Aller au contenu principal
Votre parc informatique, maintenu sans contrat d'engagement — au forfait ou à la demande.Un interlocuteur unique pour vos postes, vos serveurs et votre sécurité.Sécuriser votre SI ? Découvrez le Forfait Audit SécuritéModerniser vos postes Windows ? Le Pack Modernisation dès 3 900 € net de TVAPrestation ponctuelle ou forfait mensuel — au plus près de vos besoins.
Cybersécurité PhishingIASensibilisation

Phishing et IA : l'e-mail piégé n'a plus de fautes

Microsoft

L’indice le plus fiable vient de disparaître

Pendant longtemps, on a appris aux salariés à repérer une arnaque à ses défauts. Un e-mail truffé de fautes, une formule de politesse bancale, un logo pixelisé, une adresse d’expéditeur improbable : autant de signaux qui trahissaient la fraude et permettaient de la déjouer d’un coup d’œil. Cette époque touche à sa fin. Avec les outils d’intelligence artificielle générative accessibles à tous, un escroc produit désormais en quelques secondes un message parfaitement rédigé, dans un français impeccable, au ton exactement adapté à sa cible.

Le changement est plus profond qu’il n’y paraît. Ce ne sont pas seulement les fautes qui disparaissent, c’est tout le repère mental sur lequel reposait la vigilance des équipes. Un collaborateur habitué à se méfier des messages mal écrits baisse naturellement la garde devant un e-mail irréprochable. Et c’est précisément ce que les attaquants exploitent : la confiance qu’inspire un texte soigné.

Ce que l’IA a mis à la portée de n’importe quel escroc

L’intelligence artificielle n’a pas inventé le phishing, elle l’a industrialisé et rendu crédible. Rédiger mille e-mails personnalisés, chacun adapté au poste et au secteur de son destinataire, ne demande plus une équipe ni des heures de travail. Les campagnes qui semblaient jadis artisanales gagnent en volume et en précision, ciblant nommément un comptable sur une facture en attente ou un responsable sur un dossier réellement en cours.

Le texte n’est que la partie visible. La voix, elle aussi, se clone désormais à partir de quelques secondes d’enregistrement, faciles à récupérer sur une vidéo en ligne ou un message vocal. Un appel dans lequel on croit reconnaître son dirigeant, avec son timbre et ses intonations, n’a plus rien d’un scénario de science-fiction. Les mêmes techniques s’étendent à la vidéo, ouvrant la voie à des visioconférences truquées où l’interlocuteur n’existe pas.

Le plus troublant tient à l’accessibilité de ces outils. Il ne s’agit plus de capacités réservées à des services spécialisés, mais d’applications grand public, parfois gratuites, qu’un escroc sans compétence technique particulière prend en main en quelques minutes. Cette banalisation explique la montée en flèche des tentatives : le coût d’entrée pour lancer une attaque crédible s’est effondré, tandis que le gain potentiel, lui, n’a pas bougé. Toute la difficulté s’est déplacée du côté de l’attaquant, qui n’a presque plus d’effort à fournir, vers celui de la victime, à qui il ne reste que son jugement pour trancher.

L’arnaque au président change de dimension

La fraude dite au président illustre bien ce saut. Le principe est ancien : un escroc se fait passer pour un dirigeant et demande à un collaborateur un virement urgent et confidentiel, en jouant sur l’autorité et la pression du temps. Ce qui a changé, c’est le degré de réalisme. Là où l’attaque reposait autrefois sur un simple e-mail, elle peut aujourd’hui s’appuyer sur une voix clonée au téléphone, voire sur une courte visioconférence, pour lever les derniers doutes de la victime.

L’effet psychologique est redoutable. Un salarié peut être formé à ne jamais valider un virement sur simple e-mail, mais hésitera à contredire ce qu’il croit être son directeur au bout du fil, insistant et pressé. La manipulation ne cible pas une faille informatique, elle cible le réflexe humain d’obéir à une autorité reconnue.

