Face à la montée en puissance de l’IA générative, les vulnérabilités explosent et redessinent le périmètre des menaces cyber. Aux Assises de la cybersécurité, Brice Augras, fondateur de BZHunt et hacker éthique, alerte sur les dérives d’une adoption trop rapide des technologies d’IA dans le retail et le e-commerce.
Entre IA qui s’attaquent entre elles, failles linguistiques et interconnexions risquées via MCP Servers, (serveurs qui permettent à une application comme ChatGPT de se connecter à des sources de données ou à des outils externes de manière standardisée), Brice Augras, fondateur de BZHunt appelle les entreprises à intégrer la sécurité dès la conception. Depuis ses bureaux de Guipavas, près de Brest, BZHunt s’est imposé en quelques années comme l’un des laboratoires les plus actifs de la cybersécurité française. Créée en 2020, la société concentre 95 % de son activité sur les tests d’intrusion offensifs : audit de systèmes, simulation d’attaques, recherche de vulnérabilités sur les réseaux et les applications.
Son fondateur, Brice Augras, est un autodidacte passionné, formé à la rigueur du code et à la curiosité du détournement. Avant de lancer son entreprise, il s’est illustré dans la communauté internationale des bug hunters (chasseurs de bugs/failles), en découvrant des failles critiques sur Kubernetes, Google et Microsoft. Cette reconnaissance a nourri une conviction : «La sécurité ne s’improvise pas. Elle s’intègre, se teste et se remet en question sans cesse.»
Dans un contexte où l’intelligence artificielle envahit tous les secteurs, y compris celui du commerce connecté, l’expert observe une mutation rapide du paysage des menaces. «En mars 2025, on recensait environ 45 techniques d’attaque décrites contre les IA. En juin, elles étaient déjà 115. La progression est fulgurante», relève-t-il. Les chiffres donnent la mesure du phénomène. Et, fait inquiétant, la plupart d’entre eux ne disposent d’aucune solution de remédiation fiable.
Quand l’IA devient un nouveau terrain d’attaque
Pour Brice Augras, la montée en puissance de l’intelligence artificielle générative suit le même schéma que celui observé à chaque révolution technologique : une adoption rapide, des promesses spectaculaires, et des failles aussitôt exploitées. «Quand une nouvelle technologie arrive, elle apporte inévitablement ses vulnérabilités. Ce fut vrai pour le web, pour le cloud, et c’est encore plus vrai avec l’IA», affirme-t-il.
Les tests menés par BZHunt sur des modèles utilisés dans des environnements sensibles, notamment financiers, révèlent des brèches inédites. On peut manipuler des IA censées être cloisonnées pour leur faire divulguer des données internes. Par un simple jeu de langues ou de formulations ambiguës, il est possible de contourner les filtres et d’accéder à des informations qui ne devraient jamais sortir.
Ces attaques reposent sur des techniques d’injection de prompt, où le pirate exploite les zones d’ombre du modèle linguistique pour altérer sa compréhension. «Il suffit de modifier la syntaxe, de jouer sur les traductions ou les contextes culturels pour piéger le système», détaille le hacker éthique. Dans certains cas, le changement de langue suffit à tromper le dispositif de contrôle : «l’IA de surveillance était plus à l’aise en anglais, celle qui traitait la donnée en français. En envoyant une requête bilingue, on peut réussir à passer entre les mailles du filet.»
Le brouillard de la boîte noire
Cette difficulté à corriger les failles vient du cœur même des modèles. Contrairement aux systèmes informatiques classiques, une IA générative ne repose pas sur un code linéaire, mais sur un réseau d’apprentissages probabilistes.
«On ne sait pas vraiment comment elle prend ses décisions ni pourquoi elle réagit d’une certaine manière. C’est une boîte noire. Et quand on ne comprend pas les rouages internes, il devient beaucoup plus complexe de colmater une brèche», souligne Brice Augras.
