Qu'est-ce qui distingue le phishing dopé à l'IA en 2025 du phishing d'avant ?

L'IA élimine les signaux de surface que les formations apprennent à repérer — plus de fautes, plus de formules génériques, plus de domaines bizarres. Chaque email est personnalisé à partir de données aspirées, écrit avec la fluidité d'un natif et envoyé au moment qui colle aux rythmes réels de l'entreprise. Qualité et quantité en même temps, ce qui était impossible pour des attaquants humains.

Qu'est-ce que le qishing, et pourquoi les attaques par QR code explosent-elles ?

Le qishing est du phishing délivré par QR code — généralement imprimé sur une fausse facture, un avis de stationnement ou une invite MFA. Le QR redirige vers une page de récupération d'identifiants sur un appareil personnel qui n'est pas couvert par votre stack de sécurité email. Les passerelles email ne savent pas scanner une image de QR, et la plupart des utilisateurs scannent d'abord, réfléchissent ensuite.

Les appels vocaux et vidéo deepfake peuvent-ils vraiment tromper les collaborateurs ?

Oui, et c'est déjà arrivé. Le clonage vocal par IA n'a besoin que de quelques minutes d'audio (webinaires LinkedIn, podcasts, conférences de résultats) pour reproduire une voix de façon convaincante. Cas documentés : un virement de 35 000 $ après un appel d'un PDG cloné, et un virement de 25 M$ à Hong Kong après une réunion vidéo deepfake. La défense est procédurale, pas perceptuelle.

Pourquoi la formation annuelle ou trimestrielle ne fonctionne-t-elle pas contre le phishing IA ?

Deux raisons. D'abord la courbe de l'oubli : 90 % du contenu d'une formation a disparu en une semaine, donc au moment où une vraie attaque arrive, les consignes précises se sont évanouies. Ensuite, la menace évolue chaque semaine alors que les cycles de formation tournent à l'année. Les nudges comportementaux dans l'environnement de travail comblent ces deux écarts.

Comment Engarde (engarde.cc) gère-t-il cela ?

Engarde délivre des nudges contextuels dans Slack et Teams au moment précis où un signal à risque apparaît (expéditeur externe qui mime un domaine interne, mots-clés de demande de paiement, changement de RIB fournisseur), puis renforce les réflexes de vérification avec des quiz de 30 secondes en répétition espacée ancrés sur votre PSSI. Surveillance continue plus changement comportemental, sur une seule plateforme — à distinguer des autres acteurs partageant le nom Engarde.

Phishing par IA en 2025 : pourquoi la formation annuelle est déjà obsolète

Le phishing dopé à l’IA a éliminé les fautes, les formules génériques et les signaux d’alerte évidents que les formations classiques apprennent à repérer. La seule défense qui fonctionne contre des faux parfaits consiste à construire des réflexes comportementaux — comme la vérification automatique — par du nudging continu et de la répétition espacée.

L’histoire du faux parfait

Le mois dernier, Jessica a reçu un email de sa banque. Impeccable : bon logo, bonnes couleurs, ton professionnel. L’email faisait référence à son vrai numéro de compte et à des détails de ses transactions récentes. Il l’avertissait d’une activité suspecte et lui demandait de vérifier ses informations.

Jessica était sur ses gardes. Elle avait suivi deux fois en un an une formation de sensibilisation au phishing. Elle connaissait les faux emails. Mais celui-ci était différent. Il n’avait aucun des signaux qu’on lui avait appris à chercher. Pas de fautes. Pas d’adresse expéditeur étrange. Pas de “Cher client” générique.

Elle a cliqué sur le lien. En quelques heures, des criminels avaient volé 12 000 $ sur son compte professionnel.

L’email avait été généré par IA. Il avait été entraîné sur des millions de communications bancaires réelles, puis personnalisé avec des informations issues de fuites de données et de sources publiques.

