Incidents associés
Depuis des années, le secteur de la sécurité utilise couramment l'expression « ce n'est pas si, mais quand ». Des exemples récents montrent que cette affirmation n'a jamais été aussi vraie. Malgré les investissements dans les technologies de prévention, la probabilité qu'une organisation subisse une violation de données importante a atteint des niveaux sans précédent. Pendant des décennies, le modèle était simple : renforcer les défenses, détecter plus rapidement et bloquer davantage de failles. L'hypothèse sous-jacente était qu'en investissant suffisamment dans la prévention, on pouvait contenir la situation. Cette hypothèse est aujourd'hui structurellement invalidée, et l'IA y est pour beaucoup. Les entreprises d'aujourd'hui exigent de la résilience : la capacité de s'adapter et de se transformer rapidement grâce à des technologies performantes, et la capacité de se remettre de toute catastrophe, cybernétique ou autre, sans impact significatif. Examinons deux exemples pour illustrer la nouvelle norme qui impose de passer d'une approche axée sur la prévention à une approche axée sur le développement de la résilience numérique. Premièrement, l'une des violations de données les plus importantes jamais perpétrées contre une infrastructure critique, entièrement due à la puissance de l'IA ; deuxièmement, comment même les plus grandes entreprises du monde, dotées d'une expertise inégalée, subissent des perturbations importantes en raison de l'innovation basée sur l'IA.
L'écart se creuse
Les attaquants progressent de façon exponentielle. Les défenseurs, eux, progressent de façon linéaire. Il est impératif de garantir le développement sécurisé de nos capacités afin de protéger nos activités, et non de les perturber. Les attaquants ont peu à perdre et tout à gagner.
L'IA confère à un individu motivé la puissance opérationnelle d'un État. Elle automatise la reconnaissance, développe des exploits, s'adapte aux défenses en temps réel et fonctionne en continu. Elle réduit le coût de la sophistication à un niveau quasi nul. Les cybercriminels en herbe causent des dégâts en quelques instants, tandis que les cybercriminels expérimentés décuplent leurs capacités du jour au lendemain pour obtenir rapidement des résultats malveillants parmi les plus dévastateurs jamais enregistrés.
Nous l'avons constaté de visu.
Gambit a récemment analysé le cheminement de l'attaque ayant conduit à la compromission de l'administration fiscale mexicaine et d'au moins huit autres organismes gouvernementaux mexicains – l'une des plus importantes violations de données gouvernementales jamais recensées. Un mois après l'intrusion initiale, neuf institutions gouvernementales ont été touchées. 195 millions d'identités et de données fiscales détaillées, 15,5 millions de dossiers d'immatriculation de véhicules (plaques d'immatriculation, noms, numéros d'identification fiscale, adresses), 295 actes d'état civil (naissances, décès, mariages, etc.), 3,6 millions de dossiers de propriétaires, 2,28 millions d'autres dossiers fonciers et d'autres informations sensibles ont été exfiltrés. L'attaquant n'était pas un État. Il s'agissait d'un petit groupe d'individus utilisant l'IA comme une équipe opérationnelle. Cette équipe a identifié et exploité des vulnérabilités, développé des outils d'exfiltration, contourné les défenses, élevé ses privilèges, créé des portes dérobées et même analysé des données afin de se déplacer latéralement, de prendre le contrôle administratif d'un plus grand nombre de systèmes et d'exfiltrer davantage de données.
L'opération a été menée grâce à plus de 1 000 requêtes d'IA, qui transmettaient des informations à une seconde plateforme d'IA pour analyse. Au départ, les garde-fous ont empêché l'exécution complète des requêtes de l'attaquant, mais en une quarantaine de minutes, ce dernier a réussi à les contourner et à se faire passer pour un testeur d'intrusion légitime. Il ne s'agissait pas d'un État, mais d'un petit groupe d'individus ayant accès aux mêmes puissants outils d'IA que nous utilisons tous quotidiennement.
Se remettre de cette attaque prendra des semaines, voire des mois ; rétablir la confiance prendra probablement des années. Dans ce scénario, les attaquants se sont peut-être concentrés sur les identités gouvernementales et les portes dérobées pour créer de fausses identités, mais compte tenu du niveau de compromission atteint, cela aurait tout aussi bien pu entraîner la suppression de toutes les données et l'irrécupération des systèmes.
Aucun investissement dans la prévention n'aurait empêché cette attaque. La complexité de l'environnement ciblé, comme dans tout environnement d'entreprise, a créé une surface d'attaque suffisante pour permettre à l'IA de s'implanter et de contourner les contrôles, puis de trouver et d'exploiter une série de failles afin de compromettre et d'exfiltrer des données à grande échelle. Il ne s'agit pas d'un échec d'une équipe ou d'un outil en particulier, mais de la nature même du problème, et c'est pourquoi la résilience est impérative.