Il rappelle qu’entre la découverte d’une faille et sa correction, le délai moyen peut dépasser neuf mois. «Même les plus grands acteurs comme OpenAI, Google, Anthropic, mettent des mois pour corriger une vulnérabilité signalée. Le chercheur trouve une faille, l’éditeur publie un patch, puis une nouvelle méthode permet de contourner ce correctif. C’est un cycle sans fin.» Résultat : la sécurité des IA reste précaire, et les correctifs partiels. Pendant ce temps, les entreprises intègrent ces systèmes à des chaînes critiques, souvent sans audit préalable ni cadre de gouvernance.
Les IA qui s’attaquent entre elles
Au-delà de ces failles linguistiques, un autre phénomène émerge : celui de l’interaction hostile entre IA. «On a désormais des cas où une IA peut en manipuler une autre pour exécuter du code malveillant», relate Brice Augras. «Par exemple, Claude, l’IA d’Anthropic a pu exploiter des faiblesses dans Copilot de Microsoft Visual Studio Code pour modifier des paramètres et télécharger du code dangereux.» Ces scénarios ne relèvent plus de la science-fiction. En interconnectant plusieurs systèmes d’IA via des MCP Servers, ces modules d’extension permettant à une IA d’agir sur des environnements tiers, les entreprises créent de nouveaux vecteurs d’exposition.
«Les MCP Servers sont conçus pour donner plus d’autonomie à une IA, lui permettre d’interagir avec des API, des applications internes ou des systèmes métiers. C’est pratique, mais c’est aussi une porte ouverte. Car à partir du moment où vous lui donnez un token ou une clé d’accès, elle peut exécuter des commandes bien au-delà de son périmètre initial», alerte l’expert.
Dans ses analyses, il évoque des chaînes d’exploitation où une IA détourne un MCP Server pour accéder à des environnements non autorisés, ou pour lancer des opérations automatiques sur des infrastructures de développement.
«On a vu des cas où un agent IA déclenche des actions sur des systèmes de production simplement parce qu’on lui a laissé trop de marge d’autonomie. Le risque, c’est que la machine ne fasse pas la différence entre ce qui est fonctionnel et ce qui est sensible.» Pour Brice Augras, cette «libération des machines» est symptomatique d’un écosystème où la recherche de performance prime sur la prudence. «On leur donne les moyens d’interagir, mais on oublie de fixer les limites. À terme, cela crée des IA capables d’échapper partiellement à leur contrôle humain.»
E-commerce : entre fascination et imprudence
Les acteurs du commerce en ligne figurent parmi les plus exposés à cette double dynamique d’innovation et de risque. «Le retail adore l’expérimentation rapide», note Brice Augras. «L’IA y est perçue comme un accélérateur d’expérience client, de personnalisation, de conversion. Mais cette course à l’intégration, sans réflexion sécuritaire, est dangereuse.»
Aussi, les entreprises rejouent les erreurs du passé. «Dans les années 2000, on ouvrait des sites web sans authentification robuste. Aujourd’hui, on déploie des IA sans cloisonnement de données.»
Il cite l’exemple typique d’un assistant conversationnel intégré au service client : «l’IA utilisée pour renseigner les clients sur un produit n’a pas besoin d’accéder aux données RH ou comptables de l’entreprise. Pourtant, ces systèmes partagent parfois les mêmes bases.»
Ce manque de segmentation accroît le risque de fuite ou de compromission. Brice Augras insiste sur la nécessité de ce qu’il appelle le principe du «one to one to one» : «une IA par usage, un jeu de données par finalité, un modèle par cible.» Autrement dit : cloisonner strictement chaque modèle selon son périmètre. «C’est une règle de conception essentielle. Mais aujourd’hui, très peu la respectent.»
Quid du cadre réglementaire
Face à ces enjeux, la réglementation européenne peine à suivre. Le Cyber Resilience Act (CRA), qui encadrera la conception sécurisée des produits numériques, n’entrera pleinement en vigueur qu’en 2027.
«Si on appliquait dès aujourd’hui les exigences du CRA, 95 % des éditeurs seraient non conformes», affirme Brice Augras. Le texte prévoit notamment qu’une vulnérabilité grave soit corrigée dans les 24 heures suivant sa découverte. «C’est irréaliste pour la plupart des acteurs. On est déjà content quand un correctif arrive en une semaine.»
