Every vendor pitch deck in 2026 leads with AI. AI-powered detection. AI-driven response. AI-augmented SOC. But on the other side of the wire, attackers are running the same playbook — and they don't need board approval to deploy.
Par Neil Beulecke, Directeur Général — Layer7 Networking
What's Actually Changed
Trois évolutions du paysage des menaces sont véritablement attribuables à l’IA, et les équipes de sécurité doivent les comprendre clairement.
Phishing at scale with personalisation. Large language models have eliminated the grammar-check heuristic that caught 80% of phishing emails for two decades. Attackers now generate context-aware, grammatically perfect lures in any language, customised per target using scraped LinkedIn data. We're seeing campaigns where every recipient gets a unique email — no two payloads share the same hash, no two subject lines match. Traditional signature-based email gateways miss these entirely.
Deepfake social engineering. Voice cloning requires roughly three seconds of sample audio. In Q1 2026, a Johannesburg-based financial services firm lost R4.2 million after an attacker cloned the CFO's voice and authorised a wire transfer via Teams call. This isn't theoretical — it's happening to South African organisations right now. The countermeasure isn't better voice analysis; it's out-of-band verification procedures that assume any single channel can be compromised.
Polymorphic malware and evasion. AI-assisted code mutation generates functionally identical malware variants faster than sandboxes can analyse them. The concept isn't new — polymorphic engines have existed since the 1990s — but the speed and sophistication have increased by an order of magnitude. Static analysis alone is no longer sufficient.
What Hasn't Changed
Here's the uncomfortable truth that doesn't make it into the keynote presentations: the majority of successful breaches in 2025 and early 2026 still exploited the same attack vectors we've been talking about for a decade.
- Vulnérabilités non corrigées — Fortinet, Ivanti et Palo Alto ont tous eu des CVE critiques exploitées en conditions réelles quelques jours après leur divulgation. La gestion des correctifs reste le contrôle de sécurité au meilleur retour sur investissement.
- Stolen credentials — Infostealer malware harvesting session tokens and passwords from endpoints continues to be the primary initial access vector. MFA helps, but only if it's phishing-resistant MFA (FIDO2/WebAuthn), not SMS or TOTP.
- Services cloud mal configurés — Buckets S3, rôles IAM trop permissifs, interfaces de gestion exposées. Le modèle de responsabilité partagée du cloud reste mal compris par la plupart des organisations.
- Lack of network segmentation — Once inside, attackers move laterally with minimal resistance because internal networks remain flat. This hasn't changed in twenty years.
Le véritable risque : l’AI Washing
La menace la plus dangereuse liée à l’IA en 2026 n’est pas une attaque propulsée par l’IA — c’est l’AI washing. On vend aux organisations des produits de sécurité « propulsés par l’IA » qui ne sont que des modèles de machine learning rebaptisés de 2019, tout en négligeant les contrôles fondamentaux. Si les règles de votre pare-feu n’ont pas été revues depuis 18 mois mais que vous venez d’acheter une plateforme de détection des menaces par IA, vos priorités sont inversées.
Recommandations pratiques
Pour les RSSI et responsables sécurité en 2026 :
- Get the basics right first. Patch within 72 hours for critical CVEs. Deploy phishing-resistant MFA. Review firewall rules quarterly. These aren't exciting, but they prevent 80% of breaches.
- Update your phishing simulations. Your training programme needs to account for AI-generated lures. If your test emails still contain obvious grammar mistakes, you're training your staff for threats that no longer exist.
- Mettez en place une vérification hors bande pour toute transaction financière ou action privilégiée. Partez du principe que tout canal de communication — e-mail, téléphone, Teams — peut être usurpé.
- Exigez des preuves des fournisseurs. Quand un fournisseur revendique « propulsé par l’IA », demandez : quel modèle ? Quelles données d’entraînement ? Quel est le taux de faux positifs ? Quel est le taux de détection contre les menaces nouvelles par rapport aux signatures connues ? S’ils ne peuvent pas répondre, c’est du marketing.
- Investissez dans l’ingénierie de détection, pas uniquement dans la prévention. Supposez la violation. Construisez la détection pour le mouvement latéral, l’abus d’identifiants et l’exfiltration de données. L’attaquant entrera — votre mission est de l’intercepter avant qu’il n’atteigne les actifs critiques.
The AI threat landscape in 2026 is real, but it's not the paradigm shift that vendors are selling. It's an acceleration of existing trends layered on top of the same fundamental weaknesses we've always had. Organisations that master the basics and layer AI-aware defences on top will be well-positioned. Those chasing the latest AI security product while ignoring patch management will learn expensive lessons.
Layer7 Networking sécurise les organisations sud-africaines depuis plus de 21 ans. Nous nous concentrons sur ce qui fonctionne : la gouvernance de configuration, l’architecture zero trust et les services de sécurité managés qui offrent une réduction mesurable des risques.