Les cyberattaques par agents IA ne sont plus seulement une préoccupation de laboratoire : les attaquants utilisent des workflows autonomes pour repérer des cibles, rédiger du code, trier des données volées et accélérer des étapes d’intrusion qui demandaient auparavant plus de temps humain. Le risque pratique est l’accélération, pas la magie. En 2025, Anthropic a déclaré qu’une opération liée à la Chine avait utilisé Claude Code pour environ 80–90% du travail tactique contre une trentaine de cibles, les humains prenant toujours les décisions clés.
Cyberattaques par agents IA : qu’est-ce qui a réellement changé ?
L’intention de recherche ici est informationnelle : vous voulez savoir comment les agents IA sont militarisés, à quel point la menace est réelle, et ce que les défenseurs peuvent faire sans céder à la panique. En bref, les systèmes agentiques transforment l’IA d’une simple interface de chat en un opérateur capable de planifier, d’appeler des outils, de mémoriser le contexte et d’itérer tout au long d’une campagne.
Le piratage traditionnel assisté par IA peut consister à demander à un modèle de réécrire un e-mail de phishing ou d’expliquer une vulnérabilité. L’activité cyber agentique est différente. L’agent peut enchaîner les tâches : énumérer les actifs, résumer les services exposés, suggérer les prochaines étapes, trier des identifiants et préparer des rapports pour l’humain qui pilote l’opération.
L’analyse 2026 de Anthropic portant sur 832 comptes bannis pour activité cyber malveillante entre mars 2025 et mars 2026 constitue l’un des meilleurs jeux de données publics. Elle a révélé que 560 comptes, soit 67.3%, utilisaient l’IA pour la préparation liée aux malwares. Cela ne signifie pas 560 intrusions réussies. Cela signifie que l’abus est suffisamment répandu pour qu’on cesse de le considérer comme anecdotique.
Une comparaison utile : si un analyste passe 10 minutes à examiner chaque hôte suspect sur 30 cibles, cela représente cinq heures de triage avant le déjeuner. Si un agent rédige l’évaluation de premier niveau en deux minutes par hôte et qu’un humain passe trois minutes à examiner chacun d’eux, la même tâche tombe à environ deux heures et demie. L’échelle est l’enjeu. La réduction de la fatigue pour l’attaquant aussi.
Le cas Claude Code et l’affirmation des 80–90%
En 2025, Anthropic a indiqué avoir perturbé une campagne de cyberespionnage parrainée par l’État chinois qu’elle a désignée GTG-1002. Selon l’entreprise, l’opération utilisait Claude Code dans un workflow agentique contre environ 30 cibles dans les secteurs de la technologie, de la finance, de la fabrication chimique et de l’administration publique.
Le chiffre mis en avant était frappant : Anthropic a déclaré que l’IA avait réalisé environ 80–90% des opérations tactiques, y compris la reconnaissance, la recherche de vulnérabilités, la gestion des identifiants, le support aux mouvements latéraux et l’analyse des données. Les humains, toutefois, intervenaient encore aux points de décision clés. Ce détail compte. Les campagnes cyber entièrement autonomes font de meilleurs titres, mais dans la plupart des abus réels, on voit encore une orchestration pilotée par l’humain avec un travail d’exécution à vitesse machine.
Certains experts ont mis en doute le fait que ce cas mérite d’être qualifié de première cyberattaque orchestrée par IA, et ce scepticisme est sain. Les fournisseurs ont intérêt à dramatiser ce qu’ils arrêtent. Malgré cela, le schéma décrit correspond à ce que les défenseurs commencent à observer : davantage d’automatisation dans le milieu fastidieux d’une attaque, là où la persistance et la répétition comptent plus que le génie.
Si vous souhaitez le contexte de cette opération d’espionnage signalée, DualMedia propose une analyse ciblée de la affaire de cyberespionnage pilotée par l’IA. Considérez-la comme un avertissement sur les workflows, et non comme une preuve que les humains ont quitté la boucle.
Là où les hackers tirent le plus de valeur des agents
Les attaquants n’ont pas besoin d’un hacker robot sorti de la science-fiction. Ils ont besoin d’un système qui réduit l’attente, organise les découvertes et rend acceptable le travail peu qualifié. Franchement, cela suffit à causer des problèmes.
