud non patchés. Si de plus en plus de PME déclarent disposer d’un plan de reprise après sinistre, la préparation sur le papier ne se traduit pas toujours par une résilience dans la pratique.  

Récupération et résilience : le bon côté des choses

Cela dit, même si les attaques se multiplient, les capacités de récupération s’améliorent discrètement :  

• 62 % des organisations utilisent désormais des technologies de sauvegarde immuables. Il s’agit de systèmes dans lesquels les données ne peuvent être ni modifiées ni cryptées une fois qu’elles ont été écrites. Même les administrateurs ou un compte administrateur compromis lors d’une attaque n’y ont pas accès.  

• 82 % ont mis en place un plan de reprise après sinistre, qui devient rapidement la nouvelle norme en matière de résilience opérationnelle. 

• Autre bonne nouvelle : seulement 13 % des victimes ont payé la rançon en 2025, contre 16,3 % en 2024.  

L’assurance, cependant, raconte une autre histoire. La couverture d’assurance contre les ransomwares est passée de 54,6 % en 2024 à 46 % cette année, en raison de l’augmentation des primes et des exclusions et de la baisse de confiance dans les indemnisations. Cette correction du marché suggère que les organisations ne peuvent plus externaliser les risques. Elles doivent intégrer la sécurité dans leurs systèmes et renforcer leur résilience en interne.  

Gouvernance : la stratégie reste à la traîne par rapport à la réalité des menaces

La cybersécurité est désormais une préoccupation au niveau du conseil d’administration, mais de nombreuses organisations ont encore du retard à rattraper pour répondre aux exigences opérationnelles de la gouvernance à l’ère des ransomwares. Peu de conseils d’administration organisent des simulations de crises cybernétiques, et les manuels interfonctionnels restent l’exception plutôt que la règle.

À mesure que la désinformation alimentée par l’IA et l’extorsion par deepfake deviennent plus plausibles, la préparation à la communication fait désormais partie de la cybersécurité et, heureusement, n’est plus une réflexion après coup en matière de relations publiques.  

Perspectives : la résilience augmente, mais les menaces aussi

Les données pour 2025 brossent un tableau nuancé : les attaques par ransomware augmentent, mais notre capacité à nous en remettre aussi. Les organisations qui résisteront à cette nouvelle vague sont celles qui considèrent la résilience comme une stratégie et non comme une simple conformité.  

Les sauvegardes immuables, les plans de reprise bien testés et la formation significative des utilisateurs ne sont plus facultatifs, ils constituent la défense minimale viable. 

Les attaquants ne restent pas inactifs, et les défenseurs ne peuvent pas non plus se permettre de rester les bras croisés. Le défi pour 2026 ne sera pas d’empêcher complètement les ransomwares, mais de s’assurer que, lorsqu’ils frappent, la continuité des activités ne soit pas compromise.  

Perspectives des RSSI : trouver l’équilibre entre les promesses et les dangers de l’IA

L’intelligence artificielle est en train de redéfinir la cybersécurité, non seulement en tant qu’outil défensif, mais aussi en tant que question stratégique. Le sondage 2025 “Perspective et réflexions des RSSI” a cherché à comprendre comment les responsables de la sécurité dans le monde réel abordent l’IA : où elle fonctionne, où elle présente des risques et quels sont les défis qui entravent son adoption responsable.  

Les résultats révèlent une situation complexe. Les RSSI sont enthousiastes, prudents et, dans de nombreux cas, encore en phase d’expérimentation. L’IA est omniprésente, mais la confiance, la gouvernance et la compréhension ne sont malheureusement pas encore au rendez-vous.

Adoption : croissance rapide, gouvernance inégale

La plupart des RSSI interrogés font état d’une expérimentation importante de l’IA, mais son adoption structurée reste rare. Certaines organisations intègrent l’IA dans des flux de travail tels que le triage, l’enrichissement et la gestion des tickets, tandis que d’autres en limitent totalement l’utilisation.  

