Cato Networks annonce la publication de son rapport « Cato CTRL SASE Threat Report 2026 » par Cato CTRL, son lab de recherche des menaces cyber. Celui-ci alerte sur une évolution majeure du paysage des menaces. Les chercheurs y mettent en évidence une nouvelle phase de la cybercriminalité car les attaquants ne se contentent plus d’exploiter des vulnérabilités techniques, mais s’appuient désormais sur les usages mêmes de l’intelligence artificielle en entreprise.
Cato CTRL a constaté que les cybercriminels exploitent la confiance implicite accordée aux systèmes d’IA, aux données qu’ils ingèrent et aux actions qu’ils exécutent. L’IA est exploitée à chaque étape des opérations malveillantes, de la préparation à l’exécution.
Le rapport inclut cinq développements majeurs dans le paysage des menaces liées à l’IA qui reflètent l’évolution de la cybercriminalité :
- Fausses identités : Les chercheurs montrent qu’il est désormais possible de générer de faux documents d’identité, y compris des passeports, en quelques minutes à l’aide d’outils d’IA générative accessibles au grand public.
- Outils de phishing personnalisés à grande échelle : L’émergence de variantes de WormGPT, basées sur des modèles tels que Grok et Mixtral, illustre la montée en puissance d’outils capables de produire du phishing, de l’ingénierie sociale ou du code malveillant à grande échelle.
- Living Off AI (LOA) : Le concept de « Living Off AI », illustré par une preuve de concept ciblant le Model Context Protocol (MCP) d’Atlassian : une simple entrée externe (telle qu’un ticket de support) peut injecter des instructions exécutées avec les privilèges d’un utilisateur interne via un workflow piloté par l’IA, permettant l’exfiltration de données ou la manipulation de systèmes sans alertes apparentes.
- Faiblesses des navigateurs IA : La méthode HashJack, qui exploite les assistants IA intégrés dans les navigateurs : en intégrant des instructions malveillantes dans des fragments d’URL légitimes, les attaquants peuvent influencer leur comportement, déclenchant des actions allant du phishing à l’exfiltration de données, sans compromettre directement les sites web.
- Vulnérabilités de Claude Skills : La militarisation de Claude Skills avec MedusaLocker pour renforcer les opérations de ransomware. Les chercheurs montrent que certaines fonctionnalités peuvent être détournées à des fins malveillantes. Dans un environnement contrôlé, Cato CTRL a démontré qu’un module apparemment légitime pouvait déclencher un scénario complet impliquant le ransomware MedusaLocker.
Au-delà de ces cas, le rapport souligne une adoption massive de l’IA en entreprise, avec un taux moyen d’utilisation atteignant 92 % au quatrième trimestre 2025. Cette accélération génère le phénomène de shadow AI qui devrait s’imposer comme l’un des principaux défis de sécurité pour les entreprises en 2026. Ce qui accroît fortement la surface d’exposition des organisations, souvent sans visibilité ni contrôle suffisant.
Enfin, cette recherche met en évidence une tendance de fond : les attaquants ne ciblent plus uniquement les systèmes, mais les interactions entre utilisateurs, données et intelligences artificielles. Face à ces nouvelles menaces, Cato CTRL recommande de renforcer la gouvernance des usages de l’IA, de surveiller les workflows automatisés et de considérer toute donnée issue d’un système d’IA comme potentiellement non fiable.
Plus d’informations sur le rapport Cato CTRL SASE Threat Report 2026 via ce lien.
