GTG-1002 : Le nouveau visage de la cybermenace

Au cœur des échanges, un fil rouge : GTG-1002, une campagne d’espionnage cyber détectée à la mi-septembre 2025 et attribuée avec un haut niveau de confiance par Anthropic à un groupe parrainé par l’État chinois. Selon le rapport publié en novembre 2025, cette opération visait environ 30 organisations dans les secteurs technologique, financier, chimique et gouvernemental, avec une autonomie inédite de l’IA à travers l’ensemble de la chaîne d’attaque.

Bien au-delà du caractère spectaculaire du cas, GTG-1002 agit surtout comme un révélateur. Il met en lumière une transformation profonde des menaces cyber : des attaques plus rapides, plus autonomes, capables d’exploiter les lenteurs, les angles morts et les incohérences de dispositifs de sécurité encore largement pensés pour des rythmes humains.

Voici les principaux enseignements à retenir de ce sommet.

1. La vitesse des attaques change désormais la nature même du risque

Premier constat majeur : la rapidité n’est plus un simple facteur aggravant, elle devient le cœur du problème. D’après Anthropic, les opérateurs de GTG-1002 auraient utilisé Claude Code pour automatiser 80 à 90 % des opérations tactiques, de la reconnaissance à l’exploitation, jusqu’au mouvement latéral et à l’exfiltration de données. Le tout à un rythme “physiquement impossible” à reproduire pour un humain.

« Concrètement, une attaque complète prend moins de temps que de commander un café », résume Trevor Marshall, Directeur National Delinea Canada.

Cette réalité transforme profondément l’équation de la défense. Pendant longtemps, les organisations ont bâti leurs mécanismes de sécurité sur l’idée qu’elles disposeraient d’un minimum de temps pour détecter, analyser, qualifier et répondre. Or, quand une attaque se déroule à la vitesse de l’IA, ce temps se contracte brutalement. Le risque ne se mesure plus seulement en surface d’exposition ou en niveau de vulnérabilité, mais en capacité à observer, décider et agir suffisamment vite.

C’est d’ailleurs ce qui a traversé plusieurs discussions du sommet : face à des attaques capables d’orchestrer automatiquement la reconnaissance, de cartographier des environnements, d’identifier des identités à privilèges et d’enchaîner les actions sans pause significative, les modèles de réaction séquentiels montrent rapidement leurs limites.

« Quand une attaque devient plus rapide que Sonic ou Flash, mais que notre réponse dépend encore d’un humain, d’un café et d’un change request, l’issue commence à devenir statistiquement prévisible. » explique avec humour Marcellin Nachin, Leader cybersécurité.

Une attaque plus rapide que le cycle décisionnel d’une organisation devient, par définition, une attaque plus difficile à stopper.

2. GTG-1002 montre que les outils seuls ne suffisent plus

Deuxième enseignement central : empiler des outils ne constitue pas une stratégie de résilience. Le cas GTG-1002 illustre précisément pourquoi il est dangereux de croire qu’un arsenal technologique, aussi riche soit-il, suffit à lui seul à protéger l’entreprise. Plusieurs interventions ont rappelé un paradoxe bien connu : les organisations disposent souvent de dizaines d’outils cyber, mais continuent malgré tout de présenter des zones d’ombre, des frictions opérationnelles et des écarts entre contrôle théorique et réalité du terrain.

Ce que révèle GTG-1002, ce n’est pas seulement la puissance d’une attaque orchestrée par IA. C’est aussi la fragilité de modèles de sécurité encore trop fragmentés.

La question n’est plus uniquement “avons-nous les bons outils ?”, mais plutôt “notre modèle de sécurité est-il encore adapté à des attaques autonomes, distribuées et ultra-rapides ?” Cela suppose de revoir la gouvernance des identités, les autorisations en temps réel, la protection des identités non humaines, la réduction des privilèges inutiles, ainsi que la capacité à supprimer les frictions qui ralentissent les équipes au lieu de les renforcer.

Autrement dit, la réponse à la montée des attaques pilotées par IA ne sera pas uniquement technologique. Elle sera aussi structurelle, opérationnelle et organisationnelle.

L’amplification causée par le A2A (agent-to-agent)

L’un des éléments mis de l’avant à travers GTG-1002 est le détournement d’agents légitime bâtit à l’interne des organisations, mais exposés à l’externe, qui ont pu être détourné par les attaquants. La cause primaire? Une mauvaise sécurisation des agents souvent développés trop vite, sous forme de preuve de concept et dont le succès à conduit à une mise en production hâtive. L’absence de gouvernance et de gestion des identités et des accès des agents est bien souvent la cause sous-jacente réelle de cela. C’est d’ailleurs le thème que nous abordons dans notre livre blanc.