Le RSSI d’une société financière internationale a déclaré :

« Nous constatons un taux d’adoption supérieur à 75 % au sein de notre organisation au cours des deux dernières années. »

À l’inverse, un RSSI virtuel a fait remarquer :

« Il y a deux ans, tous les services d’IA étaient accessibles librement. Au cours de l’année écoulée, nous avons commencé à mettre en place davantage de processus et de LLM internes. »  

Cette variabilité met en évidence le défi principal : l’adoption de l’IA progresse plus rapidement que sa gouvernance, à l’instar des précédentes tendances innovantes dans le domaine technologique. De nombreux dirigeants ont commencé à centraliser le contrôle et à développer des outils internes, mais d’autres restent dans une posture réactive et cherchent à se conformer aux normes plutôt qu’à mener l’innovation. 

Le Shadow IT, autrefois considéré comme une source d’irritation, a été redéfini par l’IA en Shadow AI. Les outils non approuvés, les extensions de navigateur et les intégrations SaaS créent de nouveaux risques opaques. Comme l’a résumé un RSSI,

« Les préoccupations liées à la sécurité de l’IA ont amplifié les dangers du Shadow IT ».  

Sensibilisation des utilisateurs finaux : le nouveau facteur de risque humain

Si la force d’une entreprise dépend de son employé le moins préparé, l’IA a abaissé la barre.  

Les RSSI s’accordent à dire que la sensibilisation des utilisateurs finaux aux risques liés à l’IA est dangereusement faible.  

Si quelques organisations se vantent d’avoir une culture de conformité forte, certaines s’attribuant même une note de « 5 sur 5 », la plupart des RSSI estiment que le niveau de sensibilisation est plutôt de « 1 ou 2 sur 5 ».  

Le principal problème ? Les employés utilisent avec enthousiasme les outils d’IA publics sans se rendre compte des implications en matière de sécurité ou de conformité. Comme l’a dit un RSSI virtuel,

« Les gens n’ont pas compris les enjeux, en particulier lorsqu’ils partagent des informations sur leur entreprise dans une IA publique ». 

Compréhension du leadership : le fossé de sensibilisation au sommet

Les RSSI soulignent également une grande disparité dans la compréhension des risques liés à l’IA par les dirigeants.  

Notre sondage a révélé la plus grande dispersion des réponses à cette question, allant d’une « profonde sensibilisation » à une « absence de compréhension réelle ». La réponse médiane était un « le leadership connaît quelque peu les risques » plutôt tiède. Il est clair que les progrès sont inégaux et varient considérablement d’une entreprise à l’autre.  

Certaines organisations avancent de manière collaborative. Un RSSI du secteur technologique allemand a attribué les progrès réalisés à des initiatives conjointes des services juridiques et de sécurité :

« La direction commence à comprendre les enjeux liés à la sécurité de l’IA. »

D’autres, cependant, font état du contraire.

« La direction voit les gains de productivité, mais pas les risques »

, a déclaré un RSSI virtuel.  

Cette prise de conscience inégale confère aux RSSI une double responsabilité : se défendre contre les menaces externes tout en sensibilisant la direction en interne. 

Menaces émergentes : deepfakes, empoisonnement des modèles et fuites de données

Presque tous les RSSI interrogés s’accordent à dire que l’utilisation abusive de l’IA sera une source majeure de cyber risques au cours des 12 prochains mois. 

Les préoccupations les plus pressantes sont les suivantes :  

• La fraude à l’identité synthétique à l’aide de documents ou d’identifiants générés par l’IA, 

• Le clonage vocal et les vidéos deepfake utilisés à des fins d’usurpation d’identité et de fraude, 

• L’empoisonnement des modèles, où des données malveillantes corrompent les systèmes d’IA internes, 

• La fuite de données sensibles due à l’utilisation abusive d’outils d’IA publics par les employés. 

Un RSSI a lancé cette mise en garde :

« Nous sommes particulièrement préoccupés par les attaques par empoisonnement des modèles, car nous utilisons nos propres modèles en interne. »

Un autre a souligné que

« Le risque numéro un lié à l’IA est la fuite volontaire de données d’entreprise vers des systèmes publics. »  

L’IA est devenue à la fois un outil et une cible, et la surface d’attaque s’étend clairement plus rapidement que beaucoup ne le pensent.  

