L'essor de l'intelligence artificielle (IA) ne touche pas uniquement les simples usages bénéfiques. En effet, cette nouveauté vient désormais alimenter une nouvelle génération de ransomwares, plus rapides, plus sophistiqués et plus complexes à contrer.

Une série de rapports1 confirme par ailleurs que les cybercriminels se saisissent de l'IA afin d'industrialiser et d'optimiser leurs attaques, posant un défi majeur pour les entreprises, les RSSI et la réglementation applicable en matière de cybersécurité.

Une menace dopée à l'IA : les rançongiciels franchissent un cap

Des attaques plus rapides, plus ciblées

D'après l'étude State of Ransomware 2025 de CrowdStrike, 78 % des entreprises interrogées ont subi une attaque par ransomware au cours des 12 derniers mois. Dans la moitié des cas, les entreprises se considéraient pourtant comme « très bien préparées ».

L'étude Security Priorities 2025 (CSO) révèle que 38 % des RSSI identifient désormais les ransomwares alimentés par l'IA comme étant leur principale préoccupation.

Un effet d'accélération sans précédent

Selon CrowdStrike, l'IA réduit drastiquement le « temps jusqu'au chiffrement » d'un système infecté, passant de plusieurs heures à quelques minutes seulement. Une autre étude2, estimait le « temps jusqu'à la rançon » moyen à 17 heures, certaines attaques tombant à 4 ou 6 heures seulement.

L'IA permet également de générer des campagnes de phishing d'un réalisme saisissant et d'automatiser des phases entières de l'attaque (comprenant l'intrusion, la propagation, etc.), les infrastructures traditionnelles de sécurité parfois mises en place par les entreprises peinent donc à s'adapter à cette fulgurance.

Le mirage de la préparation des entreprises

Bien que 50 % des entreprises augmentent leur budget cybersécurité après une attaque, seules 38 % identifient ou corrigent les causes profondes de l'attaque. En outre, près de 83 % des entreprises ayant payé une rançon ont subi une nouvelle attaque.

L'IA criminelle, un défi pour le droit : vers une adaptation nécessaire des normes

Un cadre juridique encore insuffisant face aux attaques assistées par IA

L'introduction massive d'IA générative dans les attaques, tels que les deepfakes audio/vidéo notamment, met à l'épreuve les réglementations juridiques applicables actuelles.

Ainsi, bien que le Code pénal incrimine déjà l'accès et le maintien frauduleux dans les systèmes automatisés ou encore la diffusion de malwares3, il n'est pas encore prévu de règles spécifiques sur l'usage de l'IA à fins cybercriminelles.

Des obligations renforcées pour les entreprises en matière de cybersécurité

La réglementation existante, qu'elle soit sectorielle4 ou européenne5, impose aux entreprises des obligations de sécurisation des données et de notification des violations.

Néanmoins, la gestion proactive de la menace IA appelle une mise à jour des normes applicables, notamment par la détection automatisée renforcée, par la mise en Suvre d'audit des systèmes d'IA employés en interne comme en externe, ou la mise en place d'une documentation des processus, etc.

Vers un nouveau cadre juridique pour contrer l'IA malveillante

Selon les études citées, 82 % des entreprises estiment que le phishing assisté par IA est désormais indétectable par l'humain. Cette mutation tend alors à renforcer la tendance à l'automatisation dans les outils de cybersurveillance. Or, ce glissement pose des questions juridiques sur la responsabilité, la certification des algorithmes de défense ou le partage d'informations interentreprises à l'échelle européenne.

Cette émergence de ransomwares dopés à l'IA démontre les limites d'un cadre normatif conçu pour une cybercriminalité « artisanale ». La régulation juridique doit donc évoluer afin d'intégrer cette hausse de sophistication, d'efficacité et de rapidité, en repensant la responsabilité des acteurs, en encadrant les usages d'IA criminelle et en harmonisant les standards de cybersécurité à l'échelle européenne. Désormais, l'enjeu premier est de savoir si le droit saura s'adapter à cette nouvelle course initiée par l'IA malveillante, avant que celle-ci ne prenne définitivement l'avantage...

