Quand l’IA s’invite dans le phishing

Le phishing n’a plus grand-chose d’artisanal.

Pendant longtemps, on repérait les tentatives les plus grossières à leurs fautes, à leur ton maladroit ou à leurs formulations improbables. Ce temps-là s’éloigne. Aujourd’hui, les messages frauduleux sont souvent bien rédigés, cohérents, personnalisés et parfois même étonnamment convaincants.

L’intelligence artificielle n’a pas inventé le phishing. En revanche, elle l’a rendu plus rapide à produire, plus facile à adapter et beaucoup plus crédible.

La vraie question n’est donc plus seulement de savoir qui va cliquer. Elle est de comprendre pourquoi ces messages paraissent désormais si plausibles — et comment les entreprises peuvent encore garder un coup d’avance.

1. Ce que l’IA change vraiment

L’apport de l’IA n’est pas seulement une meilleure qualité d’écriture.

Elle permet surtout de passer à l’échelle.

Un même scénario peut être décliné en plusieurs versions selon :

1. la langue ;
2. le métier visé ;
3. le ton attendu ;
4. le contexte de l’entreprise ;
5. le niveau hiérarchique de la cible.

Un faux message RH n’aura pas le même style qu’un faux message de direction ou qu’une relance fournisseur. C’est précisément là que le phishing devient plus dangereux : il ressemble de plus en plus à une communication normale.

Là où un ancien message frauduleux paraissait souvent suspect au premier regard, un message généré ou retravaillé par IA peut aujourd’hui sembler banal. Et dans ce domaine, ce qui paraît banal est souvent ce qu’il y a de plus efficace.

2. Les nouvelles formes du piège

Le phishing ne passe plus seulement par un e-mail malveillant avec un lien douteux.

Le faux message interne

C’est l’une des formes les plus efficaces. Un collaborateur reçoit une demande qui semble venir d’un manager, d’un RH ou d’un collègue. Le ton est juste, le sujet paraît crédible, et rien ne choque immédiatement.

Le deepfake vocal

Un appel urgent peut désormais compléter le message écrit. Il ne s’agit plus seulement d’un faux e-mail, mais d’une mise en scène plus large : une voix qui rassure, presse ou exige.

Le faux support en conversation

Au lieu d’un simple lien, certaines attaques prennent la forme d’un échange : chat, messagerie, conversation pseudo-technique. La victime n’a plus l’impression de subir une attaque, mais d’être accompagnée.

Le QRishing

Le QR code frauduleux continue aussi de progresser. Sur une facture, un document imprimé, un colis ou une affiche, il peut rediriger vers un faux portail très propre visuellement.

Le point commun entre toutes ces formes ? Elles cherchent moins à “forcer” qu’à faire paraître la demande normale.

3. Pourquoi les anciennes défenses montrent leurs limites

Beaucoup de protections classiques restent utiles, mais elles ont été pensées pour des attaques plus répétitives :

1. mêmes formulations ;
2. mêmes structures ;
3. mêmes indices visuels ;
4. mêmes liens malveillants réutilisés.

Avec l’IA, chaque message peut être légèrement différent.

Le style varie, le vocabulaire s’adapte, le ton change selon la cible.

Autrement dit, on ne fait plus face seulement à des messages suspects mal écrits. On fait face à des messages qui ressemblent à de vraies communications professionnelles.

C’est ce qui rend la détection plus difficile, autant pour les personnes que pour certains filtres trop basés sur des schémas anciens.

4. Ce qui fonctionne mieux aujourd’hui

La bonne réponse n’est pas de demander aux équipes de devenir méfiantes envers chaque e-mail. Une entreprise ne peut pas vivre dans un climat de doute permanent. Il faut plutôt renforcer les points de contrôle là où ils comptent vraiment.

Miser sur le contexte, pas seulement sur le contenu

Un message n’est pas suspect uniquement à cause de ce qu’il dit.

Il peut aussi l’être à cause de :

1. l’heure d’envoi ;
2. le canal utilisé ;
3. le domaine ;
4. le lieu de connexion ;
5. le type d’appareil ;
6. le décalage entre la demande et les habitudes réelles.

Un message peut être bien écrit et rester incohérent dans son contexte.

Renforcer l’identité

L’authentification forte, les revues de droits, la suppression des comptes inutiles et les méthodes de connexion plus robustes réduisent fortement la valeur d’un message frauduleux, même lorsqu’il réussit à tromper quelqu’un.

Repenser la sensibilisation

Les formations génériques et répétitives fatiguent vite. Ce qui aide davantage, ce sont des exemples réalistes, proches du quotidien de l’entreprise, avec des scénarios qui parlent vraiment aux équipes finance, RH, support ou direction.

Faciliter le signalement

Plus il est simple de signaler un doute, plus l’entreprise apprend vite. Une culture utile n’est pas une culture de la peur. C’est une culture où l’on peut dire : “Ce message me paraît étrange” sans perdre du temps ni avoir l’air ridicule.

5. L’enjeu pour les PME

Les petites structures ont souvent moins de couches de protection, moins de temps pour analyser les alertes et moins de marge d’erreur quand une fraude passe.

C’est justement pour cela qu’elles ne peuvent plus considérer le phishing comme un problème uniquement “utilisateur”. Le sujet touche aussi :

1. l’organisation ;
2. les circuits de validation ;
3. les habitudes de paiement ;
4. la gestion des accès ;
5. la rapidité de remontée d’un doute.

Un faux message convaincant devient vraiment dangereux quand il rencontre une procédure floue.

Conclusion

L’intelligence artificielle n’a pas rendu le phishing invincible. Elle l’a rendu plus crédible, plus souple et plus difficile à repérer à l’œil nu.

La réponse ne consiste pas à paniquer ni à croire que tout message bien rédigé est forcément légitime. Elle consiste à combiner de meilleures protections techniques, des réflexes plus simples et des règles internes plus claires.

Au fond, ce qui fera encore la différence, ce n’est pas la capacité à deviner chaque piège.

C’est la capacité à créer un environnement où un message, même très crédible, ne suffit pas à faire tomber toute l’organisation.