La menace ne vient pas uniquement de l'extérieur
Voici ce qui distingue cette situation de toutes les précédentes vagues d'urgence en matière de sécurité : les perturbations majeures ne proviennent pas seulement d'attaquants expérimentés ; elles sont directement liées à la nécessité pour les organisations d'accélérer l'innovation afin de rester compétitives et rentables.
Les organisations intègrent l'IA dans des environnements déjà complexes : infrastructures cloud multicouches, systèmes existants, mainframes, IoT, OT, SaaS modernes, le tout étant désormais fortement intégré ; anciens, nouveaux et intermédiaires, intimement liés. L'innovation s'accélère plus vite que les équipes ne peuvent évaluer et minimiser pleinement l'impact de chaque changement. Cette complexité engendre une fragilité.
Des dysfonctionnements de l'IA se produisent. Des agents automatisés effectuent des suppressions accidentelles. Des défaillances en cascade sont déclenchées par des processus non cartographiés ou dont les conséquences potentielles sont mal comprises. Il ne s'agit pas de cas marginaux, mais des conséquences prévisibles d'une évolution rapide au sein de systèmes hautement connectés et interdépendants.
Même AWS subit des perturbations dues aux innovations basées sur l'IA au niveau de l'infrastructure. En février 2026, nous savons maintenant que cela s'est produit en décembre 2025. Si cela peut arriver à l'épine dorsale d'Internet, la probabilité que cela se produise pour tous les autres services est quasi certaine.
Qu'est-ce qui dysfonctionne réellement ?
La plupart des organisations sont aujourd'hui incapables de répondre avec certitude à une question qui devrait être simple : si une capacité critique de l'entreprise tombait en panne ce soir, pourrait-elle être réellement rétablie sans impact significatif ?
Il ne s'agit pas d'une réponse théorique basée sur des hypothèses, ni de la réponse d'un document de plan de reprise d'activité rédigé il y a 12 à 36 mois. Il s'agit d'une réponse concrète, fondée sur un programme de résilience proactif et aligné sur les objectifs de l'entreprise, qui évalue et optimise en continu la capacité à rétablir les capacités numériques dont elle dépend le plus.
Notre analyse des infrastructures d'entreprise révèle des chiffres alarmants : si la plupart des organisations disposent d'une couverture de sauvegarde étendue et d'outils de sécurité performants, seulement 5 % environ de leurs capacités numériques sont réellement résilientes face à l'impact d'une attaque par rançongiciel, sans parler d'autres cyberattaques majeures (comme celle subie par le gouvernement mexicain), des erreurs humaines ou liées à l'IA, ou des défaillances d'infrastructure. Les autres entreprises fonctionnent sur la base d'hypothèses jamais validées.
Les hypothèses sont acceptables jusqu'à ce qu'elles soient mises à l'épreuve. Une panne majeure, selon sa durée et sa visibilité, peut nuire à l'image de marque, entraîner la perte de clients et impacter le chiffre d'affaires de manière irréversible.
Les perturbations détruisent les entreprises lorsque la réponse repose sur des hypothèses. Elles sont inévitables, mais en misant sur la résilience, leur impact sur l'activité est maîtrisé.
Maîtriser la résilience
Compte tenu des priorités commerciales que sont la disponibilité et l'innovation, et du fait que l'une s'oppose à l'autre, la résilience doit être la priorité absolue. La gestion des risques numériques doit intégrer la résilience comme priorité, et non comme une simple option secondaire une fois la prévention pleinement financée.
Cela signifie mesurer et optimiser en permanence votre capacité réelle à rétablir les fonctions clés de l'entreprise à la vitesse requise pour éviter tout impact significatif. Pas lors d'un audit, ni lors d'un exercice de simulation. En continu, en production, il s'agit d'évaluer et de gérer les risques liés à la résilience numérique les plus importants pour l'entreprise.
Cela signifie savoir – et non croire – quels systèmes résisteront, lesquels ne résisteront pas, et où se situent les failles. Il s'agit de combler ces failles de manière proactive plutôt que de les découvrir lors d'un incident ou d'une catastrophe.
Le monde a largement admis que les données seront compromises. Ce qu'il ne pardonne plus, c'est une indisponibilité prolongée et un ralentissement de l'innovation. Les organisations qui resteront compétitives au cours de la prochaine décennie ne seront pas celles qui bloqueront le plus d'attaques, mais celles qui les déjoueront.
La prévention est importante, mais la résilience est ce qui protège et permet véritablement à l'entreprise de prospérer.
Un rapport technique complet sur le mode opératoire et la méthodologie de l'attaque sera publié après divulgation responsable. Pour plus de contexte sur cette violation de données, consultez la couverture de l'attaque par Bloomberg.