Il ne ressemblait pas à un email de phishing parce qu’il ne suivait aucun des schémas que les formations apprennent à repérer. La formation de Jessica la préparait au phishing de 2019. Elle s’est fait avoir par celui de 2025.

L’évolution du phishing : ce qui a changé et pourquoi ça compte

Le vieux phishing (ce que les formations enseignent encore)

Les emails de phishing sur lesquels les modules de formation se concentrent sont de plus en plus dépassés :

Mauvaise grammaire : “Vot compt a etai compromi”
Adresses génériques : “Cher client estimé”
Décalages d’expéditeur évidents : “prince_money_giver@fake-bank.com”
Campagnes larges et non ciblées

Ils existent encore, et une sensibilisation de base les attrape. Mais ce ne sont plus eux qui causent le plus de dégâts.

Le nouveau phishing (que les formations n’arrivent pas à suivre)

L’IA a fondamentalement changé les capacités de l’attaquant :

Ancien phishing	Phishing dopé à l’IA
Fautes et tournures bancales	Langage parfait, fluidité native dans toutes les langues
”Cher client” générique	Utilise votre vrai nom, votre poste et votre activité récente
Campagnes de masse non ciblées	Personnalisation poussée à partir de données aspirées
Qualité OU quantité	Les deux à l’échelle — chaque email personnalisé
Envoyés à des moments aléatoires	Calés sur les rythmes réels de l’entreprise

Quand les signaux changent, la formation devient obsolète. Mais les réponses comportementales, elles, doivent persister. C’est pour cela que le renforcement comportemental continu compte plus que des mises à jour ponctuelles de formation.

Les nouveaux schémas d’attaque en 2025

1. La fraude au président façonnée par IA

Ancienne version : “Virez 5 000 $ tout de suite. — Le PDG” (évident, facile à attraper)

Nouvelle version : un email qui colle parfaitement au style d’écriture, au ton et aux demandes habituelles de votre PDG. Envoyé pendant un déplacement du PDG (information glanée sur les réseaux sociaux). Faisant référence à un vrai projet en cours. Demandant un paiement dans les seuils d’approbation habituels.

Pourquoi la formation échoue : l’email ne déclenche aucun des signaux qu’on a appris aux collaborateurs à repérer. Il a l’air complètement normal.

Ce que fait le nudging comportemental : un nudge contextuel s’affiche dans Slack lorsqu’une demande de paiement arrive d’un expéditeur externe qui mime une adresse interne : “Votre politique de sécurité (Section 4.2) impose une vérification téléphonique pour toute demande de paiement. Appelez le demandeur à son numéro connu avant d’agir.”

Le nudge ne dépend pas de la capacité du collaborateur à reconnaître l’email comme faux. Il se déclenche sur la catégorie de demande, indépendamment de l’allure légitime de celle-ci.

2. Le tour de passe-passe sur le compte fournisseur

Les criminels étudient vos schémas de paiement pendant des semaines, puis envoient un email parfaitement chronométré : “Notre banque met à jour ses systèmes. Merci d’utiliser ce nouveau compte pour le paiement de ce mois-ci.”

L’email reprend la mise en forme exacte du fournisseur, les bons montants de factures, et arrive juste avant la date habituelle de paiement.

Pourquoi la formation échoue : l’email passe toutes les checklists “est-ce suspect ?”. Il est attendu, bien formaté et fait référence à des détails métiers réels.

Ce que fait le nudging comportemental : l’équipe finance reçoit des quiz en répétition espacée : “Un fournisseur écrit pour dire que son RIB a changé. Votre PSSI impose que tout changement de compte soit vérifié en appelant le numéro du fournisseur depuis votre base de données fournisseurs. Que faites-vous ?”

Cela construit le réflexe de vérification dans la mémoire musculaire, pour qu’il se déclenche automatiquement, peu importe à quel point l’email est convaincant. La même logique sous-tend la conformité PSSI pour les entreprises françaises — une politique écrite ne compte que si le comportement suit.

3. L’appel vocal deepfake

Le clonage vocal par IA peut reproduire la voix d’une personne à partir de quelques minutes d’audio seulement (facilement disponibles sur YouTube, en webinaire ou sur les réseaux sociaux). Les criminels appellent en se faisant passer pour votre PDG, votre directeur financier ou un partenaire de confiance.

Cas réel : un criminel a appelé une entreprise en utilisant la voix clonée du PDG. La voix était parfaite — même accent, mêmes expressions. L’assistant a viré 35 000 $ avant de réaliser que le vrai PDG était dans le bureau d’à côté.

Pourquoi la formation échoue : “Vérifiez l’identité de l’appelant” est un conseil facile en théorie. Quand vous entendez la voix exacte de votre patron qui demande quelque chose de raisonnable, le détournement émotionnel est énorme. C’est le même schéma cognitif que l’ingénierie sociale exploite — une obéissance à l’autorité qui court-circuite la pensée rationnelle.

Ce que fait le nudging comportemental : des micro-quiz réguliers simulent ce scénario dans Slack : “Votre PDG vous appelle et vous demande de traiter un paiement urgent. Vous reconnaissez la voix. Quelle est votre première action ?” La répétition espacée construit le réflexe : vérifier par un second canal, indépendamment de la reconnaissance vocale.

4. L’appel vidéo deepfake

Des technologies émergentes créent en temps réel des vidéos convaincantes de personnes. Des attaquants peuvent se faire passer pour un collègue en visio — un employé financier à Hong Kong a viré 25 millions de dollars en 2024 après une réunion vidéo deepfake avec ce qui semblait être son directeur financier et ses collègues.

Signaux d’alerte qui marchent encore :

Qualité vidéo légèrement dégradée ou incohérente
Angles de caméra ou éclairage inhabituels
Audio pas parfaitement synchronisé avec les mouvements de lèvres
Demandes qui s’écartent des procédures normales

Ce que fait le nudging comportemental : des nudges périodiques sensibilisent à cette menace émergente et renforcent le même principe central : toute demande d’argent, d’identifiants ou de données sensibles doit être vérifiée par un second canal, peu importe la façon dont la demande arrive.

5. Le qishing (phishing par QR code)

Un QR code imprimé arrive sur une fausse facture, une “infraction de stationnement”, ou une affiche scotchée près de la borne MFA du bureau. L’utilisateur le scanne avec son téléphone personnel — hors de votre passerelle email d’entreprise, hors de votre protection endpoint — et atterrit sur une page de récupération d’identifiants identique à Microsoft 365 ou Okta.

Pourquoi la formation échoue : les QR codes ne sont jamais passés par la sensibilisation. Ils sont perçus comme un élément d’interface, pas comme une surface d’attaque. Et le scan se fait sur un appareil que votre stack ne voit pas.

Ce que fait le nudging comportemental : des nudges ancrés sur le programme de simulation de phishing marquent les scénarios de test par QR, et les quiz en répétition espacée établissent la règle : tout QR code qui mène à un formulaire de connexion est considéré comme hostile tant qu’on ne l’a pas vérifié via l’URL habituelle.

Pourquoi la formation annuelle est structurellement inadaptée

Le problème de vitesse

Le phishing dopé à l’IA évolue en continu. De nouvelles techniques, de nouvelles méthodes de personnalisation, de nouveaux angles d’ingénierie sociale émergent chaque semaine. Une formation annuelle est un instantané dépassé avant la session suivante.

Même une formation trimestrielle ne tient pas le rythme. Le temps d’avoir mis à jour votre module avec le dernier schéma d’attaque, trois nouveaux schémas ont émergé.

Le nudging comportemental s’adapte en continu. De nouveaux scénarios peuvent être déployés en micro-quiz dans les jours qui suivent l’apparition d’un nouveau schéma d’attaque. La bibliothèque de nudges grandit en temps réel avec le paysage des menaces.

