80 % des attaques par ransomware utilisent désormais l’IA

L’intelligence artificielle propulse désormais 80 % des attaques par ransomware, selon une étude de MIT Sloan. Une mutation qui bouleverse les stratégies de défense.

L’intelligence artificielle n’est plus un simple outil d’optimisation : elle est devenue un multiplicateur de puissance pour les cybercriminels. Comme le documente le rapport complet de Safe Security et MIT Sloan, elle automatise désormais l’ensemble de la chaîne d’attaque, du repérage initial à l’extorsion finale. Cette évolution impose aux entreprises et institutions de réinventer leurs pratiques de cybersécurité.

Ransomwares dopés à l’IA : des attaques plus rapides et adaptatives

Les ransomwares classiques reposaient largement sur l’intervention humaine, que ce soit pour concevoir les campagnes de phishing, rédiger le code malveillant ou négocier les rançons. Désormais, l’IA accélère et perfectionne chacune de ces étapes. Les chercheurs du MIT ont montré que plus de 80 % des attaques observées en 2024 étaient assistées par des techniques d’IA, un bond spectaculaire par rapport aux années précédentes.

Concrètement, l’IA permet :

• de générer du code polymorphe capable d’échapper aux antivirus,
• de lancer des campagnes de phishing hautement personnalisées,
• de produire des deepfakes audio ou vidéo crédibles pour manipuler les employés,
• et d’adapter les demandes de rançon selon la situation financière des victimes.

Les groupes criminels tels que LockBit (815 attaques recensées), RansomHub (548) ou Akira (314) exploitent massivement ces capacités. Ils bénéficient ainsi d’une efficacité redoutable et d’une vitesse d’exécution inédite. Cette industrialisation des attaques marque une rupture profonde dans la menace ransomware.

Quand l’IA devient un agent autonome au service des cybercriminels

L’étude souligne l’émergence de « systèmes agentiques » : des logiciels malveillants capables de prendre des décisions sans intervention humaine. Ces agents identifient les failles d’un réseau, choisissent le moment optimal pour déployer le chiffrement, neutralisent les sauvegardes et adaptent leur comportement face aux contre-mesures.

Cette autonomie change l’équation pour les défenseurs. Là où un attaquant devait autrefois franchir étape par étape la « kill chain » (chaîne d’attaque), l’IA intègre reconnaissance, exploitation et propagation dans une boucle automatisée. Des ransomwares comme LockBit 3.0 ou REvil utilisent déjà ces logiques pour maximiser l’impact tout en minimisant leur détection.

Le phénomène ne se limite pas au chiffrement de données. Les chercheurs documentent aussi des tendances annexes : usurpations vocales via clonage de voix, manipulation de vidéos en visioconférence, contournement automatisé des CAPTCHA ou encore cassage accéléré de mots de passe grâce à l’apprentissage automatique. Autant de techniques qui élargissent la surface d’attaque.

Trois piliers défensifs face à l’ère des ransomwares pilotés par IA

Les experts du MIT et de Safe Security insistent : les outils d’IA défensive seuls ne suffisent pas. Ils préconisent une approche en trois piliers :

1. Hygiène de sécurité automatisée. Systèmes capables de s’auto-corriger, de s’auto-mettre à jour et de surveiller en continu les surfaces d’attaque. Ces mécanismes réduisent la charge humaine et éliminent les failles de base que l’IA criminelle exploite en priorité.

2. Défense autonome et trompeuse. Déploiement de systèmes capables de réagir en temps réel, mais aussi d’induire en erreur les attaquants (faux fichiers, leurres, configurations mouvantes). Cette approche proactive vise à ralentir les attaques et à ouvrir une fenêtre de détection.

3. Supervision augmentée. Outils de reporting en temps réel et simulations assistées par IA pour permettre aux dirigeants de visualiser l’impact potentiel d’une attaque et d’ajuster leur stratégie. Cette gouvernance éclairée devient essentielle face à la vitesse des menaces.

Ces trois dimensions doivent être intégrées de manière cohérente. Les organisations qui se limitent à acheter des solutions technologiques sans revoir leurs processus et leur pilotage resteront vulnérables.

Une course de vitesse à l’échelle mondiale

Les chercheurs soulignent que la cybersécurité est devenue une véritable course de vitesse. L’attaquant n’a besoin que d’une seule faille, alors que le défenseur doit verrouiller l’ensemble du système. Avec l’IA, ce déséquilibre s’accroît : les assaillants testent et exploitent à grande échelle, tandis que les équipes de sécurité, souvent limitées en ressources, peinent à suivre.

Pourtant, l’étude ouvre aussi des perspectives positives. En intégrant l’IA de manière stratégique, les entreprises peuvent renforcer leur résilience, anticiper les modes d’attaque et réduire la charge opérationnelle de leurs équipes. Des initiatives de simulation d’attaques par IA sont déjà utilisées pour tester les défenses dans des environnements contrôlés, reproduisant la logique des adversaires.

L’avenir de la cybersécurité ne dépend donc pas seulement de la technologie, mais de la capacité des organisations à combiner innovation, supervision et coopération. Le partage d’intelligence en temps réel et la construction de cadres de gouvernance adaptés deviennent des leviers décisifs pour rétablir l’équilibre.

Conclusion

Les ransomwares propulsés par l’IA ne représentent pas une menace future : ils sont déjà la norme, représentant plus de 8 attaques sur 10. Cette nouvelle génération combine vitesse, autonomie et adaptabilité, mettant à rude épreuve les défenses traditionnelles. Pour résister, les organisations doivent abandonner les approches purement réactives et bâtir une cybersécurité proactive, intégrée et pilotée au plus haut niveau. C’est à cette condition qu’elles pourront espérer garder une longueur d’avance dans cette course où l’IA redéfinit chaque règle.