Panocrim 2026 : IA, l’amplificateur des cyber-risques

Tous les ans, le Clusif publie une étude sur un état des lieux des cyber-menaces : le Panocrim. L’édition 2026 a été présentée au Campus Cyber Paris La Défense jeudi 15 janvier 2026. Les cyber-risques classiques sont évidemment toujours présents mais des nouveautés voient leur place s’accroître d’année en année. Même si on est à la limite des préoccupations de la cybersécurité, les attaques informationnelles (désinformation, dénigrement public…) sont ainsi parmi les grandes tendances. Et, sans surprise, l’intelligence artificielle est aujourd’hui un outil largement employé par les cybercriminels et les acteurs étatiques hostiles selon plusieurs modalités.

Marc-Antoine Brillant, chef du service Viginum, a eu l’honneur d’ouvrir les présentations. L’objectif de ce service à compétence nationale (SCN), rattaché au SGDSN comme l’ANSSI, est de protéger le débat public contre les attaques informationnelles. Il s’agit notamment de détecter et caractériser les ingérences numériques étrangères. « Depuis 2017, pas un seul scrutin électoral n’a été épargné par de telles attaques » a-t-il mentionné. Ces attaques sont rendues possibles par le fait même que nous soyons en démocratie avec un débat ouvert et sont amplifiées par les algorithmes de réseaux sociaux. L’émergence de l’IAG facilite la production de contenus faux ou altérés réalistes en grande quantité. L’IA, plus généralement, permet également d’administrer de nombreux comptes émetteurs de contenus pervertis.

La géopolitique et les ingérences étrangères en cybersécurité

Deuxième intervenant, un colonel de la Direction du Renseignement et de la Sécurité de la Défense (DRSD) au Ministère des Armées a enfoncé le clou sur le sujet des ingérences étrangères et des cybermenaces associées. Ces ingérences sont d’une part des attaques informationnelles comme mentionnées par Viginum, mais également des sabotages d’infrastructures (y compris télécoms) voire du terrorisme au sens strict. La DRSD mène des opérations de contre-ingérence. Ce colonel a notamment rappeler que les PME étaient particulièrement visées par les attaquants soit comme cibles soit comme relais pour cibler des entreprises plus grandes. Le CERT Défense a ainsi été monté pour protéger les PME opérant dans ce secteur particulièrement sensible.

La cybersécurité et la résilience IT sont devenues l’otage des crises géopolitiques. Les lois à effet extra-territorial était la principale menace sur la confidentialité des données dans l’usage de produits américains. Désormais, la folie des sanctions (par exemple contre un juge de la Cour Pénale Internationale) peut amener un blocage brutal des outils d’origine américaine : ce risque sur la résilience IT n’est plus négligeable. Bien entendu, les cyber-criminels, les organisations de cyber-attaquants affiliés à des Etats voire les services secrets d’Etats hostiles demeurent des menaces importantes. La Corée du Nord a mené des opérations d’infiltration parfois assez étranges. L’Iran et Israël s’opposent aussi dans le cyber-espace. La Chine, la Russie et l’Iran opèrent des sabotages de réseaux tels que Starlink.

L’IA, un facilitateur et un amplificateur

Dans ce contexte bien sombre, l’émergence de l’IA est à la fois un facilitateur et un amplificateur. Comme Gérôme Billois, cybersecurity partner chez Wavestone, l’a rappelé, l’IA permet un renouveau des attaques classiques et l’ouverture de nouvelles surfaces d’attaques. 2025 a été l’année de concrétisation des menaces qui avaient été anticipées les années passées. Les attaques classiques sont ainsi accélérées, amplifiées et automatisées. Et, côté attaques nouvelles, on voit le piratage des agents IA, des robots et des navigateurs IA. Même le Gartner, peu enclin à limiter les usages de nouveautés, appelle à limiter l’usage des navigateurs IA.

Un problème particulier concerne les IAG. Celles-ci ont une interface avec l’humain qui est le prompt. Mais le prompt sert autant à les administrer qu’à les utiliser. On peut donc détourner un prompt pour reconfigurer une IA sans que la cybersécurité ne puisse l’empêcher. Heureusement, l’IA est aussi une arme dans la lutte contre les cybermenaces. Elle est ainsi particulièrement efficace dans la recherche de failles lors de bug bountys.

Mythes, légendes et réalités des cyber-attaques

Le Panocrim est l’occasion de dresser un bilan des réalités des cyber-attaques. Parmi celles qui demeurent de réelles menaces, celles dites par supply-chain sont particulièrement dangereuses. Il s’agit, par exemple, de corrompre des briques logicielles utilisées ultérieurement par de nombreux développeurs. Des modules ainsi corrompus ont réalisé des extractions de données en toute discrétion. Il en est de même avec les appstores qui peuvent permettre d’infecter les terminaux avec des logiciels corrompus.

En 2025, les vols de données et les cryptolockings ont été particulièrement nombreux en France comme à l’étranger. Le distributeur britannique Marks & Spenser a ainsi été paralysé durant six semaines. La production de bière par Asahi a aussi été bloquée. Mais, à l’inverse, des incidents se sont révélés sans lien avec des cyber-attaques, malgré parfois des revendications abusives et mensongères. On peut ainsi citer la panne électrique géante en Espagne ou le plantage de nombreux sites web à cause de la panne Cloudflare. S’il peut y avoir une recherche de dénigrement, un revendication abusive peut aussi servir à « crier au loup » afin que les cyber-attaques réelles ultérieures ne soient plus prises au sérieux.

Des préjudices importants

A ce jour, 137 groupes cybercriminels actifs sont recensés dans le monde. Des anciens groupes se scindent, notamment suite à des vagues d’arrestations. D’autres s’unissent, parfois en cumulant des expertises. Le « crime as a service » se développe toujours. La chasse aux cybercriminels a mobilisé un investissement de 274 millions de dollars par le FBI en 2025 ! Le FBI a même créé une start-up proposant un système de communication chiffré aux cybercriminels, système qu’il pouvait déchiffrer bien entendu. De belles opérations internationales ont été menées comme l’opération Endgame qui a associé huit pays.

La fuite de données a entraîné un préjudice cumulé, dans le monde, de l’ordre de 118 milliards de dollars en 2025. En France, on estime que plus de 15 millions d’identifications de personnes ont été volées. La CNIL, de ce point de vue, revient largement aux fondamentaux en sanctionnant fortement les manquements en sécurité, ce qui est arrivé à Illiad (voir encadré).