L'hameçonnage reste le point d'entrée numéro un des attaques. Longtemps, on apprenait à le repérer à ses maladresses : fautes d'orthographe, tournures étranges, logos approximatifs. L'IA générative a fait sauter ces repères. Les messages sont désormais impeccables, personnalisés et produits en masse. Il faut donc changer de méthode de défense.
Ce que l'IA change pour les attaquants
- Des messages parfaits : plus de fautes, un français naturel, un ton adapté à la cible.
- Un ciblage industrialisé : le spear phishing, autrefois artisanal, se produit à grande échelle en exploitant les informations publiques (réseaux sociaux, site de l'entreprise).
- L'imitation de la voix et de la vidéo : des « deepfakes » permettent de simuler un dirigeant au téléphone ou en visio pour ordonner un virement.
Les signaux sur lesquels se recentrer
Puisque la forme n'est plus fiable, concentrez-vous sur le contexte et l'intention :
- Une urgence ou une pression inhabituelle (« paiement immédiat », « confidentiel », « ne préviens personne »).
- Une demande sortant du processus normal : changement d'un RIB, virement exceptionnel, communication d'identifiants.
- Un canal inattendu : un dirigeant qui sollicite par SMS ou messagerie personnelle.
Toute demande de paiement ou de changement de coordonnées bancaires se vérifie par un second canal connu (rappeler la personne sur son numéro habituel), jamais via les coordonnées fournies dans le message. Un deepfake convaincant ne résiste pas à une contre-vérification hors ligne.
Se protéger : l'humain et la technique
- Authentification résistante à l'hameçonnage. Même un identifiant volé ne suffit plus si l'accès exige une clé FIDO2 : voir notre guide sur le MFA.
- Sensibilisation continue : des équipes entraînées, avec des procédures claires pour signaler un message douteux sans crainte.
- Filtrage et détection : protection de la messagerie, analyse des liens, journalisation des connexions pour repérer un compte compromis.
- Un processus de réaction si quelqu'un a cliqué : voir que faire dans les premières heures.
En résumé
L'IA n'a pas inventé l'hameçonnage, elle l'a rendu plus crédible et plus scalable. La parade ne consiste plus à « repérer les fautes », mais à douter des demandes anormales et à vérifier par un autre canal, le tout adossé à une authentification forte. La vigilance se construit, elle ne s'improvise pas.
Kenawek combine sensibilisation, MFA anti-hameçonnage et détection pour réduire concrètement votre exposition. Parlons-en.