Ce que révèlent les données d'Anthropic sur l'IA des attaquants pour la détection, par Lucie Cardiet

Article coécrit par ZackAbzug, Fabien Guillot et Alex Groyz.

---

Le 3 juin 2026, Anthropic a publié le « LLM ATT&CK Navigator », un rapport couvrant une année d’activité réelle d’attaquants provenant de 832 comptes qu’elle a bannis pour utilisation malveillante, mis en correspondance avec MITRE ATT&CK. Il s’agit du compte rendu public le plus clair à ce jour sur ce que les attaquants demandent réellement à un modèle d’IA de faire. Nous l’avons lu attentivement, avons comparé nos notes, et deux éléments importants pour la détection ont retenu notre attention.

Tout d'abord, l'utilisation de l'IA par les attaquants reste concentrée là où vous ne pouvez pas la voir : sur leurs propres machines, où ils développent les malware les outils qui leur permettent de contourner vos défenses.
Deuxièmement, lorsque l'IA est utilisée pour faciliter les actions menées après une intrusion, il s'agit des mêmes actions que celles menées par des pirates informatiques classiques, et des mêmes actions que celles que les systèmes de détection des menaces réseau et d'identité sont conçus pour repérer.

La suite de cet article présente trois enseignements tirés de ces données, ainsi que l'efficacité de la détection une fois qu'une attaque a atteint votre environnement.

Point à retenir n° 1 : l'IA sert principalement à se faire admettre, et ça marche

L'utilisation la plus courante de l'IA dans l'ensemble de données concernait le développement de capacités, principalement la création malware: 69 % des acteurs étudiés. Venaient ensuite, de très près, l'obfuscation de code (64,7 %), l'extraction de données à partir des propres systèmes de l'attaquant (55,9 %) et la neutralisation des défenses (54,9 %). Le contournement des défenses était la tactique la plus répandue, utilisée par 84,4 % des acteurs.

Mettez tout cela bout à bout et le tableau se dessine. La plupart des IA d’attaquants utilisées aujourd’hui visent un seul objectif : créer malware contourner endpoint et malware s’infiltrer dans un environnement. Il s’agit d’une phase de préparation qui se déroule sur une infrastructure qui ne vous appartient pas. Elle ne traverse pas votre réseau, n’affecte pas votre fournisseur d’identité et n’apparaît pas dans vos journaux. Vous ne pouvez pas détecter un modèle en train d’écrire une charge utile sur une machine que vous ne contrôlez pas, et vous n’en avez d’ailleurs pas besoin.

Mais il y a une conséquence dont vous devez tenir compte. Si l’IA permet aux attaquants de développer plus efficacement et plus rapidement des techniques capables de contourner l’EDR, ils seront plus nombreux à parvenir à s’infiltrer. L’approche réaliste consiste à partir du principe que le système a été compromis. La question n’est plus de savoir si une menace parviendra à passer, mais ce que vous serez en mesure de détecter une fois que ce sera le cas. C’est le cas d’une couche de détection qui fonctionne au sein même de l’environnement, après l’accès initial, en se basant sur le comportement plutôt que sur des signatures.

Point à retenir n° 2 : l'IA s'implante de plus en plus en aval de la chaîne de destruction

Ces premières données constituent un instantané, et non une conclusion définitive. En comparant le premier semestre au second, le rapport montre que les pirates ont davantage recours à l’IA à un stade plus avancé de l’opération, c’est-à-dire lors des activités pratiques menées une fois qu’ils ont pénétré dans le système. La découverte de comptes et l’exfiltration automatisée ont toutes deux augmenté au cours du second semestre.

C’est cet aspect qui importe pour un SOC, car ce sont les techniques rares qui sont les plus dangereuses. L’utilisation de l’IA pour les mouvements latéraux constituait le marqueur le plus significatif d’un acteur à haut risque : les 54 acteurs qui y avaient recours présentaient un score de risque moyen de 56,4, soit près de dix points au-dessus de la moyenne de 46,8. Au niveau des techniques, les acteurs les plus risqués s’appuyaient sur des services à distance tels que SSH et SMB, des comptes valides, le « dumping » d’identifiants et la mise en place de données intermédiaires pour exfiltrer des informations. Chacune de ces techniques était trois à cinq fois plus fréquente chez eux que chez les autres.

Un cas permet d’illustrer cela. Anthropic décrit GTG-1002, l’opérateur à l’origine d’une campagne d’espionnage pilotée par l’IA qu’elle a déjouée en novembre 2025 et qui visait des cibles gouvernementales et des infrastructures critiques. La liste des techniques utilisées n’avait rien d’exceptionnel. Ce qui le distinguait, c'était son mode de fonctionnement : l'opérateur exécutait Claude Code sur une machine sous Kali Linux, connectait des outils de tests d'intrusion en tant que serveurs MCP, puis laissait le modèle analyser le système, exploiter une faille pour accéder au réseau interne, récolter des identifiants et se déplacer latéralement, tandis qu'un humain se contentait de définir la direction à suivre. La reconnaissance et le cheminement vers l'implantation étaient pilotés par l'IA dès le début.

