Le phishing nouvelle génération : quand l’IA devient l’arme des cybercriminels
Depuis quelques années, les attaques par phishing ont considérablement évolué. Fini les e-mails truffés de fautes d’orthographe envoyés depuis une adresse douteuse : les cybercriminels exploitent désormais l’intelligence artificielle pour concevoir des messages d’hameçonnage d’une redoutable précision. En France, les entreprises font face à une recrudescence de ces attaques sophistiquées, et les chiffres donnent le vertige. Selon le rapport annuel de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), les tentatives de phishing ont bondi de plus de 30 % en 2024, une tendance qui s’accélère encore en ce début 2025. L’IA générative est clairement au cœur de cette explosion.
Des e-mails quasi indétectables : la menace concrète du spear phishing augmenté
Le phishing traditionnel reposait sur le volume : envoyer des milliers d’e-mails génériques en espérant que quelques destinataires mordent à l’hameçon. Aujourd’hui, grâce à des modèles de langage comme ceux qui alimentent ChatGPT ou ses équivalents open source, les attaquants peuvent générer des messages hyper-personnalisés en quelques secondes. Le spear phishing — c’est-à-dire le phishing ciblé sur un individu précis — est ainsi passé à une échelle industrielle. Un cybercriminel peut analyser le profil LinkedIn d’un directeur financier, scraper ses publications, identifier ses relations professionnelles, puis générer un e-mail parfaitement rédigé, signé au nom d’un collègue ou d’un partenaire commercial, avec le bon vocabulaire métier et les bons enjeux contextuels. En France, plusieurs PME ont ainsi vu leurs comptables virer des sommes importantes suite à de faux ordres de virement extrêmement bien construits — une technique connue sous le nom de Business Email Compromise (BEC).
Les deepfakes audio et vidéo viennent renforcer ce dispositif. Des cas ont été documentés en Europe début 2025 où des dirigeants d’entreprises ont reçu des appels téléphoniques — voire des appels en visioconférence — mettant en scène une version clonée de leur supérieur hiérarchique. La voix, le ton, les intonations : tout est reproduit avec une fidélité troublante grâce aux outils de clonage vocal désormais accessibles au grand public. La frontière entre le vrai et le faux devient dangereusement mince.
Comment les entreprises françaises contre-attaquent
Face à cette menace, les entreprises françaises ne restent pas les bras croisés. La riposte s’organise à plusieurs niveaux, et elle est elle-même de plus en plus alimentée par l’intelligence artificielle. Première ligne de défense : les solutions de filtrage des e-mails nouvelle génération. Des acteurs comme Vade (anciennement Vade Secure), une entreprise française basée à Lille, ont développé des moteurs d’analyse capables de détecter les signaux faibles d’un e-mail malveillant — même lorsque celui-ci ne contient aucun lien suspect ni pièce jointe douteuse. Ces outils analysent le style d’écriture, la cohérence contextuelle, les métadonnées d’envoi et les comportements inhabituels pour attribuer un score de risque à chaque message entrant.
Du côté des grandes entreprises, la tendance est à l’intégration de solutions de Security Operations Center (SOC) augmentées par l’IA. Ces plateformes, comme celles proposées par Sekoia.io — une pépite française de la cybersécurité — permettent de corréler automatiquement des milliers d’événements de sécurité pour identifier les campagnes de phishing en cours, remonter aux infrastructures des attaquants et bloquer les menaces en temps réel. L’humain reste dans la boucle pour les décisions critiques, mais l’IA accélère considérablement le temps de détection et de réponse.
La formation des équipes : le maillon humain reste essentiel
Même les meilleures solutions techniques ne suffisent pas si les collaborateurs ne sont pas formés à reconnaître les tentatives d’hameçonnage. C’est un constat partagé par l’ensemble des experts en cybersécurité : la majorité des compromissions réussies commencent par une erreur humaine. C’est pourquoi de nombreuses entreprises françaises investissent massivement dans des programmes de security awareness, ces formations de sensibilisation qui simulent de vraies attaques de phishing pour entraîner les équipes à les identifier. Des plateformes comme Mantra, une start-up française spécialisée dans la formation par simulation, connaissent une croissance spectaculaire en ce début 2025.
L’approche a évolué avec l’IA : les simulations de phishing sont désormais générées dynamiquement, adaptées au profil de chaque employé, à son département, à ses habitudes numériques. Un employé des ressources humaines recevra une fausse offre de candidature piégée ; un comptable, un faux avis de virement urgent. Cette personnalisation des scénarios d’entraînement permet d’augmenter significativement l’efficacité des formations. Selon plusieurs études récentes, les entreprises qui déploient ce type de programme réduisent leur taux de clics sur des liens malveillants de plus de 70 % en l’espace de six mois.
Le cadre réglementaire français et européen comme bouclier supplémentaire
La France et l’Union Européenne ont également pris la mesure du problème au niveau législatif. La directive NIS2, entrée en vigueur en octobre 2024 et en cours de transposition dans le droit français, impose désormais à un spectre beaucoup plus large d’entreprises — y compris des PME dans des secteurs jugés critiques — de mettre en place des dispositifs robustes de gestion des risques cyber, incluant explicitement les risques liés au phishing et à l’ingénierie sociale. Les sanctions en cas de manquement peuvent atteindre plusieurs millions d’euros, ce qui pousse les dirigeants à prendre le sujet au sérieux.
Par ailleurs, l’AI Act européen, dont les premières dispositions sont entrées en application début 2025, encadre l’utilisation des systèmes d’IA à haut risque et impose des obligations de transparence qui pourraient, à terme, compliquer la tâche des acteurs malveillants qui exploitent des modèles d’IA pour leurs campagnes d’attaque. Si ce cadre réglementaire ne résoudra pas le problème à lui seul, il constitue un signal fort : l’Europe entend peser dans la bataille pour la maîtrise de l’IA, y compris sous son angle le plus sombre. Pour les entreprises françaises, naviguer dans cet environnement réglementaire tout en maintenant leur niveau de protection opérationnelle représente un défi de taille — mais aussi une opportunité de structurer une approche de cybersécurité véritablement durable.