De même, la directive DORA, applicable au secteur financier depuis janvier 2025, impose une résilience opérationnelle accrue. Les entreprises doivent démontrer leur capacité à réagir à une cyberattaque et à documenter leurs dépendances techniques. Mais selon Brice Augras, les petites structures sont encore loin du compte : «beaucoup de PME ou d’acteurs du retail n’ont ni les budgets ni les équipes pour répondre à ces obligations. Résultat : on attend, on reporte, et pendant ce temps, les risques s’accumulent.»
Une culture du risque encore immature
Au-delà des textes, c’est la culture même de la cybersécurité qui peine à s’imposer. «Dans des entreprises, le RSSI tire la sonnette d’alarme, mais la direction répond que la réglementation n’est pas encore transposée, donc qu’il n’y a pas urgence.»
Cette inertie se traduit sur le terrain par des lacunes organisationnelles majeures : absence de cartographie des prestataires, méconnaissance des responsabilités contractuelles, audits partiels.
Brice Augras en appelle à un sursaut de lucidité. «Avant de signer un contrat avec un éditeur, demandez-lui quelles sont ses garanties en cas d’incident. Demandez les résultats de ses tests de sécurité. Vous seriez surpris du nombre d’entreprises qui n’ont jamais posé ces questions.» Et d’ajouter : «tant qu’on considérera la cybersécurité comme une option et non comme une composante structurelle du business, on avancera à reculons»
De la «fainéantise» numérique à la dépendance tech
L’autre danger, plus insidieux, tient à la dépendance croissante aux outils d’automatisation. «Par confort, on donne à l’IA les clés de nos systèmes. Elle prépare les réunions, gère les agendas, pilote les objets connectés, et demain peut-être les infrastructures critiques», constate-t-il.
Il parle d’une «fainéantise» technologique qui pousse à déléguer sans se soucier des implications sécuritaires. «L’humain est par nature pragmatique : si quelque chose lui simplifie la vie, il l’adopte. Mais à force d’empiler les automatisations, on finit par ne plus savoir qui contrôle quoi.»
Cette dérive interroge jusqu’à la responsabilité en cas d’incident : qui est fautif si une IA interconnectée agit de manière indésirable ? L’utilisateur, le fournisseur, l’éditeur du modèle ? Le droit peine encore à trancher.
L’affaire récente jugée à Rennes, où un prestataire IT a été condamné pour manquement à son obligation de service après une attaque par rançongiciel, marque un précédent. «Cela montre que la justice intègre la dimension cyber dans la responsabilité contractuelle. Mais il reste beaucoup à faire.»
Repenser la sécurité à la source
Pour Brice Augras, la réponse ne se trouve pas dans la peur, mais dans la conception. «L’IA n’est pas un problème en soi. Ce qui est dangereux, c’est la manière dont on l’intègre.» Il plaide pour une approche «security by design», c’est-à-dire une intégration de la sécurité dès la phase de développement : cloisonner les données, tracer les flux, auditer les interactions.
«On ne peut pas empêcher l’innovation. Mais on peut la cadrer. Comme pour une voiture : avant d’augmenter la puissance du moteur, assurez-vous que les freins sont solides.» Il insiste enfin sur la formation continue et la vigilance collective : «l’IA transforme les métiers, mais elle transforme aussi la menace. Chaque nouveau confort technologique doit s’accompagner d’une conscience du risque. Sinon, on ne fait que déplacer le problème.»
Comprendre avant de déployer
Au terme de l’entretien, le hacker éthique résume d’une phrase la philosophie qui guide son travail : «avant de brancher, réfléchissez. Avant de déployer, comprenez. L’innovation n’est pas une course : c’est une responsabilité. »
Pour lui, la cybersécurité est avant tout une question de posture, d’humilité face à la complexité des systèmes et d’exigence dans leur conception. «L’intelligence artificielle est un formidable outil. Mais à force de la sacraliser, on oublie qu’elle reste une technologie faillible, manipulable, et profondément humaine dans ses erreurs. Notre rôle, c’est d’en faire un levier de confiance, pas une source supplémentaire de fragilité».
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire