Pendant des années, le conseil pour repérer un courriel de phishing tenait en une phrase : cherchez les erreurs. Fautes de grammaire, tournures bancales, un nom d'expéditeur qui ne collait pas tout à fait. Ce conseil est périmé. Une nouvelle étude publiée cette semaine place du contenu généré par IA dans 82,6 % des courriels de phishing, ce qui veut dire que les indices linguistiques qu'on apprenait à repérer sont devenus l'exception. Le temps nécessaire pour fabriquer un leurre convaincant est passé de quelques jours à quelques minutes.
La voix au téléphone est le nouveau problème
Le courriel n'est que la moitié de l'histoire. KENSAI et Ponemon rapportent une hausse de 300 % des fraudes au président (BEC) assistées par deepfake depuis janvier 2025, et la voix ou la vidéo synthétique figure désormais dans la majorité des cas dépassant 500 000 dollars US. Leur estimation des pertes liées au BEC par deepfake pour le seul premier trimestre 2026 tourne autour de 2,1 milliards de dollars US à l'échelle mondiale.
Mimecast a documenté une campagne, suivie sous le nom MCTO5005, où les attaquants se font passer pour des cabinets d'avocats, envoient des documents via DocuSign ou Adobe Sign pour paraître légitimes, puis enchaînent avec un appel à la voix synthétique pour pousser une instruction de paiement frauduleuse. Les cibles sont la banque et les services financiers, là où un seul virement approuvé peut constituer tout le casse.
Pourquoi vos filtres actuels perdent du terrain
La détection basée sur le contenu suppose que l'attaquant laisse des traces dans le texte. L'IA les efface. Le message se lit comme si votre fournisseur l'avait écrit, la facture respecte un vrai format, et la voix ressemble à celle de votre directeur financier parce qu'elle a été reconstruite à partir de quelques secondes d'une conférence. Une analyse parue cette semaine montre que les défenses assistées par IA réduisent d'environ 16 % le temps de traitement par incident, mais la même technologie côté attaque a augmenté le volume, la vitesse et la capacité d'évasion au point que le risque net reste élevé. Un tri plus rapide ne sert à rien quand les attaques arrivent encore plus vite.
Ce qui tient vraiment
Les contrôles qui survivent à ce basculement sont ceux qui ne dépendent pas du repérage d'un faux.
Faites passer vos utilisateurs à risque, c'est-à-dire la finance, la direction et les admins TI, à une MFA résistante au phishing comme FIDO2 ou WebAuthn. Le SMS et les codes à usage unique ne résistent pas aux attaques par relais en temps réel.
Imposez une vérification hors bande sur tout ce qui déplace de l'argent ou modifie une relation de confiance. Un rappel vers un numéro connu, pas celui inscrit dans le courriel. Un second approbateur pour toute nouvelle coordonnée bancaire. Une pause obligatoire sur tout changement de paiement présenté comme urgent. Ces étapes paraissent désuètes, et c'est exactement l'idée : une voix synthétique ne peut pas franchir un contrôle qu'elle ne touche jamais.
Orientez la détection vers le comportement plutôt que vers la langue. Une instruction de paiement modifiée, une nouvelle règle de transfert de boîte courriel, une connexion depuis un chemin inhabituel : aucun de ces signaux ne se soucie de la qualité de rédaction du courriel. Et reformez les équipes sur la vraie forme de l'attaque. La leçon n'est plus « cherchez les fautes ». C'est « vérifiez la demande par un canal distinct, à chaque fois, sans exception pour l'urgence ».
Les régulateurs poussent dans le même sens
La barre défensive monte en parallèle. Sous NIS2, le groupe de coopération NIS a adopté des modèles communs de déclaration d'incident, et les praticiens traitent le 30 juin 2026 comme une vraie échéance maintenant que la plupart des États membres de l'UE sont en phase d'application. Sur DORA, les superviseurs publient des délais de déclaration détaillés, signe que le régime est passé des principes à la mécanique. Le fil conducteur, c'est qu'on vous demandera de plus en plus de démontrer, dans un délai imparti, que vous savez détecter, contenir et déclarer.
L'IA n'a pas inventé l'ingénierie sociale. Elle a rendu la version bon marché aussi convaincante que la version coûteuse l'était autrefois, et l'a mise à la portée de presque n'importe qui. Les organisations qui tiennent ne sont pas celles qui ont le meilleur filtre courriel. Ce sont celles qui partent du principe que le message est faux et qui vérifient la demande de toute façon. Si vous préférez voir cette posture plutôt que la lire, la visite guidée du produit montre comment nous transformons l'exposition et la threat intelligence en temps réel en actions priorisées.