3. La cybersécurité doit être pensée comme un enjeu de transformation, pas seulement comme une fonction technique

GTG-1002 ne raconte pas seulement une histoire de sécurité offensive ou de sophistication technique. Il révèle un changement de paradigme qui concerne directement la gouvernance, la gestion du risque et les arbitrages de transformation.

À plusieurs moments, les échanges ont fait émerger des questions simples, mais décisives : l’émergence de cette nouvelle forme d’attaque vient-elle bouleverser la stratégie de cyberdéfense ? Est-ce que nos agents internes ne pourraient pas devenir des vecteurs amplificateurs de ce type d’attaque ? Comment travailler avec ses fournisseurs/partenaires pour renforcer rapidement ses capacités cyber ? Quelle priorité pour la gestion des secrets et privilèges ?

Ces interrogations sont essentielles, car elles replacent la cybersécurité à l’échelle où elle doit désormais être traitée : celle des décisions structurantes de l’entreprise afin d’être plus réactifs face aux incidents, et plus résilient dans nos opérations Et pour cela, il est crucial de sensibiliser les exécutifs à la nouvelle forme de menace pour faire de la cybersécurité un partenaire de développement des affaires.

Le cas GTG-1002 montre bien que la frontière entre technologie, opérations, identités, gouvernance et stratégie devient de plus en plus poreuse. Lorsque des agents sont capables d’accélérer toutes les étapes d’une intrusion, les réponses purement locales ou purement techniques atteignent vite un plafond. La résilience dépend alors de la capacité de l’organisation à aligner ses équipes, clarifier ses responsabilités, simplifier ses mécanismes de contrôle et réviser ses modèles de fonctionnement.

4. L’impératif n’est plus de se préparer “un jour”, mais d’agir maintenant

S’il faut retenir une conviction commune de cette rencontre, ce serait celle-ci : le moment d’agir, c’est maintenant. Le débat n’est plus de savoir si l’IA agentique transformera la nature des menaces cyber. Cette transformation est déjà en cours. Le véritable enjeu est désormais de savoir à quelle vitesse les organisations accepteront de faire évoluer leurs propres modèles en conséquence.

Le rapport d’Anthropic présente GTG-1002 comme un point de bascule : une campagne où l’IA a été utilisée de manière inédite tout au long du cycle d’attaque, avec une implication humaine limitée à certains moments d’initialisation ou de décision critique. Que l’on voie dans ce cas un signal fort, un précurseur ou un accélérateur, le constat reste le même : attendre un niveau de maturité idéal avant de bouger n’est plus une option.

Cela ne signifie pas céder à l’alarmisme ni multiplier les initiatives sans cohérence. Cela signifie commencer par les bonnes priorités : identifier les angles morts, réduire les privilèges inutiles, renforcer les contrôles réellement critiques, revoir la gouvernance des identités humaines et non humaines, et surtout retrouver de la vitesse dans la décision et dans l’exécution.

Car au fond, la leçon la plus importante de GTG-1002 est peut-être celle-ci : si les attaques évoluent à la vitesse de la machine, l’inaction devient elle-même une vulnérabilité.

GTG-1002 ne nous demande pas de faire mieux ce que nous faisions avant. Il nous demande de faire autrement. Croire qu’on va finaliser un chantier de sécurité inachevé depuis des décennies tout en absorbant l’émergence d’attaques pilotées par IA à vitesse machine, c’est se raconter une histoire confortable, mais dangereuse. Il faut avoir le courage de le dire : on ne rattrapera pas le retard en accélérant sur la même route. La vraie question n’est plus « comment se protéger mieux ? » mais « que devons-nous être capables d’absorber quand l’incident survient malgré tout ? »

Ce glissement est fondamental. Il replace la résilience au cœur de la stratégie, non pas comme un aveu d’échec, mais comme une posture lucide. La vraie compétence d’une organisation se mesure désormais à sa capacité à continuer d’opérer, de décider et de se relever, pas seulement à éviter la chute. Cela implique de renforcer les capacités de continuité métier, de raccourcir les boucles de décision en situation de crise, et d’ancrer cette résilience bien au-delà des équipes IT. Ainsi, si l’attaque évolue à la vitesse de la machine, l’inaction est une vulnérabilité, et la résilience, une stratégie.