Lorsque les armées américaine et israélienne ont lancé une vaste campagne aérienne et maritime contre l’infrastructure militaire iranienne fin février 2026, les missiles n’étaient pas les seules armes en vol. En quelques heures, plus de 60 cybergroupes liés à l’Iran ont été mobilisés, équipés d’outils de reconnaissance basés sur l’IA et de missions de contre-attaque pour frapper les systèmes neuronaux des entreprises américaines les plus vulnérables, selon la 42e unité de Palo Alto Networks.
En quelques heures, les agences de cybersécurité du Royaume-Uni et du Canada ont toutes deux mis en garde contre une augmentation des niveaux de menace, suivies par des avertissements similaires d’Europol et du ministère de la Sécurité intérieure.
Pour un PDG du Fortune 500, le message ne pourrait être plus clair ni plus inquiétant. La guerre en Iran a ouvert la boîte de Pandore d’une cyberguerre alimentée par l’IA, mais aucun pare-feu, aussi coûteux soit-il, n’est construit pour la suite.
Nouveau modèle d’attaque
La cyberstratégie iranienne a déjà fait sa première grande victime commerciale. Comme l’a rapporté pour la première fois le Wall Street Journal et l’a confirmé l’entreprise, la perturbation des opérations du géant américain de la technologie médicale Stryker par des pirates informatiques iraniens est un signe qui donne à réfléchir que le secteur privé est carrément ciblé.
Selon la société de renseignement sur les menaces Flashpoint, des pirates informatiques iraniens ont mené une attaque sophistiquée « sans malware » contre Stryker en militarisant Microsoft Intune, un service légitime de gestion des points de terminaison basé sur le cloud, et en effaçant à distance les appareils du réseau de l’entreprise, plutôt que le code malveillant traditionnel. Cette attaque a fait frissonner les services informatiques de toutes les entreprises américaines. Les outils que vous utilisez pour gérer votre propre infrastructure pourraient désormais s’adresser à vos utilisateurs.
Les analystes préviennent que le modèle le plus effrayant n’est pas une violation de données traditionnelle, mais une campagne coordonnée visant à détruire la confiance dans les organisations de l’intérieur. Des groupes de pirates informatiques parrainés par l’État iranien, dont Void Manticore, également connu sous le nom de Handara, ont déjà lancé des attaques de type ransomware, des opérations de déni de service distribué et des attaques « wiper » conçues pour effacer définitivement les données des serveurs d’entreprise. Il ne s’agit pas d’opérations de type smash-and-grab. Ce sont des jeux psychologiques à l’échelle de l’entreprise.
Selon Flashpoint, l’équipe de piratage de Handara a revendiqué la responsabilité de l’infiltration du « trésor secret » du Mossad et de la fuite de 50 000 courriels classifiés. Dans une escalade effrayante, le groupe a également affirmé avoir déterminé les coordonnées géographiques exactes de la cible grâce à une cyberreconnaissance, suivie d’une attaque de missile cinétique. En d’autres termes, la cyberguerre et la guerre physique ne sont plus des domaines distincts.
Brian Carbaugh, co-fondateur et PDG de la société de sécurité basée sur l’intelligence artificielle Andesight et ancien directeur du centre d’activités spéciales d’élite de la CIA, a précédemment déclaré au magazine Fortune que « la résistance agressive et créative est ancrée dans la philosophie de l’appareil de sécurité iranien ». « Les chefs d’entreprise et les personnes qui protègent les entreprises et prennent les décisions aux plus hauts niveaux doivent être préparés à ce que cette situation perdure pendant un certain temps et à ce que les conflits prennent des directions différentes et dévieront de leur cap. »
L’IA est un excellent niveleur et amplificateur de grandes menaces
Ce qui distingue ce conflit des cyberpoints chauds précédents est le rôle de l’intelligence artificielle (IA) des deux côtés du champ de bataille. Les militaires américains et israéliens ont utilisé la plateforme d’intelligence artificielle de Palantir et le système intelligent Maven du Pentagone pour mener plus de 15 000 frappes aériennes avec une précision étonnante depuis le début de la guerre, selon Shimon Sherman, chroniqueur sur la sécurité au Jewish News Syndicate. L’IA a réduit la « chaîne de destruction » de l’armée de quelques jours à quelques minutes, a-t-il ajouté (l’Iran a également utilisé sa puissance de feu pour cibler des centres de données aux Émirats arabes unis).