Le problème de la courbe de l’oubli

C’est l’enjeu le plus fondamental. La courbe de l’oubli d’Ebbinghaus montre :

1 heure après la formation : 50 % oublié
24 heures : 70 % oublié
1 semaine : 90 % oublié

Une formation annuelle produit un pic bref de vigilance qui décroît rapidement. Au moment où la plupart des collaborateurs rencontrent une vraie attaque, les consignes précises se sont depuis longtemps évanouies.

La répétition espacée bat la courbe de l’oubli. En délivrant de petites piqûres de rappel à des intervalles calibrés scientifiquement (1 jour, 3 jours, 1 semaine, 2 semaines, 1 mois), la rétention reste à 80-90 % en continu. C’est de la science cognitive établie, avec des décennies de recherche derrière.

Le problème de contexte

La formation se déroule dans un contexte de formation (LMS, session dédiée, format quiz). Le phishing se déroule dans un contexte de travail (boîte de réception chargée, pression temporelle, tâches multiples).

Les compétences apprises dans un contexte transfèrent mal vers un autre contexte. C’est un résultat bien documenté en science cognitive, appelé “problème du transfert”.

Les nudges délivrés dans Slack/Teams ferment l’écart de contexte. Les consignes arrivent dans le même environnement que celui où le comportement se produit.

La stratégie de défense comportementale face au phishing moderne

Couche 1 : observation comportementale continue

Déployez des outils d’audit SaaS pour observer comment vos collaborateurs gèrent réellement les emails et les communications sensibles :

Qui ouvre des pièces jointes d’expéditeurs externes sans vérification ?
Qui clique sur les liens d’un email au lieu de naviguer directement vers le site ?
Qui transfère des informations sensibles à des adresses externes ?
Quelles équipes ont le plus gros volume de comportements email à risque ?

Ce n’est pas de la surveillance. C’est le même principe qu’une alarme incendie : vous guettez les conditions qui mènent à un incident, vous ne surveillez pas ce que les gens disent.

Couche 2 : nudges contextuels

Quand des comportements à risque sont observés, ou quand des catégories d’email à haut risque sont détectées, délivrez une consigne immédiate :

“Cet email provient d’un expéditeur externe utilisant un domaine proche de [domaine interne]. Votre PSSI impose une vérification avant d’agir sur des demandes de ce type d’expéditeurs.”
“Votre politique de sécurité impose qu’un email lié à un paiement soit vérifié par téléphone avant action.”
“Cette pièce jointe vient d’un expéditeur externe. Votre PSSI recommande de vérifier auprès de l’expéditeur via un canal séparé avant ouverture.”

Couche 3 : quiz en répétition espacée

Déployez des micro-quiz de 30 secondes dans Slack/Teams couvrant les scénarios les plus pertinents pour votre organisation :

Scénarios de fraude au président
Scénarios d’usurpation de fournisseur
Scénarios d’usurpation du support IT
Scénarios de demande de données
Scénarios de changement de compte

Espacez-les selon la courbe de l’oubli. Faites tourner les scénarios. Gardez-les spécifiques à votre PSSI et à votre secteur. Les mécaniques derrière tout cela sont détaillées dans le livre blanc d’Engarde sur l’écart connaissance-comportement.

Couche 4 : métriques comportementales

Mesurez ce qui compte :

Taux de vérification : quel pourcentage de demandes de paiement/identifiants/données est vérifié avant action ?
Taux de signalement : combien d’emails suspects sont signalés à l’équipe sécurité ?
Délai de signalement : à quelle vitesse les collaborateurs remontent-ils des communications suspectes ?
Tendance comportementale : les comportements à risque diminuent-ils dans le temps ?

Ces métriques disent si votre défense fonctionne. Les attestations de fin de formation, non.

