L’IA propulse le phishing, les entreprises doivent s’adapter

Les attaques de phishing amplifiées par l’IA

Le phishing n’est pas nouveau. Ce qui a changé, c’est l’efficacité et la précision, grâce à l’intelligence artificielle. Dans le passé, le phishing avait l’air maladroit. Des lignes d’objet mal orthographiées. Un formatage étrange. Aujourd’hui, l’intelligence artificielle s’occupe de la rédaction. Elle imite le ton. Elle analyse les modèles. Elle s’adapte aux secteurs, aux entreprises et au comportement des utilisateurs. Il n’est donc pas surprenant que 70 % des personnes interrogées dans le cadre de l’étude 2025 Global State of Authentication de Yubico pensent que l’IA favorise le succès du phishing. Et 78% pensent que les attaques sont de plus en plus sophistiquées.

Nous devrions faire confiance à cette réponse. Il ne s’agit pas seulement d’utilisateurs occasionnels. L’enquête a été menée auprès de 18 000 adultes salariés, des personnes qui utilisent des outils numériques tous les jours. La moitié des personnes interrogées n’étaient pas en mesure de reconnaître avec certitude un courriel d’hameçonnage. Il s’agit là d’une véritable préoccupation. Si les utilisateurs ne peuvent pas faire la différence entre une communication réelle et une communication fictive, la frontière entre les systèmes sécurisés et l’exposition est dangereusement mince.

Les entreprises ne peuvent pas se permettre d’utiliser par défaut les anciennes méthodes d’identification et de blocage du phishing. Les filtres de messagerie n’attraperont pas toutes les menaces conçues par l’IA. Et les programmes de sensibilisation ne suffisent plus. Cela signifie que les entreprises doivent évoluer plus rapidement et intégrer des défenses plus intelligentes qui utilisent l’IA pour repérer les escroqueries créées par l’IA. Il n’y a pas de place pour les atermoiements.

Cette évolution fait également remonter les responsabilités dans l’organigramme. Les dirigeants qui comprennent que les modèles de menace ont changé donneront la priorité aux
stratégies anti-hameçonnage
qui suivent le mouvement. C’est essentiel pour protéger la propriété intellectuelle, l’infrastructure et la crédibilité de la marque. Si vous pensez encore qu’il s’agit d’un problème informatique, vous êtes dans l’erreur.

Un taux d’engagement élevé à l’égard des contenus d’hameçonnage indique une grande vulnérabilité

Près de la moitié (44 %) de la population active mondiale a déclaré avoir interagi avec des contenus de phishing l’année dernière. Il s’agit d’utilisateurs qui cliquent sur des liens qu’ils ne devraient pas, qui ouvrent des pièces jointes qu’ils pensaient être sûres. Et 62 % des membres de la génération Z ont déclaré avoir interagi avec des contenus de phishing. Il s’agit de votre base de talents la plus jeune, de ceux qui adoptent le plus rapidement les outils numériques, mais aussi du groupe le plus exposé à ces attaques.

C’est là que les choses deviennent intéressantes. La capacité à identifier le phishing n’est pas très différente d’un groupe d’âge à l’autre. La génération Z, les milléniaux, la génération X et les baby-boomers se situent tous autour du même niveau de reconnaissance, autour de 45-47 %. Qu’est-ce que cela nous apprend ? Qu’il s’agit d’un problème universel. Plus d’éducation ne fera pas de mal, mais la plus grande opportunité est de repenser la façon dont nous protégeons les utilisateurs, quel que soit l’âge, le département ou l’appareil.

C’est important parce que le phishing n’est plus aléatoire. Il est intelligent. Il est personnel. Il imite les flux de travail réels. Les attaquants connaissent les structures de votre entreprise et votre pile de logiciels. Si votre équipe n’est pas à jour ou si vos systèmes dépendent encore de personnes qui font le « bon clic », vous êtes exposé.