Cependant, la société de cybersécurité CloudSek a affirmé dans un article de blog que la même compression était désormais disponible pour les mandataires iraniens et tout groupe de pirates informatiques disposant d’un ordinateur portable et d’un accès à un pipeline de reconnaissance IA. Les outils d’IA ont considérablement réduit les obstacles à l’identification et à l’exploitation des systèmes de contrôle industriels exposés, des informations d’identification par défaut et des infrastructures d’entreprise connectées à Internet aux États-Unis. Les groupes menaçants qui n’avaient auparavant aucune expérience dans les systèmes de contrôle industriel deviennent désormais des attaquants sophistiqués pratiquement du jour au lendemain.
Flashpoint a déclaré que le groupe de résistance cyber-islamique 313, aligné sur l’Iran, avait revendiqué la fermeture complète du site officiel de l’armée britannique, une indication claire que les institutions alignées sur l’État et les infrastructures gouvernementales critiques étaient leurs principales cibles.
le défenseur est déjà derrière
Ce qui rend l’environnement de menace actuel particulièrement dangereux pour les entreprises américaines, c’est la convergence simultanée des perturbations physiques et cybernétiques. Rien que le 17 mars, une attaque de drone contre la plateforme pétrolière de Fujairah, aux Émirats arabes unis, a interrompu les opérations de raffinage. Un méthanier battant pavillon koweïtien a été endommagé par des débris de drones près du détroit d’Ormuz. Et l’ambassade américaine à Bagdad a subi la plus grande attaque depuis le début de la guerre. Il ne s’agit pas d’événements géopolitiques abstraits, mais d’impacts directs sur les chaînes d’approvisionnement énergétique qui sous-tendent le commerce mondial.
« Le conflit est entré dans une phase où l’impact économique et opérationnel deviendra plus prononcé », a déclaré mercredi le PDG de Flashpoint, Josh Lefkowitz. « Nous constatons déjà des perturbations sur les principaux pôles de transport, une pression sur les routes de transport mondiales et une cyberactivité ciblant les entreprises privées, créant des effets d’entraînement sur les chaînes d’approvisionnement, les voyages et les activités commerciales quotidiennes. Pour les organisations de la région, l’environnement de risque comprend à la fois les perturbations physiques et la cyberactivité. »
Le moment ne pourrait pas être pire pour les entreprises américaines. L’Agence de cybersécurité et de sécurité des infrastructures (CISA), la principale agence fédérale de cyberdéfense, a été entravée par des congés, des changements de direction et les effets persistants d’une fermeture partielle du gouvernement. Autrement dit, la cavalerie est en sous-effectif et est en cours de réorganisation.
Pendant ce temps, la chaîne de commandement iranienne a été dévastée par les attaques de la coalition, notamment le retrait d’Ali Larijani et du commandant de la milice Basij Gholamreza Soleimani, rendant paradoxalement la menace plus dangereuse que moindre. Kathryn Rains, ancienne experte de la NSA et actuelle chef de l’équipe de renseignement sur les menaces chez Flashpoint, a déclaré à Amanda Gelt de Fortune que « le vide de leadership de l’Iran conduira probablement à des attaques par procuration distribuées encore plus imprévisibles ». La décentralisation signifie qu’il est difficile de prédire, difficile d’identifier la cause et difficile d’arrêter.
Le président Trump a également accusé l’Iran d’utiliser l’IA comme arme de désinformation et de travailler avec les médias pour façonner le récit du conflit. Ce n’est plus seulement le réseau qui est désormais visé, mais aussi la réputation de l’entreprise.
Les essentiels de la salle de réunion
Chaque PDG du Fortune 500 participant à une réunion du conseil d’administration cette semaine est confronté à la même dure réalité. Autrement dit, la guerre en Iran a changé à jamais le paysage des cybermenaces. L’IA a non seulement rendu les attaques plus rapides, mais aussi moins coûteuses et plus furtives, leur donnant accès à un vaste écosystème d’agents étatiques et de hacktivistes opportunistes qui partagent la même boîte à outils soutenue par l’IA.
La boîte de Pandore a été ouverte. La question n’est pas de savoir si la prochaine attaque majeure contre les entreprises américaines aura lieu, mais si les dirigeants seront prêts quand elle se produira.
Reportage supplémentaire fourni par Amanda Gerut.
