marketing digital

L’IA au cœur des cyber menaces en 2025 selon l’ANSSI

6 February 2025


Emmanuel Naëgelen est général de brigade aérienne. Il a, en sa qualité de DG adjoint de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), ouvert la 19e université des DPO de l’AFCDP. Dans ce cadre il a dressé un état des lieux de la cybersécurité en amont de la publication du panorama de la menace 2025 qui sera rendu disponible en mars de cette année. Pour simplifier : montée en charge de l’hacktivisme, nouvelles menaces dues à l’IA et mise en place de NIS2 sont au menu de cette année.

L’IA au cœur des cyber menaces en 2025 selon l’ANSSI

Le général Naëgelen au pupitre de la 19e université de l’AFCDP a Paris le 6 février 2025
Le général Naëgelen au pupitre de la 19e université de l’AFCDP a Paris le 6 février 2025

La donnée vraiment centrale en 2025

Le monde numérique génère des données et ces ressources sont de plus en plus convoitées. A la fois par des acteurs économiques (et notamment dans l’IA) et des criminels, a expliqué le général Naëgelen. Certaines de ces convoitises sont louables  mais d’autres non, y compris chez les acteurs économiques qui ne sont pas toujours vertueux.  Face à ces risques, la question à se poser est de « savoir comment protéger ces données de manière proportionnée, c’est à dire en  évitant la sur ou sous protection et en protégeant la donnée de manière cohérente avec le RGPD par exemple et les obligations de la cybersécurité comme NIS2 ».

Mais la réglementation n’est pas tout. Le DGA de l’ANSSI insiste sur la « nécessité d’être compatible avec les avancées technologiques et en particulier l’IA » et de reconnaître qu’il s’agit « d’un sujet de plus en plus vaste et complexe ».

Une approche pragmatique pour répondre à la menace

Face à ces menaces, Emmanuel Naëgelen propose une approche pragmatique. D’abord en balayant les enjeux de protection qui pèsent sur ces données. Puis en détaillant les approches pour y faire  face.

Une salle pleine à craquer pour ces 19e universités dès DPO

Le panorama de la menace paraîtra le 11 mars. Si le DGA que l’ANSSI ne pouvait pas tout dire sur ce document, il en a livré néanmoins  quelques points saillants.

  1. La donnée volée sert toujours à faire du chantage (rançons, extorsion avec les fameux rançongiciels qui n’ont hélas pas disparu) mais pendant les Jeux Olympiques de Paris 2024, sont apparus des groupes activistes pour faire pression dans le but d’apporter un éclairage médiatique fort sur leurs causes et decribiliser certains acteurs, notamment institutionnels. Le général a cité deux exemples.
    • D’abord un groupe pro palestinien en juillet 2024 a revendiqué un vol de données du CNOSF. Ve vol a été avéré nous a dit le présentateur mais il s’agissait de données issues « d’un vieux site web mal décommissionné ». Il s’agissait de données personnelles mais sans impact pour la bonne tenue des jeux. Mais ce groupe a réussi à faire parler de lui, il y’a eu un Impact médiatique indéniable selon le général [NDLR la cause du groupe a été citée par le présentateur mais n’est pas identifiée dans les coupures de presse retrouvées]
    • Deuxième exemple sur la dénonciation de la lutte antidopage pour exclure certains pays comme la Russie des JO 2024. C’est une nouvelle exploitation des données à des fins de revendications.
  2. La cybermenace prend aussi de nouvelles voies au travers des données « volées à prestataires informatiques disposant d’accès privilégiés sans restriction mal protégés avec des mots de passe faibles ». Ce sont des techniques classiques, nous explique le représentant de l’ANSSI. Les sous-traitants et prestataires seraient moins bien protégés et moins précautionneux que leurs clients selon lui.
  3. Les infrastructures de cloud sont aussi au cœur de la menace car « elles hébergent des données en masse et ne sont pas très bien protégées ». Par exemple, « on peut attaquer les hyperviseurs, ces logiciels d’administration très puissants qui donnent accès discrètement à un grand nombre de données ».
  4. Le secteur social a également été particulièrement visé en 2024 explique l’ANSSI et notamment les agences en charge du tiers payant.
  5. Enfin, les échanges de données sur le dark web « qui fleurissent ». il y a bien « des opérations de police sur les forums mais d’autres forums se recréent immédiatement ».

