Le phishing a toujours été le vecteur d’attaque numéro un. Mais en 2026, l’intelligence artificielle générative a transformé ce qui était autrefois des emails maladroits bourrés de fautes d’orthographe en attaques sophistiquées, personnalisées et quasiment indétectables. Les frontières entre communication légitime et tentative de fraude n’ont jamais été aussi floues.
Les outils d’IA générative — modèles de langage, générateurs de voix, créateurs de vidéo — sont désormais accessibles à tout le monde, y compris aux cybercriminels. Et ces derniers ne se privent pas de les utiliser pour industrialiser et perfectionner leurs campagnes de phishing.
Les chiffres du phishing IA en 2026
Les statistiques sont alarmantes et confirment l’ampleur du phénomène :
- 300 % d’augmentation des attaques par deepfake vocal et vidéo entre 2023 et 2025 selon le FBI
- 98 % des organisations ont reçu au moins un email de phishing généré par IA au cours des 12 derniers mois (rapport Abnormal Security 2025)
- 4,9 milliards de dollars de pertes dues aux fraudes BEC (Business Email Compromise) en 2024 selon l’IC3 du FBI
- 65 % des emails de phishing IA passent les filtres de sécurité email traditionnels (rapport SlashNext 2025)
- Taux de clic multiplié par 3 sur les emails de phishing générés par IA par rapport aux emails de phishing traditionnels
- Temps moyen de création d’une campagne de phishing réduit de plusieurs jours à quelques minutes grâce à l’IA
Ces chiffres montrent que l’IA a fondamentalement changé l’équation du phishing : les attaques sont plus nombreuses, plus convaincantes et plus efficaces que jamais.
Les 5 types de phishing IA en 2026
1. Spear phishing hyper-personnalisé
Le spear phishing ciblé existait avant l’IA, mais il nécessitait un travail de recherche manuel considérable. L’attaquant devait passer des heures à étudier sa cible sur LinkedIn, les réseaux sociaux et les sites d’entreprise pour rédiger un email crédible.
Avec l’IA, ce processus est entièrement automatisé. Un modèle de langage peut analyser en quelques secondes le profil LinkedIn d’une cible, ses publications récentes, les actualités de son entreprise, et générer un email parfaitement contextualisé. L’email mentionne un projet réel, utilise le jargon du secteur, imite le style de communication d’un collègue, et arrive au moment précis où la cible est susceptible de baisser sa garde (fin de trimestre, période d’audit, fusion en cours).
Exemple concret : un directeur financier reçoit un email apparemment envoyé par le DG, mentionnant une acquisition confidentielle en cours (information réelle trouvée dans la presse spécialisée), demandant un virement urgent vers un compte tiers. L’email est rédigé dans le style exact du DG, avec ses expressions habituelles extraites de ses emails précédents.
2. Vishing et deepfake vocal
Le vishing (voice phishing) par IA utilise des outils de clonage vocal pour reproduire la voix d’un dirigeant, d’un collègue ou d’un partenaire. Avec seulement 3 à 10 secondes d’enregistrement vocal (facilement récupérable sur YouTube, un podcast, un webinaire ou une messagerie vocale), les outils actuels peuvent générer une réplique vocale convaincante en temps réel.
L’attaque se déroule généralement par téléphone : l’employé reçoit un appel du « DG » qui lui demande d’effectuer un virement urgent, de communiquer des identifiants, ou d’installer un logiciel de maintenance à distance. La voix est suffisamment convaincante pour contourner la méfiance naturelle de la cible.
En 2024, une entreprise hongkongaise a perdu 25 millions de dollars suite à un appel vidéo deepfake où des employés du service financier pensaient parler à leur directeur financier basé à Londres.
3. Vidéo deepfake en visioconférence
L’étape suivante du vishing : le deepfake vidéo en temps réel. Des outils permettent désormais de substituer le visage et la voix d’une personne lors d’un appel vidéo Teams, Zoom ou Google Meet. L’attaquant se fait passer pour un dirigeant ou un partenaire lors d’une visioconférence et demande des actions urgentes.
Bien que cette technologie soit encore détectable par un œil averti (micro-artefacts, latence, mouvements de lèvres décalés), elle s’améliore à une vitesse stupéfiante. Dans un contexte de réunion rapide avec une mauvaise connexion, ces imperfections passent facilement inaperçues.
4. QR code phishing (quishing)
Le quishing exploite la confiance des utilisateurs envers les QR codes et le fait que les filtres de sécurité email ne peuvent pas analyser le contenu d’un QR code intégré dans une image. L’attaquant envoie un email contenant un QR code qui redirige vers une page de phishing.
L’IA intervient dans la création de l’email d’accompagnement (parfaitement rédigé et contextualisé) et dans la génération de la page de phishing (copie pixel-perfect du portail Microsoft 365, de la banque, ou de l’application métier de la cible). Le QR code est souvent présenté comme un accès à un document partagé, une facture, ou une procédure de vérification de sécurité.
Le quishing est particulièrement insidieux car il force la cible à scanner le code avec son téléphone personnel, qui n’est généralement pas protégé par les mêmes couches de sécurité que le poste de travail professionnel.
5. Phishing multi-canal (email + SMS + appel)
L’attaque la plus sophistiquée combine plusieurs canaux pour maximiser la crédibilité. Scénario typique :
- Jour 1, email : la cible reçoit un email (généré par IA) du « service informatique » annonçant une migration de sécurité et demandant de confirmer son identité dans les 48 heures.
- Jour 2, SMS : un SMS de rappel avec un lien vers un faux portail d’authentification.
- Jour 2, appel : un appel téléphonique du « support IT » (voix clonée ou acteur) qui guide la cible pour « compléter la procédure de migration » et récupère le code MFA en temps réel.
Cette approche multi-canal est dévastatrice car chaque interaction renforce la crédibilité des autres. La cible se dit que si le service IT a envoyé un email, un SMS et appelle au téléphone, c’est forcément légitime.
Comment l’IA aide aussi les défenseurs
Heureusement, l’IA n’est pas uniquement une arme offensive. Les éditeurs de sécurité l’utilisent aussi pour renforcer les défenses contre le phishing :
- Analyse comportementale des emails : l’IA apprend les patterns de communication habituels de chaque utilisateur et de chaque expéditeur. Un email qui s’écarte du comportement normal (ton inhabituel, demande anormale, heure d’envoi atypique) est signalé automatiquement.
- Détection de deepfake : des algorithmes analysent les signaux audio et vidéo pour détecter les artefacts caractéristiques des contenus générés par IA (micro-variations de fréquence vocale, incohérences de texture faciale).
- Analyse sémantique : au-delà des filtres basés sur les signatures et les URLs malveillantes, l’IA analyse le sens du message pour détecter les tentatives de manipulation (urgence artificielle, demande de contournement de procédure, pression hiérarchique).
- Threat intelligence en temps réel : l’IA corrèle les signaux faibles provenant de millions de boîtes mail pour détecter les nouvelles campagnes dès leur lancement, avant même que les IOC (indicateurs de compromission) ne soient publiés.
Les bonnes pratiques contre le phishing IA : 10 mesures essentielles
1. MFA résistant au phishing
Le MFA par SMS ou par application (code TOTP) est contournable par les attaques en temps réel (proxy de phishing type Evilginx). Privilégiez le MFA résistant au phishing : clés FIDO2/WebAuthn (YubiKey, Windows Hello), qui valident cryptographiquement le domaine du site et sont impossibles à intercepter par un proxy.
2. DMARC, DKIM et SPF strictement configurés
Ces trois protocoles d’authentification email empêchent l’usurpation du domaine de votre entreprise. Configurez DMARC en mode « reject » (pas « none » ni « quarantine ») pour bloquer tout email non authentifié envoyé depuis votre domaine. C’est la protection de base contre le spoofing.
3. Sensibilisation continue et contextuelle
Les formations annuelles de 30 minutes ne suffisent plus. Mettez en place un programme de sensibilisation continu avec des micro-formations mensuelles, des alertes contextuelles (avant les périodes de clôture financière par exemple), et des rappels visuels sur les signatures email.
4. Simulations de phishing régulières
Réalisez des campagnes de phishing simulé mensuelles avec des scénarios réalistes incluant des emails générés par IA. Mesurez le taux de clic, le taux de signalement, et adaptez les formations en fonction des résultats. Les utilisateurs qui cliquent doivent suivre une formation corrective immédiate, pas punitive.
5. Procédures de vérification pour les virements
Toute demande de virement, de modification de RIB ou de paiement urgent doit faire l’objet d’une procédure de double validation : vérification par un deuxième canal (appel au numéro connu, pas au numéro indiqué dans l’email) et validation par un deuxième signataire. Aucune exception, même si la demande vient « du DG ».
6. Conditional Access et Zero Trust
Configurez des politiques d’accès conditionnel qui bloquent les connexions depuis des pays inhabituels, des appareils non conformes, ou des IP suspectes. Même si un attaquant récupère des identifiants, les politiques d’accès conditionnel ajoutent une couche de protection supplémentaire.
7. Protection email avancée
Déployez une solution de protection email de nouvelle génération qui intègre l’analyse par IA : Microsoft Defender for Office 365, Proofpoint, Mimecast, ou Abnormal Security. Ces solutions détectent les tentatives de BEC et de phishing que les filtres traditionnels laissent passer.
8. Mot de passe verbal pour les demandes sensibles
Contre le vishing deepfake, établissez un mot de passe verbal connu uniquement des dirigeants et des personnes habilitées à valider des opérations sensibles. Toute demande par téléphone d’un virement ou d’une action critique doit être accompagnée de ce mot de passe.
9. Surveillance des domaines similaires
Les attaquants enregistrent des domaines qui ressemblent au vôtre (typosquatting) pour envoyer des emails crédibles. Surveillez les enregistrements de domaines similaires au vôtre et enregistrez préventivement les variantes les plus évidentes.
10. Culture du signalement
Créez un bouton « Signaler un phishing » accessible en un clic dans le client email. Encouragez les signalements (pas de sanction en cas de faux positif). Chaque email signalé permet au SOC d’analyser la menace et de protéger le reste de l’organisation. Félicitez publiquement les employés qui signalent des tentatives de phishing.
Que faire si un employé clique ? Procédure de réponse
Malgré toutes les précautions, un employé finira par cliquer sur un lien de phishing ou communiquer ses identifiants. L’important est de réagir vite et bien :
Dans les 5 premières minutes
- L’employé signale immédiatement l’incident (pas de honte, pas de sanction)
- Le SOC ou l’équipe IT réinitialise immédiatement le mot de passe du compte compromis
- Révoquer toutes les sessions actives du compte (Entra ID : Revoke Sessions)
- Vérifier et révoquer les éventuels tokens OAuth accordés par l’utilisateur
Dans l’heure qui suit
- Analyser les logs de connexion du compte : y a-t-il eu une connexion depuis une IP suspecte ?
- Vérifier les règles de messagerie : les attaquants créent souvent des règles de transfert automatique pour exfiltrer les emails
- Vérifier les applications consenties sur le compte
- Rechercher si d’autres employés ont reçu le même email de phishing et bloquer l’expéditeur
Dans les 24 heures
- Informer les employés concernés de la campagne de phishing en cours
- Analyser l’étendue de la compromission : quelles données étaient accessibles depuis le compte ?
- Si des données sensibles ont été exposées, évaluer l’obligation de notification (RGPD, NIS 2)
- Documenter l’incident pour améliorer les défenses
Après l’incident
- Mettre à jour les règles de filtrage email
- Utiliser l’incident comme cas de formation (anonymisé) pour sensibiliser les équipes
- Renforcer les contrôles qui ont été contournés
- Réviser les procédures si nécessaire
Conclusion
Le phishing par IA générative représente un saut qualitatif dans les capacités des attaquants. Les filtres email traditionnels et les formations de sensibilisation classiques ne suffisent plus. La défense doit elle aussi intégrer l’IA et adopter une approche multicouche : technologie avancée, procédures robustes, formation continue et culture du signalement.
RM3A propose des campagnes de simulation de phishing incluant des scénarios générés par IA, adaptés au contexte de votre entreprise. Nous mesurons la résilience de vos équipes et mettons en place les formations et les outils pour réduire drastiquement le risque. Contactez-nous pour planifier votre première campagne.
Pour aller plus loin
- Formation et sensibilisation à la sécurité — Apprenez à vos équipes à détecter les tentatives de phishing, même générées par l’IA.
- Simulation de phishing — Testez la vigilance de vos collaborateurs avec de fausses campagnes réalistes.
- Centre de cyberdéfense (SOC) — Détectez et bloquez les campagnes de phishing en temps réel grâce à notre SOC.
- Réponse à incident cyber — Si un collaborateur clique sur un lien malveillant, notre équipe intervient immédiatement.
