Le social engineering, une menace aussi vieille que l’informatique… mais qui se réinvente
Le social engineering — ou ingénierie sociale en français — désigne l’ensemble des techniques de manipulation psychologique utilisées par des pirates informatiques pour soutirer des informations sensibles à leurs victimes. Pas besoin de casser un mot de passe ou d’exploiter une faille technique : il suffit de convaincre un être humain de faire quelque chose qu’il ne devrait pas faire. Cliquer sur un lien, communiquer ses identifiants, virer de l’argent… Ces attaques reposent sur la confiance, l’urgence ou la peur. Et si cette discipline existait bien avant l’ère d’Internet, elle connaît depuis quelques années une mutation radicale, portée par l’essor fulgurant de l’intelligence artificielle.
L’IA générative : un accélérateur redoutable pour les cybercriminels
Avec l’émergence des grands modèles de langage (LLM) comme GPT-4 ou ses équivalents open source, les cybercriminels disposent désormais d’outils capables de générer des textes d’une qualité quasi irréprochable, dans n’importe quelle langue, sur n’importe quel sujet, et en quelques secondes. Finis les e-mails de phishing truffés de fautes d’orthographe qui trahissaient immédiatement leur origine frauduleuse. En 2025, un message malveillant peut parfaitement imiter le ton d’un directeur financier, d’un responsable RH ou même d’un proche. Les chercheurs de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) ont d’ailleurs alerté dès la fin 2024 sur cette évolution, notant une sophistication croissante des campagnes de spear phishing — ces attaques ciblées qui s’adressent à une personne précise plutôt qu’à une masse d’utilisateurs.
Mais le texte n’est que la partie émergée de l’iceberg. Les outils de clonage vocal, comme ceux développés par des startups françaises spécialisées dans la synthèse vocale, permettent désormais de reproduire la voix d’une personne à partir de quelques secondes d’enregistrement. Des cas ont été documentés en France en 2024 et début 2025 : des salariés ont reçu des appels téléphoniques de ce qu’ils croyaient être leur PDG, leur demandant d’effectuer un virement urgent. Résultat : des entreprises françaises de taille intermédiaire ont perdu plusieurs centaines de milliers d’euros en l’espace de quelques minutes.
Les deepfakes vidéo : la prochaine frontière du social engineering
Si le clonage vocal est déjà une réalité préoccupante, la vidéo deepfake commence elle aussi à s’immiscer dans les stratégies des cybercriminels les plus avancés. Des techniques de génération vidéo en temps réel, encore balbutiantes il y a deux ans, atteignent aujourd’hui un niveau de réalisme suffisant pour tromper un interlocuteur lors d’un appel visio. Imaginez recevoir une visioconférence de votre associé, ou d’un représentant de votre banque, dont le visage et la voix sont entièrement simulés par une IA. Ce scénario, longtemps relégué à la fiction, devient progressivement opérationnel pour des groupes cybercriminels bien organisés et bien financés.
En France, plusieurs entreprises de cybersécurité — parmi lesquelles Sekoia, Pradeo ou encore Tehtris — ont commencé à intégrer la détection des contenus générés par IA dans leurs offres. Mais la course entre attaquants et défenseurs est particulièrement serrée dans ce domaine. Chaque avancée défensive est rapidement contournée par une nouvelle génération d’outils offensifs, dans une logique d’escalade technologique permanente.
Les profils ciblés et les secteurs les plus exposés en France
Toutes les organisations ne sont pas égales face à cette menace. En France, les secteurs les plus exposés au social engineering augmenté par l’IA sont sans surprise ceux qui manipulent des flux financiers importants ou des données sensibles : la finance, la santé, les collectivités territoriales et les PME sous-traitantes de grands groupes industriels. Ces dernières constituent d’ailleurs une cible de choix, car elles bénéficient souvent d’un accès privilégié aux systèmes de leurs clients, tout en disposant de ressources moindres en matière de cybersécurité.
Les profils individuels les plus ciblés restent les collaborateurs en position d’autorité financière — DAF, comptables, trésoriers — mais aussi les équipes RH, qui gèrent des données personnelles en masse. Une tendance émergente en 2025 concerne également les développeurs et profils techniques, désormais approchés via de faux recruteurs sur LinkedIn, avec des offres d’emploi alléchantes dissimulant des charges utiles malveillantes. Cette technique, baptisée job lure, a été utilisée par plusieurs groupes APT (menaces persistantes avancées) actifs en Europe.
Comment se protéger : les bonnes pratiques à adopter dès aujourd’hui
Face à ces menaces qui évoluent à vitesse grand V, la réponse ne peut pas être uniquement technologique. La sensibilisation humaine reste le premier rempart. Les experts français en cybersécurité recommandent plusieurs réflexes fondamentaux : toujours vérifier une demande inhabituelle via un canal de communication alternatif (rappeler le numéro officiel d’une personne plutôt que celui fourni dans le message reçu), instaurer des procédures de double validation pour les virements ou accès sensibles, et former régulièrement les équipes à reconnaître les signaux d’alerte.
Du côté technologique, les solutions de détection basées sur l’IA commencent à s’imposer comme un complément indispensable aux antivirus et pare-feux traditionnels. Des outils d’analyse comportementale, capables de détecter des anomalies dans les échanges internes ou les accès aux systèmes, permettent de repérer des tentatives d’intrusion avant qu’elles n’aboutissent. L’ANSSI met régulièrement à jour ses recommandations sur le sujet et propose des ressources gratuites à destination des TPE et PME françaises, souvent démunies face à ces nouvelles formes d’attaques. En 2025, la question n’est plus de savoir si votre organisation sera ciblée par une tentative de social engineering boostée à l’IA, mais quand — et surtout si vous serez prêts à y répondre.