Adoption par les équipes de sécurité : prudente, contrôlée et tactique

Dans le domaine des opérations de sécurité, l’adoption de l’IA est mesurée, mais en pleine croissance. Les RSSI décrivent des déploiements limités axés sur des tâches spécifiques à faible risque. Par exemple, la classification des tickets ou l’enrichissement des données sur les menaces. Un RSSI du secteur financier a partagé une expérience pratique réussie : 

« L’IA s’est avérée très efficace pour les notes de tickets destinées aux clients. Elles sont concises et exemptes de tout parti pris. »

Cet « optimisme prudent » est caractéristique de 2025. Les équipes de sécurité adoptent l’automatisation, mais restent méfiantes à l’égard d’une dépendance excessive à des systèmes opaques ou à des modèles immatures. 

Défis liés à la mise en œuvre : les obstacles pratiques

Le chemin vers une adoption responsable de l’IA est loin d’être sans embûches. Notre sondage auprès des RSSI a révélé que les principaux obstacles sont les suivants : 

• Incertitude quant aux risques liés à l’IA et à son utilisation abusive potentielle 

• Conformité et contraintes juridiques 

• Justification budgétaire et démonstration du retour sur investissement 

• Difficultés d’intégration avec les outils existants 

• Pénurie de talents dans le domaine de l’IA et de la science des données 

• Adhésion de la direction  

Comme l’a résumé un RSSI,

« Nous manquons encore de compétences et d’experts spécialisés en IA. »

Un autre a ajouté :

« Détecter un scan de port en lisant dix lignes de journaux n’apporte pas grand-chose. »

Malgré les obstacles, les RSSI restent pragmatiques : l’IA n’est pas un effet de mode, c’est une évolution inévitable. Mais son adoption restera au cas par cas jusqu’à ce que la transparence, les compétences et la gouvernance rattrapent l’ambition.  

De la curiosité à la capacité

L’IA dans le domaine de la cybersécurité n’est plus expérimentale, mais elle n’est pas encore tout à fait mature. Dans tous les secteurs, l’accent est passé de « Que peut faire l’IA ? » à « Comment la gouverner ? ».  

L’année à venir déterminera si les équipes de sécurité peuvent transformer l’IA d’un risque en un allié fiable.  

---

Transformez les risques de sécurité en avantage de résilience

Hornetsecurity 365 Total Backup et VM Backup vous offrent une protection immuable pour Microsoft 365, les machines virtuelles et d’autres workloads critiques, même lorsque des ransomwares renforcés par l’IA et d’autres risques liés à l’IA tentent de chiffrer ou de corrompre votre environnement. Au lieu de dépendre d’une hypothétique clé de déchiffrement, vous bénéficiez d’une restauration rapide et prévisible qui garantit la continuité de vos activités.

Lorsque vos données sont protégées, votre entreprise reste opérationnelle. Grâce à une plateforme unique couvrant les boîtes aux lettres Microsoft 365 et les infrastructures virtuelles, vous disposez d’une solution complète de sauvegarde et de restauration, reconnue à plusieurs reprises comme l’une des options de sauvegarde VM les plus simples à utiliser, les plus robustes et les plus rentables du marché. Planifiez une démonstration pour découvrir à quelle vitesse vous pouvez renforcer votre stratégie de reprise.

---

Conclusion sur les préoccupations des RSSI : de nouvelles règles face aux risques de sécurité

L’écosystème actuel du ransomware met en lumière une réalité difficile : les attaquants innovent en permanence, tandis que les équipes de défense peinent souvent à suivre le rythme.

Les intrusions renforcées par l’IA, l’élargissement de la surface d’attaque, l’efficacité limitée de certains programmes de formation et le manque d’alignement au niveau de la direction redéfinissent la nature du cyberrisque. Pourtant, un signal positif se dégage : les organisations progressent dans leur capacité à se rétablir sans céder à la panique.

Les sauvegardes immuables, les procédures de restauration testées et des stratégies de résilience plus matures permettent aux entreprises de surmonter les attaques sans payer de rançon.