Reconnaissance d'Active Directory, découverte de comptes, déplacement latéral, exfiltration : voilà le domaine dans lequel la détection réseau excelle. Alors que de plus en plus d'acteurs intègrent l'IA à ces dernières étapes — et la tendance va clairement dans ce sens —, la détection réseau et la détection des identités gagnent en importance, et non l'inverse.

Le fil conducteur : l'identité

Un thème commun relie ces deux volets : l’identité. Les flux de travail Cloud l’IA passent par les utilisateurs, les entités de service et les identités gérées. Les données d’Anthropic montrent que les comptes valides constituent l’une des techniques les plus souvent associées aux acteurs à haut risque, et qu’un agent agissant au sein de votre environnement doit tout de même s’authentifier, accéder aux services et se comporter comme un compte.

C'est important, car cela ne dépend pas de la surface d'un produit en particulier. Que l'attaquant soit un être humain ou un agent, que la charge de travail concerne une cloud ou un service d'IA, le signe révélateur est le même : une identité utilisée depuis un emplacement inapproprié, accédant à un élément avec lequel elle n'a aucun antécédent, et se comportant de manière inhabituelle. C'est dans la détection des identités et des comportements suspects que tout cela converge.

Où s'étend la couverture

Comme Anthropic a mis en correspondance ses conclusions avec les identifiants de techniques MITRE, et que Vectra associe à chaque détection les mêmes identifiants, les deux sources concordent. En ce qui concerne les techniques post-intrusion qui permettent d’identifier les acteurs malveillants, la couverture est très complète. Vous n’avez pas accès aux premières étapes, largement basées sur l’IA, mais dès qu’une opération utilisant l’IA commence à se dérouler au sein de votre réseau, elle génère un comportement que Vectra est conçu pour détecter.

Technique à haut risque	Identifiant ATT&CK	À quoi cela ressemble dans votre environnement	Où cela se manifeste
Services à distance (SSH/SMB)	T1021	Un compte utilise des protocoles d'administration pour accéder à des systèmes avec lesquels il n'a jamais interagi auparavant	Exécution à distance suspecte, Bureau à distance suspect, Administrateur suspect
Comptes valides	T1078	Un compte réel est utilisé à partir d'un serveur, d'un emplacement ou d'un service inhabituel	Anomalie de privilèges (hôte inhabituel, compte inhabituel sur l'hôte, service inhabituel, trio inhabituel), connexion suspecte dans Azure AD, accès présumé compromis dans Azure AD
Vide de données d'identification du système d'exploitation	T1003	Les informations d'identification sont extraites des hôtes	Détection des anomalies liées aux privilèges
Archiver les données collectées	T1560	Les données sont préparées et compressées avant d'être transmises	Contrebandier de données, vol à l'arraché
Exploitation des services à distance	T1210	Un hôte interne transmet un exploit à un autre et télécharge une étape suivante	Réplication automatisée, Stage Loader
Recherche de comptes	T1087	Recensement rapide des comptes via Kerberos, SMB, LDAP ou RPC	Analyse des comptes Kerberos, analyse des comptes SMB, requête LDAP suspecte, reconnaissance RPC
Exfiltration automatisée	T1020	Transfert sortant volumineux ou automatisé vers une destination non fiable	Cambriolage éclair, trafiquant de données

Une technique nécessite une note de bas de page. Le déploiement d’un shell Web (T1505.003) ne dispose pas d’une détection Vectra dédiée : l’installation s’effectue souvent endpoint, bien que le canal de commande et de contrôle qu’il crée apparaisse dans les catégories « Tunnel HTTPS caché » ou « Accès distant externe ». Les attaques par réplication de domaine DCSync et DCShadow apparaissent dans la catégorie « Opérations Active Directory suspectes », que Vectra associe à T1207 et à la tactique « Accès aux identifiants ».

GTG-1002 correspond à ce profil. Les services SSH à distance, l'exploitation de services à distance, la collecte d'identifiants et la technique « archive-and-stage » sont autant de comportements que ces détections sont conçues pour mettre en évidence, que l'opérateur soit une personne ou un modèle agissant via un serveur MCP.

Les techniques d'attaque basées sur l'IA, et à quel moment elles deviennent détectables

Comment une année d'utilisation de l'IA offensive se traduit par des comportements au sein d'un réseau.