Les dirigeants qui se concentrent sur la résilience opérationnelle devraient y prêter attention. Lorsque près de la moitié de votre personnel est à un clic de compromettre des systèmes critiques, vous n’avez pas seulement affaire à un problème d’erreur d’utilisation. Vous avez affaire à une faiblesse structurelle. Pour y remédier, il faut une réponse à plusieurs niveaux : une formation plus intelligente, des outils d’authentification modernes et une détection des menaces soutenue par l’IA. Les cybermenaces évoluent rapidement. Les systèmes et le leadership doivent évoluer plus rapidement.

Recours généralisé aux méthodes d’authentification traditionnelles malgré les problèmes de sécurité

Dans le domaine de la cybersécurité, on parle beaucoup de
l’abandon des noms d’utilisateur et des mots de passe
. Tout le monde s’accorde à dire qu’ils sont dépassés. Seulement 26 % des personnes interrogées par Yubico les considèrent comme une option sûre. C’est un manque de confiance. Mais d’une manière ou d’une autre, ils restent la méthode de référence, utilisée par 56 % des personnes pour leurs comptes professionnels et 60 % pour leurs comptes personnels.

C’est dans ce fossé entre ce que nous savons et ce que nous faisons que les problèmes s’aggravent. Il existe des méthodes d’authentification plus fortes, l’authentification multifactorielle (AMF), les clés d’accès liées à un appareil et les clés de sécurité physiques. Elles sont disponibles dès à présent. Mais seulement 48 % des personnes interrogées ont déclaré que leur organisation appliquait l’AMF à tous les systèmes de l’entreprise. Ce n’est pas une sécurité stratégique. C’est de la commodité au prix de l’exposition.

Les mots de passe sont faciles à utiliser. Ils sont familiers. Mais ils s’accompagnent d’une maintenance et d’un risque élevés. De plus, ils sont peu évolutifs dans un environnement de menaces moderne. Si le phishing s’accélère grâce à l’IA, comme le montrent les données, les systèmes d’authentification qui s’appuient sur la mémoire et le comportement des utilisateurs ne peuvent pas suivre.

Les dirigeants responsables de la stratégie de sécurité doivent se poser les bonnes questions. Si votre système dépend encore d’informations d’identification que les attaquants peuvent manipuler ou voler avec un seul message, votre entreprise est à l’arrêt. Le paysage des menaces n’attend pas. Investir dans des méthodes matérielles résistantes à l’hameçonnage ne fait pas que sécuriser vos systèmes, il assure aussi la pérennité de votre contrôle d’accès. Plus l’adoption d’une authentification conviviale et sécurisée sera rapide, plus votre écosystème numérique sera solide.

Le manque de formation à la cybersécurité exacerbe les vulnérabilités des organisations

Les données permettent de tirer une conclusion claire : 40 % des employés n’ont jamais reçu de formation à la cybersécurité au travail. Pas de sensibilisation de base. Pas de simulations d’hameçonnage. Pas de formation du tout. C’est un chiffre important quand on sait que l’erreur humaine est à l’origine d’un grand pourcentage des failles de sécurité. Il s’agit également d’une occasion manquée en matière de leadership.

Nous sommes arrivés à un point où la technologie seule ne suffira pas à résoudre le problème. Les entreprises qui n’investissent pas dans la formation s’appuient sur des hypothèses. Elles supposent que les utilisateurs savent ce qu’il faut chercher. Qu’ils sont capables de reconnaître les liens suspects. Qu’ils ont entendu parler des nouvelles menaces. Les données montrent que ce n’est pas le cas.

La cybersécurité n’est pas seulement une question d’infrastructure. Elle concerne le comportement des personnes qui interagissent avec l’infrastructure. Des équipes bien formées n’éliminent pas le risque, mais elles réduisent la fréquence et la gravité des incidents. Lorsque vous cessez de former les utilisateurs, vous introduisez des variables inutiles dans votre modèle de risque. Cela a de réelles conséquences financières et opérationnelles.