Type d’attaque dopée à l’IACe que l’IA apporteCe qu’elle vise
E-mail de phishing personnaliséTexte parfait, ton et contexte sur mesureVol d’identifiants, pièce jointe piégée
Clonage de voixTimbre crédible à partir de quelques secondesFraude au virement, faux support
Visioconférence truquéeVisage et voix simulés en temps réelValidation d’une demande frauduleuse
Faux SMS et messageriesVolume élevé, liens crédiblesRenvoi vers une page de connexion piégée

Les PME sont devenues des cibles de choix

On imagine souvent ces attaques réservées aux grands groupes, seuls assez riches pour attirer des fraudeurs sophistiqués. C’est l’inverse qui se produit. Les grandes entreprises ont investi dans des équipes de sécurité, des procédures strictes et des outils de détection, ce qui les rend coûteuses à attaquer. Une PME, elle, dispose rarement de ces défenses, tout en manipulant des sommes suffisantes pour justifier l’effort. Elle offre le meilleur rapport entre le gain espéré et la difficulté.

L’automatisation permise par l’IA a achevé de déplacer la cible. Puisque produire mille messages ciblés ne coûte presque plus rien, les attaquants ratissent large et frappent en masse des structures modestes, là où un seul virement détourné représente déjà une belle prise. Le dirigeant d’une entreprise de dix ou vingt salariés qui se croit trop petit pour intéresser quiconque se trompe précisément sur ce qui fait de lui une cible : sa taille, et l’absence de garde-fous qu’elle laisse deviner.

Pourquoi la technique ne suffit plus

Face à ces menaces, les défenses techniques restent indispensables mais montrent leurs limites. Un bon filtre anti-spam bloque une partie des messages, une authentification forte comme les passkeys et une MFA résistante au phishing complique le vol de comptes, et une supervision correcte repère certains comportements anormaux. Ces couches sont nécessaires, et il serait imprudent de s’en passer.

Mais aucune ne protège contre le scénario où un collaborateur, convaincu de bien faire, exécute lui-même l’action demandée : il saisit ses identifiants sur une page crédible, il valide un virement réclamé par une voix familière, il ouvre un document attendu. La technologie filtre le bruit, elle ne remplace pas le discernement au moment décisif. Et c’est justement ce moment que les attaques dopées à l’IA cherchent à piéger.

La sensibilisation, seule défense qui s’adapte

Reste donc le maillon que les escrocs visent en priorité et que trop d’organisations négligent : les personnes. Une équipe sensibilisée ne se reconnaît pas à sa capacité à repérer les fautes d’orthographe, réflexe désormais inutile, mais à ses habitudes de vérification. Rappeler un interlocuteur sur un numéro connu plutôt que sur celui qu’il indique, appliquer une procédure de double validation pour tout virement inhabituel, oser prendre le temps de douter malgré la pression : ce sont ces automatismes qui tiennent quand le message est parfait.

Cette culture ne s’installe pas avec une note de service annuelle. Elle se construit par des rappels réguliers, des mises en situation proches du réel et un cadre où signaler un doute est valorisé plutôt que moqué. C’est tout l’objet de notre service de sensibilisation à la cybersécurité, pensé pour des équipes qui ne sont pas informaticiennes et qui doivent pourtant décider, seules, face à une sollicitation crédible.

Quelques règles simples changent déjà la donne. Poser qu’aucun virement ni changement de coordonnées bancaires ne se valide sans une contre-vérification par un canal différent de celui de la demande. Convenir qu’un collaborateur a toujours le droit de prendre le temps de vérifier, même sous une urgence affichée, sans craindre de paraître lent ou méfiant. Désigner un interlocuteur clair vers qui remonter le moindre doute, et traiter chaque signalement comme une contribution utile plutôt que comme une fausse alerte. Ces réflexes ne demandent aucun budget matériel, mais ils ne prennent racine que s’ils sont énoncés, répétés et visiblement soutenus par la direction.

Une démarche de sensibilisation s’inscrit d’ailleurs naturellement dans une évaluation plus large des risques, comme celle que propose notre forfait d’audit de sécurité. Pour faire le point sur l’exposition réelle de vos équipes, contactez-nous.

Sources : Cybermalveillance.gouv.fr, Que faire en cas d’hameçonnage (phishing) ? · Cybermalveillance.gouv.fr, Faux ordres de virement (FOVI) et arnaque au président

Évaluer vos priorités de sécurité

Identifiez les risques concrets et les premières mesures adaptées à votre environnement.