Sur 832 comptes bannis entre mars 2025 et mars 2026, Anthropic a cartographié, avec le framework MITRE ATT&CK, comment les acteurs malveillants exploitent l’IA à chaque étape d’une cyberattaque. Les résultats, publiés dans le rapport Verizon DBIR 2026, révèlent une accélération marquée du niveau de risque global sur la période.
Pour résumer
- 67,3 % des comptes malveillants ont utilisé l’IA pour écrire des logiciels malveillants
- La part d’acteurs à risque moyen ou élevé a augmenté de 33 % à 56 % en six mois
- Les comportements d’orchestration agentique restent sans classification dans MITRE ATT&CK
Un an d’activité malveillante sous surveillance
Entre mars 2025 et mars 2026, Anthropic a passé en revue 832 comptes bannis pour activité malveillante, en cartographiant leurs techniques selon le référentiel MITRE ATT&CK, afin de documenter de façon systématique comment ces acteurs utilisaient l’IA dans leurs opérations. Les résultats ont été intégrés au Data Breach Investigations Report 2026 de Verizon, la publication de référence annuelle sur les violations de données et l’état de la menace cyber.
L’intérêt de l’étude tient à sa durée. Un an d’observation permet de mesurer une trajectoire plutôt qu’un simple instantané. La question centrale n’était pas de savoir si l’IA est utilisée dans les cyberattaques, ce qui ne fait plus débat, mais à quelle vitesse les pratiques évoluent et si le niveau de risque des acteurs se modifie dans le temps.
Le premier résultat est sans ambiguïté. Au cours du premier semestre de la période, 33 % des acteurs bannis étaient classifiés à risque moyen ou élevé. Au second semestre, cette proportion atteignait 56 %. Une multiplication par 1,7 en six mois. L’IA ne se contente pas de rendre les attaques plus simples à initier ; elle accélère visiblement la montée en compétence des profils intermédiaires.
L’analyse révèle aussi un écart technique persistant entre niveaux d’expertise. Les acteurs les moins expérimentés mobilisaient en moyenne 16 techniques distinctes, contre environ 20 pour les plus avancés. L’IA comprime l’écart sans l’effacer. Ce qui change, c’est la cadence à laquelle des profils auparavant limités peuvent désormais progresser.
Dernier point notable sur la méthodologie : le choix du canal d’accès (Claude Code, API directe ou interface de chat) ne corrèle pas avec le niveau de risque évalué. Ce qui détermine la dangerosité d’un acteur, c’est la finalité de l’usage, pas le mode par lequel il accède à l’outil.
L’IA bascule vers le post-compromise
L’usage dominant de l’IA dans les 832 comptes analysés concerne la création de logiciels malveillants. 560 acteurs, soit 67,3 % du total, ont utilisé des modèles d’IA pour écrire ou améliorer du code d’attaque. Ce chiffre marque une normalisation : la génération assistée de malware n’est plus réservée aux groupes les plus avancés.
Un second usage émerge avec force : 54 acteurs, soit 6,5 % des comptes bannis, ont utilisé l’IA pour des opérations de mouvement latéral à l’intérieur des réseaux compromis. Cette technique consiste à se déplacer de système en système après une première intrusion pour atteindre des cibles plus sensibles. Son automatisation partielle représente un changement qualitatif dans les capacités offensives disponibles à des profils intermédiaires.
Les données indiquent par ailleurs un déplacement stratégique dans les usages. L’usage de l’IA dans le phishing a reculé de 8,6 %, tandis que son usage pour la découverte de comptes cibles a progressé de 8,9 %. Les attaquants déplacent leur investissement en IA de l’initiation de l’attaque vers ce qui vient après l’intrusion initiale.
Ce glissement a des implications directes pour les équipes de défense. Les dispositifs centrés sur la détection du phishing perdent en pertinence si la menace IA s’est déplacée vers la persistance et la propagation dans les systèmes. C’est précisément le type de risque que visait Claude Mythos, déployé dans 15 pays pour analyser les vulnérabilités dans des infrastructures critiques.
À court terme, les organisations qui évaluent leur exposition au risque cyber uniquement à travers le prisme du phishing laissent une partie significative de leur surface d’attaque sans surveillance adaptée. Le déplacement de la menace vers l’aval de la chaîne d’attaque est documenté et en cours.
À voir également sur Horizon :
- MiniMax M3 : un modèle open-weight chinois tient tête aux leaders propriétaires
- Instagram : le chatbot Meta AI est devenu la faille
- Trump signe son executive order IA, allégé sous pression
Ce que MITRE ATT&CK ne sait pas encore capturer
Le résultat le plus structurant du rapport concerne les limites du framework MITRE ATT&CK dans sa forme actuelle. Une opération state-sponsored documentée en novembre 2025 a été mappée sur 30 techniques ATT&CK réparties sur 13 tactiques, lui valant un score de risque maximal de 100.
Le problème : avant cette analyse approfondie, cette même opération avait été évaluée comme représentant un risque moyen. L’écart entre l’évaluation initiale et le score final illustre une faille structurelle dans les méthodes de détection actuelles. Les techniques agentiques ne remontent pas suffisamment tôt dans les premières couches d’analyse.
Plus fondamentalement, les comportements d’orchestration agentique ne disposent pas encore de catégorie propre dans ATT&CK. Ces séquences d’actions autonomes enchaînées par un agent IA, sans intervention humaine à chaque étape, sont pourtant documentées dans des opérations réelles. Le framework est structurellement en retard sur les pratiques offensives actuelles.
Ce vide de classification a un impact opérationnel direct. Un incident impliquant une orchestration agentique peut traverser les systèmes de détection sans déclencher d’alerte, faute de signature connue. Les équipes de sécurité qui s’appuient sur ATT&CK pour concevoir leurs règles n’ont pas de modèle de référence pour ces comportements. La régulation ne comble pas ce vide, comme l’illustre l’executive order signé la semaine dernière sur les revues de sécurité IA, fondé sur des évaluations volontaires sans traitement spécifique des agents autonomes.
À moyen terme, la mise à jour du framework s’impose comme un chantier prioritaire. Les six prochains mois permettront de mesurer si la communauté sécurité commence à intégrer des catégories dédiées aux comportements agentiques dans ses outils de détection et ses processus de réponse aux incidents.
Affaire à suivre sur Horizon.
