Phishing 2.0 : quand l'intelligence artificielle arme les cybercriminels

Le phishing n'a jamais disparu. Il a simplement changé de visage. Et en 2025, selon le rapport annuel de Zscaler ThreatLabz, ce visage est désormais celui de l'intelligence artificielle. Finies les campagnes massives et maladroites : place aux attaques chirurgicales, intelligentes et ciblées, menées contre les fonctions névralgiques des entreprises.

Les chiffres peuvent sembler rassurants au premier abord : le volume global des tentatives de phishing a baissé de 20 % en 2024. Mais cette baisse cache une mutation inquiétante. Les cybercriminels délaissent le volume au profit de la précision. C'est notamment le cas dans les services IT, RH, paie et finances, qui concentrent désormais l'essentiel des attaques.

Derrière cette évolution ? L'usage croissant de l'IA générative. Celle-ci permet aux attaquants de concevoir des e-mails, des interfaces, des deepfakes ou des messages parfaitement crédibles, personnalisés selon les habitudes, le contexte professionnel ou les fragilités psychologiques de la cible. Une efficacité redoutable, notamment face à des collaborateurs pressés ou peu sensibilisés aux risques cyber.

Un appât numérique omniprésent

Les attaques ne se limitent plus à l'e-mail. Les cybercriminels s'installent sur Telegram, Facebook, Steam ou Instagram pour piéger les utilisateurs. Ces plateformes servent autant à usurper des identités qu'à diffuser des malwares, cacher les communications ou collecter des données comportementales.

En 2024, plus de 159 millions de tentatives d'arnaques au support technique ou à l'emploi ont été recensées. Les escrocs se font passer pour des services informatiques ou des recruteurs, profitant de la confiance accordée aux outils numériques pour tromper les victimes.

Phishing-as-a-Service : l'industrialisation de la menace

L'IA a démocratisé la création de pièges numériques sophistiqués. Résultat : des kits de phishing prêts à l'emploi sont aujourd'hui vendus à bas prix sur le dark web. Certains ciblent même des niches, comme les faux générateurs de CV, assistants IA, ou plateformes de design graphique.

Les départements sensibles - paie, finance, RH - sont les plus exposés. Et les dirigeants, en raison de leurs droits étendus et de leur accès aux flux financiers, constituent des cibles de choix. Un simple clic peut ouvrir la voie à des détournements massifs ou à une compromission profonde du système d'information.

Une réponse : le Zero Trust renforcé par l'IA

Face à des attaques aussi évoluées, les défenses traditionnelles ne suffisent plus. Zscaler recommande une approche fondée sur le modèle Zero Trust, qui repose sur un principe simple : ne jamais faire confiance par défaut.

Mais dans un contexte d'attaque pilotée par l'IA, cela ne suffit plus. Il faut intégrer des outils de détection comportementale, des barrières dynamiques pilotées par l'IA, et des contrôles granulaires des accès.

Concrètement, cela signifie :

Réduire la surface d'attaque : chaque utilisateur accède uniquement à ce dont il a besoin.

Empêcher la compromission initiale : filtrer et analyser les requêtes en temps réel avec des moteurs IA.

Bloquer les mouvements latéraux : segmenter le réseau pour empêcher la propagation.

Détecter les comportements anormaux : grâce à une analyse continue des flux et des connexions.

Prévenir la fuite de données : en analysant les exfiltrations potentielles, y compris via des canaux indirects.

Les marchés émergents en ligne de mire

Alors que les standards de cybersécurité progressent dans les pays matures (États-Unis : -32 % de phishing), les attaquants déplacent leurs offensives vers les marchés émergents : Brésil, Hong Kong, Pays-Bas. L'adoption numérique y est forte, mais les investissements en cybersécurité restent insuffisants.

Les grandes économies comme l'Inde, l'Allemagne ou le Royaume-Uni continuent aussi d'être ciblées, avec des campagnes adaptées aux habitudes culturelles et aux calendriers locaux (fêtes, campagnes fiscales, périodes de recrutement...).

Entrepreneurs : l'heure de la riposte stratégique

Pour les chefs d'entreprise, ces constats appellent à des décisions immédiates :

Investir dans la cybersécurité basée sur l'IA : outils de prévention, analyse comportementale, surveillance proactive.

Former et sensibiliser les équipes : notamment dans les services RH, finances et direction.

Mettre en place une architecture Zero Trust : cloisonner les accès, authentifier strictement.

Simuler régulièrement des attaques : tester la résistance des collaborateurs et corriger les failles humaines.

Le phishing évolue. Votre défense aussi doit évoluer.

Le rapport 2025 de Zscaler ThreatLabz le confirme : les cybercriminels ont changé de braquet, adoptant les codes et les outils de l'innovation. Pour les contrer, il ne suffit plus de patcher ou d'installer un antivirus. Il faut penser la cybersécurité comme une culture d'entreprise, alignée sur les défis technologiques du présent.

La bonne nouvelle ? Les outils existent. Reste à les activer.