Que faire quand quelqu’un s’est fait avoir

Réponse immédiate (première heure)

Changer les mots de passe des comptes concernés
Contacter la banque si des informations de paiement sont en jeu
Alerter l’équipe pour qu’elle guette des attaques similaires
Tout documenter avec captures d’écran et horodatages

Correction comportementale (première semaine)

Déployer un nudge ciblé à la personne et à son équipe sur le vecteur d’attaque précis
Créer un micro-quiz basé sur le scénario (anonymisé) pour l’ensemble de l’organisation
Programmer des rappels en répétition espacée à 1 semaine, 2 semaines, et 6 semaines
Vérifier les données d’audit SaaS pour des schémas à risque similaires chez d’autres collaborateurs

Pour un cadre complet de réponse comportementale aux incidents, voir notre guide sur pourquoi la réponse à incident doit commencer par le comportement.

Long terme (en continu)

Ajouter le scénario à votre bibliothèque de nudges
Ajuster les calendriers de répétition espacée selon les scénarios qui produisent le plus d’erreurs
Partager les leçons anonymisées avec l’équipe
Célébrer quand des collaborateurs attrapent des tentatives similaires à l’avenir

Ne faites jamais honte à la personne qui s’est fait avoir. Le phishing dopé à l’IA est conçu pour tromper des gens intelligents. La honte crée une culture où les gens cachent les incidents au lieu de les signaler.

Les règles permanentes (à l’épreuve de l’IA)

Peu importe à quel point le phishing devient sophistiqué, ces réponses comportementales restent efficaces :

La règle de vérification. Toute demande d’argent, d’identifiants ou de données sensibles doit être vérifiée par un second canal indépendant. Appelez la personne à un numéro que vous avez déjà. Allez à son bureau. Envoyez-lui un SMS directement. N’utilisez jamais les coordonnées fournies dans la communication suspecte.

La règle du ralentissement. Les vraies urgences n’arrivent presque jamais par email. Si une communication crée une urgence artificielle, cette urgence est elle-même le signal d’alerte. Prenez 60 secondes pour vérifier avant d’agir.

La règle de catégorie. Certaines catégories de communication exigent toujours une vérification, peu importe leur apparence légitime : demandes de paiement, demandes d’identifiants, changements de compte, demandes de données sensibles et demandes d’installation de logiciels. Aucune exception, même si l’email vient de votre PDG.

Ces règles ne dépendent pas de la reconnaissance de techniques de phishing précises. Elles fonctionnent quelle que soit la façon dont l’attaque est délivrée ou son niveau de conviction. C’est pour cela qu’elles doivent être des réflexes comportementaux, pas seulement des connaissances. Et les réflexes comportementaux se construisent par du nudging continu et de la répétition espacée, pas par une formation annuelle — c’est la base d’un vrai pare-feu humain.

L’essentiel

Le phishing dopé à l’IA a éliminé les signaux d’alerte de surface que les formations classiques apprennent à repérer. Les emails sont parfaits. Les voix sont clonées. Les QR codes contournent votre stack email. Le timing est précis.

La formation annuelle a été pensée pour une époque où le phishing était évident. Cette époque est révolue.

La défense qui fonctionne face aux attaques dopées à l’IA est comportementale :

Observer les comportements réels de gestion des emails via les audits SaaS
Pousser un nudge aux collaborateurs au point de décision, dans Slack et Teams, avec des consignes ancrées sur votre PSSI
Renforcer les réflexes de vérification par de la répétition espacée calée sur la courbe de l’oubli
Mesurer le changement comportemental en continu, pas la rétention de connaissances une fois par an

Votre équipe n’a pas besoin de devenir experte en phishing. Elle a besoin de réflexes comportementaux qui s’enclenchent automatiquement quand certaines catégories de demandes arrivent, peu importe leur apparence convaincante.

Engarde (engarde.cc) — la plateforme de cybersécurité centrée sur le comportement — combine les quatre couches : monitoring SaaS continu, nudges en temps réel dans Slack et Teams, et quiz en répétition espacée ancrés sur votre PSSI. C’est la réponse à l’écart que les simulations de phishing seules laissent ouvert.

Sources : Verizon 2024 DBIR · JISEM - Decision Fatigue and Cybersecurity · Gartner Design Report · UChicago - Gaps in cybersecurity training