.png)
Par Haas Avocats
L’essor de l’intelligence artificielle (IA) ne touche pas uniquement les simples usages bénéfiques. En effet, cette nouveauté vient désormais alimenter une nouvelle génération de ransomwares, plus rapides, plus sophistiqués et plus complexes à contrer.Une série de rapports[1] confirme par ailleurs que les cybercriminels se saisissent de l’IA afin d’industrialiser et d’optimiser leurs attaques, posant un défi majeur pour les entreprises, les RSSI et la réglementation applicable en matière de cybersécurité.
Une menace dopée à l’IA : les rançongiciels franchissent un cap
Des attaques plus rapides, plus ciblées
D’après l’étude State of Ransomware 2025 de CrowdStrike, 78 % des entreprises interrogées ont subi une attaque par ransomware au cours des 12 derniers mois. Dans la moitié des cas, les entreprises se considéraient pourtant comme « très bien préparées ».
L’étude Security Priorities 2025 (CSO) révèle que 38 % des RSSI identifient désormais les ransomwares alimentés par l’IA comme étant leur principale préoccupation.
Un effet d’accélération sans précédent
Selon CrowdStrike, l’IA réduit drastiquement le « temps jusqu’au chiffrement » d’un système infecté, passant de plusieurs heures à quelques minutes seulement. Une autre étude[2], estimait le « temps jusqu’à la rançon » moyen à 17 heures, certaines attaques tombant à 4 ou 6 heures seulement.
L’IA permet également de générer des campagnes de phishing d’un réalisme saisissant et d’automatiser des phases entières de l’attaque (comprenant l’intrusion, la propagation, etc.), les infrastructures traditionnelles de sécurité parfois mises en place par les entreprises peinent donc à s’adapter à cette fulgurance.
Le mirage de la préparation des entreprises
Bien que 50 % des entreprises augmentent leur budget cybersécurité après une attaque, seules 38 % identifient ou corrigent les causes profondes de l’attaque. En outre, près de 83 % des entreprises ayant payé une rançon ont subi une nouvelle attaque.
L’IA criminelle, un défi pour le droit : vers une adaptation nécessaire des normes
Un cadre juridique encore insuffisant face aux attaques assistées par IA
L’introduction massive d’IA générative dans les attaques, tels que les deepfakes audio/vidéo notamment, met à l’épreuve les réglementations juridiques applicables actuelles.
Ainsi, bien que le Code pénal incrimine déjà l’accès et le maintien frauduleux dans les systèmes automatisés ou encore la diffusion de malwares[3], il n’est pas encore prévu de règles spécifiques sur l’usage de l’IA à fins cybercriminelles.
Des obligations renforcées pour les entreprises en matière de cybersécurité
La réglementation existante, qu’elle soit sectorielle[4] ou européenne[5], impose aux entreprises des obligations de sécurisation des données et de notification des violations.
Pour en savoir plus sur les réglementations applicables imposant aux entreprises des obligations de sécurité des données, consultez nos articles dédiés ici et ici.
Néanmoins, la gestion proactive de la menace IA appelle une mise à jour des normes applicables, notamment par la détection automatisée renforcée, par la mise en œuvre d’audit des systèmes d’IA employés en interne comme en externe, ou la mise en place d’une documentation des processus, etc.
Vers un nouveau cadre juridique pour contrer l’IA malveillante
Selon les études citées, 82 % des entreprises estiment que le phishing assisté par IA est désormais indétectable par l'humain. Cette mutation tend alors à renforcer la tendance à l’automatisation dans les outils de cybersurveillance. Or, ce glissement pose des questions juridiques sur la responsabilité, la certification des algorithmes de défense ou le partage d’informations interentreprises à l’échelle européenne.
Cette émergence de ransomwares dopés à l’IA démontre les limites d’un cadre normatif conçu pour une cybercriminalité « artisanale ». La régulation juridique doit donc évoluer afin d’intégrer cette hausse de sophistication, d’efficacité et de rapidité, en repensant la responsabilité des acteurs, en encadrant les usages d’IA criminelle et en harmonisant les standards de cybersécurité à l’échelle européenne. Désormais, l’enjeu premier est de savoir si le droit saura s’adapter à cette nouvelle course initiée par l’IA malveillante, avant que celle-ci ne prenne définitivement l’avantage…
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne les acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Ces récentes études ont été réalisées et menées par CSO et CrowdStrike,
[2] Etude HUNTRES, 2025, 67aa514b46df295dec2273e4_Huntress-2025-Cyber-Threat-Report.pdf
[3] art. 323-1 et s. du Code pénal
[4] NIS 2 ou DORA, réglementations européennes sectorielles
[5] RGPD, relatif à la protection des données personnelles
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(55).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(51).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(48).png)
.png?width=110&name=Neurotech%20%20au%20coeur%20de%20lesprit,%20aux%20fronti%C3%A8res%20du%20droit%20(47).png)
