Présentation de Jérôme Segura, nouveau VP of Threat Research chez DataDome

Nous avons accueilli Jérôme Segura au début du mois en tant que VP of Threat Research chez DataDome. Jérôme est un expert de renommée mondiale d’analyse de malware et des menaces web. Il apporte près de vingt ans d’expérience dans le suivi des innovations des attaquants et des stratégies qui permettent aux défenseurs de garder une longueur d’avance.

Avant de rejoindre DataDome, Jérôme a passé plus de dix ans chez Malwarebytes, où il s’est fait connaître pour ses recherches pionnières sur le malvertising, l’ingénierie sociale et les menaces via navigateur. Ses travaux ont permis de révéler des campagnes de menaces à grande échelle et ont influencé la manière dont le secteur aborde la fraude en ligne.

Aujourd’hui, Jérôme met cette expertise au service de DataDome pour repousser les limites de la détection des bots et de la prévention de la cyberfraude à l’ère de l’IA. Nous avons échangé avec lui sur son parcours, l’évolution des menaces et pourquoi l’intention, plutôt que l’identité, est la clé du prochain chapitre de la sécurité en ligne.

Vous étudiez l’évolution des menaces depuis plus de dix ans. Quelles tendances vous préoccupent le plus actuellement ?

Jérôme Segura : Une chose qui ne change pas, c’est le rôle central de l’ingénierie sociale. Peu importe à quel point les outils de sécurité deviennent sophistiqués, les attaquants continuent de réussir en manipulant les gens. Ce qui a changé, en revanche, c’est l’accessibilité et l’échelle de ces attaques.

L’IA accélère ce phénomène. Nous voyons apparaître des sites de phishing générés à la volée à l’aide de LLM, des contenus personnalisés qui échappent aux détections, et des arnaques, qui prenaient auparavant des semaines à mettre en place, se déroulent désormais en quelques minutes. Ce ne sont pas des expérimentations marginales, elles font partie intégrante de l’arsenal quotidien des attaquants.

Votre parcours couvre les malware, le malvertising et les attaques via navigateur. En quoi cela influence-t-il votre approche des bots et de la fraude en ligne ?

Jérôme Segura : Je me suis toujours concentré sur les menaces web, ce point de contact où les attaquants atteignent les utilisateurs. Pour moi, les bots sont un outil de plus dans l’arsenal des cybercriminels. Qu’ils soient utilisés pour distribuer des malware, lancer des attaques de credential stuffing ou relayer du trafic dans le cadre de campagnes plus avancées, leur objectif est d’atteindre une certaine échelle et de la persistance.

Ce qui compte vraiment, c’est de comprendre leur l’intention. Les attaquants n’utilisent pas les bots parce qu’ils aiment l’automatisation, mais pour commettre des fraudes. Le bot n’est qu’un début.

Vous avez déjà évoqué le respect que vous portez à la créativité des attaquants. En quoi cet état d’esprit influence-t-il votre travail en tant que défenseur ?

Jérôme Segura : Il n’est pas nécessaire d’approuver ce que font les attaquants pour reconnaître leur ingéniosité. Certaines de mes recherches les plus marquantes sont nées de moments où je me suis dit : « C’est vraiment malin. » Lorsqu’on parvient à rétroconcevoir une attaque et à en comprendre pleinement le fonctionnement, c’est à ce moment-là qu’on peut vraiment la contrer.

Je pense qu’il existe aussi une forme de respect mutuel. Les acteurs malveillants savent quels chercheurs sont capables de les décrypter. Et en retour, nous devons prendre cette responsabilité au sérieux, en particulier lorsqu’il s’agit de partager nos découvertes.

Justement, pourquoi est-il important que les chercheurs en cybersécurité partagent leurs renseignements en dehors de leur propre organisation ?

Jérôme Segura : Lorsque nous découvrons quelque chose de grave, il est rare que cela n’affecte que nos utilisateurs ou nos systèmes. Qu’il s’agisse de partager des données avec les forces de l’ordre ou de collaborer discrètement avec d’autres chercheurs, il y a une vraie valeur à agir collectivement.

Bien sûr, il faut rester prudent. Les blogs publics sont lus par tout le monde, y compris par les attaquants. C’est pourquoi nous publions parfois des analyses techniques dans des cercles plus restreints ou en décalé. Mais quand c’est possible, je crois qu’il faut partager ce que l’on apprend.

À mesure que les agents alimentés à l’IA deviennent plus autonomes, comment les stratégies de détection doivent-elles évoluer ?

Jérôme Segura : L’ancienne dichotomie « humain ou bot » ne tient plus. Les humains utilisent désormais l’IA. L’IA imite les humains. Il n’y a plus de frontière nette. Et si l’on tente d’en tracer une, on risque de bloquer de bons utilisateurs tout en laissant passer les mauvais.

Ce qui compte vraiment, c’est l’intention. Le visiteur essaye-t-il de réserver un voyage ou de scraper vos prix pour alimenter le modèle d’un concurrent ? Est-il en train de naviguer ou de chercher à pirater des comptes ? C’est là que la détection doit aller. L’IA ne fera que brouiller davantage les lignes, et seule une détection basée sur l’intention pourra suivre le rythme.

Quels types de menaces, selon vous, passent aujourd’hui sous le radar ?

Jérôme Segura : La fraude et les arnaques, surtout celles qui semblent « banales ». Le ransomware fait les gros titres, mais le coût du credential stuffing, des abus de remboursement ou des arnaques sur les marketplaces est souvent bien plus élevé et difficile à quantifier.

Parce que certaines de ces menaces sont complexes à résoudre ou peu médiatisées, elles ne reçoivent pas l’attention qu’elles méritent. Pourtant, elles sont persistantes, douloureuses et coûtent beaucoup plus cher aux entreprises qu’on ne le pense.

Qu’est-ce qui vous enthousiasme le plus dans votre arrivée chez DataDome ?

Jérôme Segura : Tout d’abord, j’aime les racines françaises de l’entreprise. Cela me touche personnellement. Mais surtout, j’ai vu une entreprise qui comprend où va l’avenir. DataDome mise sur l’IA, non pas comme un simple mot à la mode, mais comme fondement d’une défense plus intelligente et plus évolutive.

C’est aussi un nouveau défi pour moi. J’ai passé des années à me concentrer sur les menaces côté client. Désormais, je peux m’attaquer à la sécurité côté serveur, au trafic de bots et aux schémas de fraude à une échelle bien plus large. Et je travaille avec une équipe qui ne se contente pas de réagir aux menaces, mais qui façonne la réponse.

Si vous pouviez donner un seul conseil aux entreprises confrontées à la cyberfraude, quel serait-il ?

Jérôme Segura : Déplacez votre attention de la simple détection des bots vers la compréhension de l’intention sous-jacente des comportements en ligne pour une défense plus efficace. C’est l’avenir de la prévention de la fraude, et c’est là que se joue aujourd’hui le véritable combat.

Restez à l’écoute pour en savoir plus sur Jérôme et DataDome Advanced Threat Research.