Les failles de sécurité qui ont marqué l’année 2024

Cybersécurité

Les failles de sécurité qui ont marqué l’année 2024

L’année 2024 restera dans les annales de la cybersécurité comme l’une des plus turbulentes, avec des failles majeures ayant touché aussi bien des entreprises françaises que des géants mondiaux de la technologie. Entre vulnérabilités critiques exploitées par des acteurs malveillants et incidents impliquant directement des systèmes d’intelligence artificielle, le bilan est lourd. Retour sur les cyberattaques et failles de sécurité les plus marquantes de cette année.

1. La faille critique dans les infrastructures IA françaises

Début 2024, plusieurs startups françaises spécialisées dans l’intelligence artificielle ont été confrontées à des vulnérabilités critiques dans leurs pipelines de données. Des chercheurs en sécurité ont mis en évidence que certains modèles de traitement du langage naturel (NLP) déployés en production étaient exposés à des attaques de type prompt injection, permettant à des acteurs malveillants d’extraire des données sensibles d’entreprises clientes.

Cette découverte a poussé l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) à publier un guide de bonnes pratiques spécifique aux déploiements IA, une première en France. Le document, largement salué par la communauté tech hexagonale, recommande notamment un audit de sécurité systématique avant toute mise en production d’un modèle d’IA manipulant des données personnelles.

2. La compromission de bases de données publiques françaises

Au printemps 2024, une vaste opération de piratage a visé plusieurs bases de données appartenant à des organismes publics français. Des millions de données de citoyens — incluant noms, adresses et numéros de sécurité sociale — ont été exposées sur le dark web. L’incident a relancé le débat sur la souveraineté numérique et la nécessité de renforcer la sécurité des systèmes d’État, notamment ceux intégrant des briques d’intelligence artificielle pour le traitement automatisé des dossiers administratifs.

La CNIL a ouvert une enquête formelle, et plusieurs responsables informatiques ont été mis en cause pour défaut de mise à jour de systèmes pourtant signalés comme vulnérables depuis plusieurs mois.

3. Les LLM au cœur des nouvelles menaces

L’essor fulgurant des grands modèles de langage (LLM) en France a également ouvert de nouvelles surfaces d’attaque. En 2024, des chercheurs de l’INRIA ont démontré qu’il était possible d’empoisonner des modèles d’IA open source utilisés par des PME françaises, en injectant des données corrompues lors de la phase de fine-tuning. Cette technique, baptisée data poisoning, peut conduire à des prises de décision erronées dans des secteurs critiques tels que la finance, la santé ou la justice prédictive.

Face à cette menace croissante, des entreprises comme Mistral AI — fleuron de l’IA française — ont renforcé leurs protocoles de sécurité et multiplié les audits externes pour garantir l’intégrité de leurs modèles avant distribution.

4. La faille MOVEit et son impact sur les entreprises françaises

La vulnérabilité MOVEit Transfer, découverte fin 2023 mais dont les conséquences se sont étendues tout au long de 2024, a particulièrement touché des entreprises françaises du secteur de la logistique et des services financiers. Cette faille de type injection SQL a permis à des cybercriminels d’accéder à des volumes considérables de données confidentielles, causant des pertes estimées à plusieurs dizaines de millions d’euros pour les seules entreprises françaises concernées.

5. Les attaques par IA générative : un nouveau paradigme

2024 a également vu l’émergence d’attaques cybercriminelles assistées par intelligence artificielle générative. Des campagnes de phishing d’une sophistication inédite, générant des e-mails parfaitement rédigés en français et personnalisés selon les victimes, ont été recensées par plusieurs cabinets de cybersécurité hexagonaux. Ces attaques, difficiles à détecter par les filtres traditionnels, ont notamment ciblé des cadres dirigeants de grandes entreprises du CAC 40.

La société française Tehtris, spécialisée dans la cybersécurité augmentée par l’IA, a publié un rapport alarmant indiquant une augmentation de 340% des tentatives d’hameçonnage générées par IA sur le territoire français au cours du premier semestre 2024.

Quelles leçons tirer pour 2025 ?

Face à ce panorama préoccupant, plusieurs enseignements s’imposent pour les acteurs français du numérique :

  • Intégrer la sécurité dès la conception des systèmes IA (Security by Design).
  • Former les équipes aux spécificités des menaces liées à l’IA générative.
  • Collaborer avec l’ANSSI pour bénéficier des derniers référentiels de sécurité adaptés aux enjeux de l’IA.
  • Auditer régulièrement les modèles d’IA en production pour détecter tout signe d’empoisonnement ou de dérive.
  • Adopter une approche de souveraineté numérique, en privilégiant des solutions françaises et européennes certifiées.

L’année 2024 aura été un électrochoc salutaire pour la France en matière de cybersécurité liée à l’IA. Les pouvoirs publics, les entreprises et les chercheurs semblent désormais mieux armés pour faire face aux défis qui s’annoncent en 2025, dans un contexte où l’intelligence artificielle occupe une place toujours plus centrale dans nos infrastructures numériques.