La cybermenace s’industrialise

« La menace s’industrialise, c’est la première tendance », nous a expliqué Emmanuel Naëgelen. Il remarque aussi une « relative impunité malgré les efforts de la justice et de la police qui ont eu aussi des résultats ». Enfin, on observe le développement de l’hacktivisme « qui a un impact faible sur les données mais qui a un impact fort sur la médiatisation ou les institutions ».

Mais ce n’est pas tout, il y a encore deux nouveaux risques qui ont été mis sur le radar de l’ANSSI:

  • l’IA qui « refaçonne complètement le paysage ». C’est la donnée qui pilote tout, elle est centrale et cruciale pour l’entraînement et la performance. Certains attaquants vont essayer de la corrompre ou d’exfiltrer la donnée qui a servi à l’entraînement. Cela pose de « nouveaux problèmes qu’on est en cours de défricher » explique le représentation de l’agence. Deux publications sur les modèles de données et une autre en collaboration avec les allemands sur les IA generatrices de code sont conçues par l’ANSSI.
  • Le général n’a pas voulu « s’étaler sur la souveraineté des données » tout en l’évoquant. C’est surtout un sujet de droit selon lui. Au sens où il faut trouver des parades aux lois extra territoriales. Il y a aussi selon lui une question de fond sur l’Europe pour savoir si on tolère d’autres droits.

Que faire donc pour protéger les données

  • D’abord il y a le droit : c’est toute l’ambition de de NIS2. Le projet de loi est prévu au sénat début mars. C’est un chantier majeur. Avec cela on va passer à 15 à 20 000 entités régulées. Il est une différence majeure de méthode avec le RGPD qui a été élaboré avant 2016 et mis en place en 2018. Avec NIS2 on établit un véritable référentiel pour dicter les exigences aux entités et s’en prévaloir pour les contrôles. Ce qu’on cherche à faire, c’est de construire un chemin vers la conformité et de développer les services en ligne. Concernant les contrôles le DG de l’ANSSI a indiqué que le contrôle sera progressif et se déploiera à partir de 2026 et sur 3 ans.
  • « Le droit c’est bien mais la technique le complète ». L’ANSSI publie une large collection de guides sur ces sujets et notamment le guide des 11 bonnes paratiques pour se protéger contre les fuites de données.

A propos de NIS 2 (perplexité et sources)

La directive NIS2 (Network and Information Security 2) est une réglementation de l’Union européenne visant à renforcer la cybersécurité à l’échelle de l’UE[2][4]. Elle constitue une mise à jour et une extension de la directive NIS originale de 2016, avec pour objectif d’améliorer la résilience et les capacités de réponse aux incidents de cybersécurité des entités publiques et privées, des États membres et de l’UE dans son ensemble[1][3].

Principales caractéristiques de NIS2 (compilation Perplexity modifiée par nos soins)

Données fournies en l’état, merci de vérifier ces informations avant de les réutiliser

1. Champ d’application élargi: NIS2 couvre un éventail plus large d’entités « essentielles » et « importantes » dans 15 secteurs différents, incluant l’énergie, les transports, la banque, la santé et l’infrastructure numérique.

2. Exigences de sécurité renforcées : La directive impose des mesures de sécurité plus détaillées et harmonisées, telles que l’évaluation des risques, les plans de réponse aux incidents et la sécurité de la chaîne d’approvisionnement.

3. Obligations de signalement plus strictes: NIS2 introduit des délais plus courts pour la notification des incidents aux autorités compétentes.

4. Application renforcée: Les autorités nationales peuvent imposer des sanctions plus sévères, avec des amendes pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial.

5. Collaboration accrue: La directive vise à améliorer la coopération transfrontalière et le partage d’informations entre les États membres de l’UE.

Cf. https://cyber.gouv.fr/la-directive-nis-2


BDM Link