Comportement détecté comme relevant du réseau Couverture partielle ou adjacente Du côté de l'attaquant, non observable dans votre environnement

7 techniques identifiées comme relevant d'un comportement au sein du réseau

T1021

Services à distance (SSH/SMB)à haut risque

Mouvement latéral · principal facteur de risque

T1078

Comptes valides à haut risque

Accès

T1003

Extraction des identifiants du système d'exploitation — risque élevé

Accès aux identifiants

T1560

Archivesdes données collectées –risque élevé

Collection

T1210

Exploitation des services à distance

Mouvement latéral

T1087

Découverte de comptes : en hausse

Discovery · en hausse au second semestre

T1020

Augmentation de l'exfiltration automatisée

Exfiltration · en hausse au cours du second semestre

Deux techniques de couverture partielle ou adjacente

T1505.003

WebShell: risque élevé

Persistance

Il n'y a pas de détection spécifique ; le canal de commande et de contrôle qu'il crée reste visible sur le réseau.

T1207

Contrôle de domaine non autorisé (DCSync / DCShadow)

Accès aux identifiants

Couverture de l'accès par identifiants adjacents.

5 techniques faisant largement appel à l'IA, mais qui relèvent du domaine de l'attaquant et ne sont pas détectables dans votre environnement

T1587

Développer les compétences

Développement des ressources · 69 % des acteurs

Comprend malware (T1587.001). Se déroule sur la propre machine de l'attaquant.

T1027

Fichiers ou informations obscurcis

Évitement des attaques · 64,7 %

Endpoint côté attaquant.

T1005

Données provenant du système local

Recouvrement · 55,9 %

Endpoint côté attaquant.

T1562

Affaiblir les défenses

Évitement défensif · 54,9 %

Il s'agit principalement du domaine endpoint de l'EDR.

T1055

Injection en cours

Évasion défensive · 30,3 %

Domaine Endpoint EDR.

Source : Anthropic, LLM ATT&CK Navigator (3 juin 2026), 832 comptes mis en correspondance avec MITRE ATT&CK . Consultez le tableau pour connaître les détections Vectra associées à chaque technique.

Point à retenir n° 3 : le modèle qui sous-tend l'attaque va devenir plus difficile à détecter

Il y a lieu de s’attendre à ce que cette « zone d’ombre » initiale s’élargisse. Des fournisseurs comme Anthropic investissent massivement dans des mesures de sécurité, de surveillance et de détection afin d’empêcher que leurs modèles ne soient utilisés à des fins malveillantes, et ils s’améliorent de plus en plus dans ce domaine. La réaction probable sera que certains acteurs se tournent vers des modèles open source qu’ils peuvent exploiter eux-mêmes, sans barrières de sécurité et sans surveillance de la part d’un fournisseur. Des rapports comme celui de Navigator existent parce qu’Anthropic peut observer ses propres systèmes. Les modèles auto-hébergés n’offrent pas cette visibilité, et on dispose aujourd’hui de peu d’informations sur cette évolution.

C’est là l’argument le plus convaincant en faveur d’une détection axée sur le comportement plutôt que sur l’outil. Un rapport basé sur les données d’un fournisseur ne saurait constituer votre stratégie de détection, car l’opérateur suivant pourrait ne pas faire appel à ce fournisseur. Ce qui ne change pas, en revanche, c’est ce que l’attaquant doit faire au sein de votre environnement. Un compte qui se connecte depuis un emplacement inhabituel et accède à un service qu’il n’a jamais utilisé présente les mêmes caractéristiques, qu’il soit piloté par un humain, un modèle Frontier ou un modèle auto-hébergé. Anthropic reconnaît ouvertement qu’ATT&CK ne rend pas encore compte de ce qui a rendu GTG-1002 exceptionnel, à savoir l’orchestration autonome qui a enchaîné les techniques à la vitesse d’une machine, et indique être en discussion avec MITRE pour ajouter des catégories dédiées aux comportements agentiques. Tant que ce vocabulaire n’existe pas, la détection qui tient la route est celle qui n’a jamais dépendu de la désignation de l’outil.

Ce qui ne change pas

Les attaquants utilisent l’IA pour s’introduire plus rapidement et, de plus en plus, pour effectuer le travail concret une fois à l’intérieur. Cela implique deux choses à la fois : vous ne verrez pas ce qui se passe sur les machines de l’attaquant, et vous n’en avez pas besoin. En revanche, vous pouvez observer ce qui se passe sur vos propres machines, à condition de surveiller les comportements au niveau du réseau et des identités plutôt que de vous concentrer sur l’outil qui en est à l’origine. Partez du principe que le système a été compromis, surveillez les comportements : l’IA utilisée par les attaquants modifie la vitesse à laquelle le problème se pose, mais pas la nature de la solution.

Ce que les données d'Anthropic sur l'IA attaquante signifient pour la détection