Si vous êtes un dirigeant responsable de la protection des données ou de la confiance des clients, c’est un domaine que vous contrôlez. La formation est l’un des moyens les plus directs et les plus rentables de renforcer votre position en matière de sécurité. C’est aussi un message clair adressé à votre personnel : nous prenons cette question au sérieux et nous attendons de vous que vous fassiez de même. Renforcer votre
couche humaine de sécurité
commence par la clarté, la répétition et le suivi par les dirigeants.

L’évolution mondiale vers des pratiques d’authentification améliorées et les préoccupations liées à l’IA

Le paysage mondial de la sécurité évolue, et plus rapidement que prévu. Nous assistons à de véritables changements dans la manière dont les gens envisagent la protection des comptes et le rôle que joue l’IA dans les menaces. Regardez la France. L’utilisation de l’AMF pour les comptes personnels est passée de 29 % en 2024 à 71 % en 2025. Il ne s’agit pas d’un petit changement culturel. Il s’agit d’une adoption à grande échelle. Vous constatez également que les inquiétudes liées à l’IA augmentent dans les principales économies numériques. Au Japon, l’inquiétude concernant les violations liées à l’IA a plus que doublé, passant de 31 % à 74 % en un an. Il en va de même en Suède, où l’inquiétude est passée de 37 % à 68 %. Au Royaume-Uni et aux États-Unis, l’inquiétude est passée d’environ 60 % à plus de 75 %.

Les dirigeants d’entreprises internationales devraient en prendre note. Ces changements suggèrent que les utilisateurs ne sont pas seulement plus conscients, mais qu’ils s’attendent à une sécurité plus forte. Ils comprennent que l’IA change l’équation. Ils recherchent des entreprises, des produits et des plateformes qui prennent leur sécurité numérique au sérieux. Cette attente concerne tous les secteurs d’activité, toutes les régions et tous les groupes démographiques.

Ce qui est utile ici, c’est la direction prise. Les régions généralement lentes à adopter de nouveaux outils de sécurité, comme la France, progressent rapidement. Pour les entreprises qui adoptent une approche « attentiste », c’est un signal. Le temps que votre entreprise se décide à se mettre à niveau, le marché aura déjà progressé. L’avantage concurrentiel ne viendra pas seulement des caractéristiques du produit, mais aussi de la confiance, en particulier en ce qui concerne la sécurité réelle de votre authentification.

Les améliorations en matière de sécurité devraient suivre le comportement global, et non pas être à la traîne. Les équipes responsables de la transformation de l’entreprise, de la conformité ou de l’expérience client doivent aligner leur stratégie sur cette dynamique. L’investissement dans des solutions d’identité modernes aura de l’importance, non seulement en interne, mais aussi dans les écosystèmes de partenaires, les interactions avec les utilisateurs et l’alignement réglementaire.

Confiance croissante dans les méthodes d’authentification basées sur le matériel

Les utilisateurs s’orientent vers la sécurité matérielle. Au Royaume-Uni, la confiance dans les clés physiques et les passe-partout est passée de 17 % à 37 % en un an. Aux États-Unis, elle est passée de 18 % à 34 %. Ce sont des personnes qui voient les limites des mots de passe et des systèmes basés sur des jetons et qui veulent quelque chose de plus sûr, sans complexité supplémentaire.

Cela ne se produit pas si les utilisateurs n’en comprennent pas la valeur. Les méthodes basées sur le matériel comme YubiKeys ne dépendent pas de ce que vous savez, elles prouvent ce que vous avez. Cela rend le phishing pratiquement inefficace. Les attaquants ne peuvent pas reproduire une clé physique stockée sur votre appareil. C’est de là que vient la confiance : moins de points de défaillance, un contrôle plus fort et une réduction des erreurs de l’utilisateur.