Le jeu de données de comptes bannis de Anthropic a cartographié l’activité activée par l’IA selon MITRE ATT&CK et a constaté un resserrement de l’écart de compétences. Les acteurs peu qualifiés utilisaient en moyenne environ 16 techniques ATT&CK distinctes, contre environ 20 pour les acteurs les plus qualifiés. Cet écart de quatre techniques est plus faible que ce que beaucoup d’équipes de sécurité souhaiteraient.
Les usages agentiques les plus précieux ne sont pas toujours les plus spectaculaires. Ce sont les tâches répétitives qui aident un opérateur à avancer plus vite sans comprendre pleinement chaque étape.
- Triage de la reconnaissance : résumer les domaines exposés, les services, les identifiants divulgués et la documentation publique dans des notes sur la cible.
- Support à la recherche de vulnérabilités : expliquer des avis de sécurité, comparer des versions logicielles et rédiger des plans de test sans garantir le succès d’un exploit.
- Gestion des identifiants : trier, étiqueter et vérifier le contexte de matériel volé ou obtenu par phishing.
- Préparation de malware : aider à la mise en place d’une structure, proposer des idées d’obfuscation ou de packaging, c’est pourquoi le chiffre de 67.3% lié à la préparation de malware est préoccupant.
- Analyse des données après l’accès : classer des documents, trouver des fichiers de grande valeur et transformer des données exfiltrées désordonnées en moyen de pression.
Il existe un écueil que beaucoup de présentations au niveau du conseil d’administration négligent : la vitesse des agents peut faire paraître les alertes individuellement moins suspectes. Une connexion, une liste de fichiers, une requête de service, un court script. Rien de cinématographique. L’anomalie apparaît dans le rythme et la coordination entre les systèmes.
Des chiffres qui mettent le risque en perspective
Les cyberattaques d’agents IA s’inscrivent dans un environnement de menaces qui s’accélérait déjà. Le Global Threat Report 2026 de CrowdStrike indique que le temps moyen d’eCrime breakout est tombé à 29 minutes en 2025, avec le breakout le plus rapide observé en 27 secondes. Le breakout time mesure la rapidité avec laquelle un intrus va au-delà de la machine initialement compromise.
Le Digital Defense Report 2025 de Microsoft a également identifié l’augmentation de l’utilisation de l’IA par les acteurs de la menace, la croissance des infostealers, le cybercrime-as-a-service et l’activité des États-nations comme thèmes majeurs. Ces catégories se renforcent mutuellement. Les infostealers fournissent des identifiants. Les services de cybercriminalité commercialisent l’accès. L’IA aide davantage d’acteurs à traiter ce qu’ils ont acheté ou volé.
Voici une vue compacte des chiffres publics les plus importants pour les défenseurs en 2026.
| Source | Année couverte | Chiffre communiqué | Pourquoi c'est important |
|---|---|---|---|
| Analyse d’usage malveillant Anthropic | 2025–2026 | 832 comptes bannis analysés ; 560 ont utilisé l’IA pour la préparation liée aux malwares | Montre un abus étendu au-delà de démonstrations isolées |
| Rapport GTG-1002 de Anthropic | 2025 | Environ 30 cibles ; l’IA utilisée pour environ 80–90% des opérations tactiques | Montre des flux de travail agentiques dans l’espionnage, avec des points de contrôle humains |
| Mappage MITRE Anthropic | 2025–2026 | Les acteurs peu qualifiés ont utilisé en moyenne environ 16 techniques ATT&CK ; les acteurs qualifiés, environ 20 | Suggère que l’IA réduit les écarts de compétences opérationnelles |
| Rapport mondial sur les menaces de CrowdStrike | 2025 | Temps moyen de compromission eCrime de 29 minutes ; le plus rapide observé à 27 secondes | Montre pourquoi une réponse à la vitesse de la machine est importante |
| Annonce du rapport Cognyte LUMINAR | Incidents de 2025, signalés en 2026 | Plus de 2 300 cyberincidents analysés à l’aide d’un renseignement sur les menaces assisté par IA générative | Indique que l’IA façonne aussi l’analyse défensive |
Un contre-argument mérite qu’on s’y attarde : la plupart des attaquants échouent encore souvent. Les agents hallucinent, interprètent mal le contexte, déclenchent des contrôles et génèrent des artefacts bruyants. Mais l’échec coûte peu lorsque le système peut essayer rapidement des variantes, et c’est précisément cet échec peu coûteux qui change l’économie de la cybercriminalité.
Les équipes rouges autonomes et le problème inconfortable du double usage
Les équipes de défense veulent aussi des agents. En mars 2026, Assail a annoncé Ares, une plateforme autonome d’équipe rouge décrite comme utilisant un modèle de sécurité offensive de 14 milliards de paramètres et jusqu’à 100 agents coordonnés par cible. Cette affirmation provenait d’une annonce de l’entreprise ; il faut donc la considérer comme un positionnement produit rapporté, et non comme une performance vérifiée de manière indépendante.
La logique défensive reste néanmoins solide. Si les attaquants peuvent utiliser une reconnaissance agentique et une simulation de chaîne d’attaque, les défenseurs ont besoin de moyens contrôlés pour tester des hypothèses similaires. La partie inconfortable est évidente : des outils qui valident les défenses peuvent aussi apprendre aux adversaires ce qui compte.
Des travaux universitaires publiés en 2026 sur les « agents hautement autonomes capables d’opérations cyber » ont défini les systèmes futurs comme des agents capables de mener des campagnes en plusieurs étapes sans direction humaine significative. Un autre article de 2026 sur les chaînes d’approvisionnement d’exécution de l’IA agentique considérait les agents eux-mêmes comme des surfaces d’attaque, notamment l’usage abusif d’outils, la compromission de la chaîne d’approvisionnement d’exécution et les risques de « Viral Agent Loop » auto-propagé.
Pour les dirigeants qui suivent les fournisseurs, le marché de la sécurité évolue déjà vers ce problème. La couverture de DualMedia sur les startups de cybersécurité suivies par les capital-risqueurs offre un contexte utile, tout comme son regard sur les entreprises publiques de cybersécurité positionné autour du cloud, de l’identité et de la détection.
Pourquoi l’identité devient le nouveau rayon d’explosion
Les cyberattaques menées par des agents IA ne concernent pas seulement les malwares. Elles concernent aussi les autorisations. Lorsqu’un agent peut lire des e-mails, interroger des dépôts, ouvrir des tickets, appeler des API ou déplacer des fichiers, il devient une identité logicielle dotée d’une portée étendue.
Le Top 10 d’OWASP pour les applications agentiques 2026 couvre la planification, l’utilisation d’outils, l’identité, la chaîne d’approvisionnement, l’exécution de code, la mémoire, la communication inter-agents, les défaillances en cascade, la confiance humain–agent et les agents malveillants. Cette liste est une carte pratique des points où les défaillances se produiront. Les sections consacrées à l’identité sont particulièrement préoccupantes, car de nombreuses organisations accordent encore un large accès aux comptes d’automatisation puis les oublient.
Cisco a annoncé des contrôles 2026 visant l’ère agentique, notamment la découverte des agents, l’IAM agentique dans Duo, l’application des politiques MCP et la protection adaptative contre les risques pour les interactions des agents avec les systèmes d’entreprise. Les noms des produits peuvent changer, mais la direction est la bonne : vous devez savoir quels agents existent, quels outils ils peuvent appeler et si leur comportement correspond au contexte utilisateur, système et métier.
L’accès piloté par machine met également en évidence les faiblesses des hypothèses existantes en matière de MFA. Pour un exemple connexe montrant pourquoi les contrôles d’authentification peuvent décevoir en pratique, voir l’analyse de DualMedia sur les limites du MFA de Microsoft 365. L’IA n’efface pas ces problèmes ; elle peut réduire le temps dont disposent les attaquants pour les exploiter.
Comment les défenseurs devraient réagir dès maintenant
Commencez par les contrôles qui rendent les abus agentiques coûteux. Vous n’avez pas besoin d’acheter chaque produit de sécurité IA estampillé 2026 ce trimestre. En revanche, vous avez besoin de visibilité sur les identités, les API, l’automatisation et tout rythme inhabituel.
Les équipes de sécurité devraient traiter les agents comme des acteurs, et non comme des documents. Un prompt n’est pas simplement du texte lorsqu’il peut déclencher un appel d’outil, écrire du code ou récupérer une mémoire sensible. Ce changement d’état d’esprit est plus important que la plupart des tableaux de bord.
Les mesures pratiques incluent la journalisation des actions des agents avec le même sérieux que les actions d’administration humaines, l’application du principe du moindre privilège à l’accès aux outils, l’isolation des environnements d’exécution des agents et l’exigence d’approbations pour les opérations à haut risque. Testez aussi les défaillances en cascade. Si un agent classe mal une requête, trois systèmes en aval peuvent-ils accepter la mauvaise sortie sans la remettre en question ?
Le zero trust a besoin de davantage de contexte pour les interactions autonomes. Un commentaire de TechRadar en juin 2026 soulignait ce point à propos des contrôles adaptatifs pour l’activité des agents pilotés par machine, et cela correspond à ce que constatent les praticiens. Les listes d’autorisation statiques vieillissent mal lorsque les agents peuvent changer de tâches, de sources de données et d’outils au sein d’un même workflow.
Pour les lecteurs particuliers et les petites entreprises, les bases comptent toujours. Des réseaux sécurisés, des appareils à jour et des paramètres prudents de récupération de compte n’arrêteront pas à eux seuls des opérateurs soutenus par un État, mais ils éliminent les voies les plus faciles. Le guide de DualMedia sur la sécurisation de votre connexion Internet est la couche peu glamour sans laquelle de nombreux incidents commencent encore.
La défense la plus solide à court terme est ennuyeuse par conception : inventorier les agents, restreindre les outils, surveiller le comportement et répéter la réponse à la vitesse des machines. À ce stade, acheter un « pare-feu IA » sans connaître vos comptes d’automatisation revient à mettre une serrure sur la porte d’entrée pendant que l’entrée de service reste ouverte.
FAQ
Des agents IA sont-ils déjà utilisés dans de véritables cyberattaques ?
Oui. Anthropic a signalé en 2025 que la campagne GTG-1002 liée à la Chine utilisait Claude Code dans un flux de travail agentique contre environ 30 cibles, l’IA prenant en charge environ 80–90% des opérations tactiques et des humains intervenant à des moments clés.
Qu’est-ce qui distingue les agents IA des outils de piratage classiques ?
Un outil classique exécute une fonction définie. Un agent d’IA peut planifier, appeler des outils, conserver le contexte, évaluer les résultats et choisir les étapes suivantes, ce qui le rend plus utile pour les activités cyber en plusieurs étapes.
Les agents d’IA peuvent-ils lancer des cyberattaques entièrement autonomes aujourd’hui ?
Les éléments de preuve publics en 2026 pointent davantage vers une autonomie dirigée par l’humain que vers des campagnes totalement indépendantes. Les travaux universitaires avertissent que des agents hautement autonomes dotés de capacités cyber pourraient abaisser encore davantage les barrières, mais les opérations dans le monde réel semblent toujours s’appuyer sur des décisions humaines pour les étapes sensibles.
Comment les entreprises devraient-elles détecter les cyberattaques d’agents IA ?
Recherchez un rythme inhabituel, des actions coordonnées de faible niveau entre les systèmes, une utilisation anormale de l’API et des comptes d’automatisation qui se comportent en dehors de leur rôle habituel. La détection doit combiner la télémétrie des identités, les journaux des terminaux, l’activité cloud et les enregistrements d’appels d’outils.
Les agents IA aident-ils aussi les défenseurs ?
Oui. Les défenseurs utilisent l’IA pour le triage des alertes, la veille sur les menaces, la simulation d’équipe rouge et l’analyse des incidents. Le risque est un double usage : la même automatisation qui aide les équipes de sécurité à aller plus vite peut aussi aider les attaquants à faire de même.
FR 
EN 
ES