Pour les responsables de haut niveau, ce changement indique une direction claire. L’adoption de l’authentification matérielle ne restera pas limitée aux utilisateurs avertis. Au fur et à mesure que la confiance s’installe, les attentes augmentent. Les employés voudront avoir plus d’autorité sur leur propre sécurité. Les clients attendront des plateformes qu’elles adoptent des systèmes de connexion plus sûrs. Le marché définira ce qui est sûr, que votre organisation soit prête ou non.

Il s’agit également d’un cas rare où les technologies de l’information et les utilisateurs s’alignent naturellement. Les gens veulent des solutions plus rapides, plus sûres et qui ne les obligent pas à se souvenir ou à gérer plusieurs codes. C’est ce que permet l’authentification matérielle. Les équipes responsables de la transformation numérique, de la cybersécurité ou de l’architecture d’authentification devraient agir maintenant, et non pas itérer lentement. Car si les utilisateurs externes pensent déjà que les clés physiques sont le meilleur moyen de protéger l’accès, ce n’est qu’une question de temps avant que les régulateurs et les attaquants ne s’adaptent en conséquence.

Principaux enseignements pour les dirigeants

Le phishing progresse rapidement grâce à l’IA : l’IA rend les attaques de phishing plus réussies et plus difficiles à repérer, 70% des utilisateurs reconnaissant leur efficacité accrue. Les dirigeants devraient investir dans des outils de détection soutenus par l’IA et repenser les couches de sécurité des courriels.
L‘erreur humaine reste un point faible critique : 44% des employés ont interagi avec des contenus de phishing l’année dernière, la génération Z étant la plus impliquée. Les RSSI doivent donner la priorité à une meilleure formation des utilisateurs et mettre en place des simulations de phishing basées sur l’application de la loi.
L‘authentification traditionnelle est encore trop courante : malgré le manque de confiance dans les mots de passe, ceux-ci restent la méthode d’authentification dominante. Les responsables de la sécurité devraient accélérer la mise en place de l’AFM et éliminer les connexions par nom d’utilisateur et mot de passe dans la mesure du possible.
La formation à la cybersécurité est largement négligée : 40 % des travailleurs n’ont jamais reçu de formation à la cybersécurité, ce qui expose fortement les entreprises. Pour combler cette lacune, les dirigeants devraient imposer une formation continue et spécifique à chaque rôle dans tous les services.
Le comportement mondial évolue vers une sécurité plus forte : Des pays comme la France et le Japon adoptent l’AMF et reconnaissent les menaces de l’IA à grande échelle. Les entreprises opérant à l’échelle mondiale doivent aligner leurs normes de sécurité sur celles des régions les plus performantes pour rester compétitives.
La confiance dans la sécurité matérielle augmente : Les utilisateurs britanniques et américains s’orientent rapidement vers les clés de sécurité physiques et les passeports. Les décideurs devraient soutenir le déploiement de l’authentification matérielle dans les entreprises afin de renforcer les systèmes d’identité.

Alexander Procter

octobre 6, 2025

12 Min

Tags: Intelligence artificielle

Technologies et innovation
Quand la tech devient une affaire d’État
Nov 17, 2025

8 min
Technologies et innovation
Le SaaS peut-il garder sa place face à l’IA agentique
Nov 17, 2025

22 min
Technologies et innovation
Ce que le quantique change pour de bon
Nov 17, 2025

14 min

L’IA propulse le phishing, les entreprises doivent s’adapter

Les attaques de phishing amplifiées par l’IA

Un taux d’engagement élevé à l’égard des contenus d’hameçonnage indique une grande vulnérabilité

Recours généralisé aux méthodes d’authentification traditionnelles malgré les problèmes de sécurité

Le manque de formation à la cybersécurité exacerbe les vulnérabilités des organisations

L’évolution mondiale vers des pratiques d’authentification améliorées et les préoccupations liées à l’IA

Confiance croissante dans les méthodes d’authentification basées sur le matériel

Principaux enseignements pour les dirigeants

Quand la tech devient une affaire d’État

Le SaaS peut-il garder sa place face à l’IA agentique

Ce que le quantique change pour de bon

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !