Les acteurs malveillants déploient leurs filets dans de nouveaux bassins de phishing
Les attaques multicanales nécessitent de nouveaux modes de réflexion et de nouvelles stratégies
Les RSSI ont besoin d'un nouveau guide. Sans délai. Si ces derniers ont souvent le rôle de phare concernant la sécurité numérique au sein de leurs entreprises, en attirant l'attention sur les menaces nouvelles et émergentes, avec audace et pertinence, ils ont néanmoins développé un grand nombre de leurs stratégies préférées à une époque désormais antique, caractérisée par les migrations cloud et les services numériques. Cette ère est révolue. Les outils utilisés par de nombreux RSSI commencent par conséquent à se ternir et à rouiller.
Ce constat s'avère particulièrement flagrant en ce qui concerne la lutte contre le phishing, un fléau qui coûte chaque année plus de 50 milliards de dollars aux entreprises à travers le monde.
La première attaque de phishing moderne remonte aux années 1990, lorsque les internautes accédant au réseau par ligne commutée ont découvert pour la première fois les merveilles de ce type d'e-mail. Quelques décennies plus tard, le courrier électronique reste la méthode d'attaque préférée des cybercriminels. En effet, selon la CISA (Cybersecurity & Infrastructure Security Agency, l'agence américaine de cybersécurité et de sécurité des infrastructures), plus de 90 % des cyberattaques réussies commencent par un e-mail de phishing.
Or, les e-mails employés d'aujourd'hui dans les tentatives de phishing ne sont pas les mêmes que ceux d'hier. Ils sont non seulement plus nombreux (on estime que les cybercriminels envoient des milliards d'e-mails de phishing chaque jour), mais se révèlent également plus convaincants. Selon des chercheurs de la Columbia University, l'intelligence artificielle (IA) constitue l'une des principales raisons à cette situation. Une étude historique révélant que plus de 51 % des spams sont désormais générés par IA a ainsi été publiée en juillet 2025.
« Nos résultats montrent que les acteurs malveillants utilisent principalement l'IA pour améliorer la qualité de leurs e-mails, en réduisant le nombre de fautes de frappe et d'erreurs grammaticales, plutôt que de s'en servir pour modifier leurs stratégies d'attaque », explique l'auteur principal de l'étude, Wei Hao, dans un communiqué de presse. « Ces améliorations rendent les spams plus difficiles à détecter et potentiellement plus convaincants pour les destinataires. »
Pour les RSSI qui continuent à s'en remettre aux anciennes techniques afin de lutter contre les nouvelles formes de phishing, l'opération revient au fait d'arriver sur les lieux d'un incendie de grande ampleur munis d'un tuyau d'arrosage.
Or, l'IA n'est pas le seul problème. Pour conduire leurs attaques de phishing, les cybercriminels se tournent de plus en plus vers de nouveaux canaux de communication, plus diversifiés (notamment les SMS, les appels vocaux, les QR codes et les réseaux sociaux), afin d'accroître à la fois leur portée et leur rentabilité. Afin de contrer le phishing sur l'ensemble de ces fronts, les RSSI doivent donc investir davantage dans les pratiques de sécurité modernes, comme l'automatisation, l'analyse des menaces en temps réel et la formation.
L'évolution des techniques de phishing
La détection des e-mails de phishing ne repose plus uniquement sur la configuration de filtres anti-spam. Les acteurs malveillants emploient désormais un grand nombre d'autres méthodes pour piéger leurs proies. Le smishing (phishing par SMS), le vishing (phishing vocal), le quishing (phishing par QR code), les plateformes de communication d'entreprise et les réseaux sociaux figurent ainsi en bonne place des vecteurs d'attaque en vogue, par exemple. Ces nouvelles techniques permettent de contourner bon nombre des méthodes de détection et d'atténuation traditionnellement utilisées par les RSSI et leurs équipes pour bloquer les attaques de phishing.
L'avènement des attaques de phishing « multicanales » marque une nouvelle ère dans le domaine de la cybercriminalité. La possibilité de comprendre de quelle manière les cybercriminels agissent dans cette nouvelle ère devient un atout essentiel pour les RSSI désireux de garder le rythme face à l'évolution des menaces. Le phishing moderne s'articule plus particulièrement autour de trois aspects reconnus par les RSSI les plus efficaces : l'IA, l'ingénierie sociale et la collecte d'informations.
Phishing soutenu par IA
Comme l'ont souligné à juste titre les chercheurs de l'Université Columbia, en utilisant l'IA pour éliminer les fautes d'orthographe et la grammaire approximative qui constituaient autrefois de véritables signes révélateurs, les attaques de phishing deviennent de plus en plus difficiles à identifier.
L'IA ne transforme pas uniquement les escrocs en meilleurs écrivains. Elle fait également d'eux de meilleurs vendeurs. Grâce aux outils d'IA générative et agentique, les acteurs malveillants peuvent produire des messages de phishing spécifiquement adaptés à certains groupes et à certaines personnes. En leur permettant de produire des images et des vidéos si réalistes que même les experts ont du mal à distinguer le vrai du faux, les techniques de manipulation audiovisuelle soutenues par IA, comme les deepfakes (hypertrucages) et le clonage vocal, par exemple, constituent des éléments essentiels de l'arsenal des cybercriminels modernes.
Imaginez les dégâts qu'un acteur malveillant pourrait infliger à une entreprise en adressant un document PDF en pièce jointe contenant un logiciel malveillant aux collaborateurs de cette dernière depuis l'adresse e-mail usurpée de son CEO, le tout suivi d'un appel téléphonique effectué à l'aide d'une voix clonée. Ce type d'attaque de phishing se produit déjà aujourd'hui.
Plus l'adoption de l'IA se généralise, plus il devient possible pour n'importe qui d'élaborer une campagne de phishing fructueuse. Les cybercriminels peuvent s'appuyer sur l'IA pour accroître l'échelle d'une attaque de phishing sur plusieurs vecteurs. De l'autre côté, un collaborateur peu féru de technologie pourrait se servir de l'IA pour développer un kit de phishing ciblé, conçu pour s'attaquer aux ressources depuis l'intérieur de l'entreprise, en entraînant ainsi la création de nouvelles zones de risques internes.
Enfin, la question de la rapidité se pose également. Les cybercriminels qui utilisent l'IA peuvent désormais concevoir des campagnes et des messages de phishing plus vite que jamais. Ils peuvent dès lors exploiter cette vitesse et cette efficacité démultipliées afin de lancer davantage d'attaques de phishing, dans davantage d'endroits et contre davantage de cibles.Ingénierie sociale
Les techniques de manipulation psychologique (également nommée ingénierie sociale) s'avèrent tout aussi essentielles au phishing moderne que les outils technologiques. Les acteurs malveillants jouent régulièrement sur diverses émotions, comme la peur (se retrouver incapable d'accéder à un compte à moins qu'une certaine action ne soit entreprise, par exemple), la culpabilité (p. ex., le besoin de répondre à un message aimable envoyé par un expéditeur inconnu) ou l'enthousiasme (p. ex. un message privé concernant une offre d'emploi « parfaite » sur LinkedIn) afin d'amener leurs victimes à effectuer les actions souhaitées, comme envoyer de l'argent ou partager des informations privées.
Ils exploitent ainsi la confiance que les individus accordent aux entreprises reconnues, aux cadres dirigeants et même à leurs connaissances. Le nombre de ces attaques de phishing plus difficiles à détecter qu'à l'accoutumée augmente lors des périodes les plus stressantes pour les entreprises (les fêtes de fin d'année, la période de déclaration fiscale et la clôture de l'exercice financier, par exemple), car les acteurs malveillants savent que les collaborateurs sont plus susceptibles de commettre des erreurs lorsqu'ils sont occupés.Collecte d'informations
Les motivations à l'œuvre derrière la plupart des cyberattaques étaient traditionnellement d'ordre financier. S'il s'agit toujours de l'objectif principal pour de nombreux acteurs malveillants, les cybercriminels d'aujourd'hui ne lancent pas uniquement des attaques de phishing dans le but de récupérer de l'argent. Ils en lancent également pour recueillir des informations. Le nombre d'infostealers (des logiciels malveillants conçus pour dérober secrètement des données sensibles, comme des informations personnelles, des mots de passe, des captures d'écran et des documents privés, par exemple) transmis par l'intermédiaire d'e-mails de phishing a ainsi augmenté de 84 % entre 2024 et 2025 selon le rapport « IBM X-Force 2025 Threat Intelligence Index » (Index 2025 des informations sur les menaces IBM X-Force) publié par l'IBM Institute for Business Value (IBV, l'institut IBM de recherche en valeur commerciale).
« Le phishing apparaît comme un vecteur d'infection fantôme pour la compromission de comptes valides », mentionne l'IBV IBM, qui précise que près d'une cyberattaque sur trois s'effectue par le biais de comptes valides. « L'augmentation du nombre d'e-mails de phishing qui diffusent des logiciels malveillants conçus pour dérober des informations et des identifiants alimente cette tendance. Or, cet accroissement peut être attribué à l'utilisation de l'IA par les cybercriminels afin de faire évoluer l'échelle de leurs attaques. »
Les acteurs malveillants qui lancent des attaques de phishing pour collecter des identifiants (comme des noms d'utilisateur et des mots de passe) peuvent ensuite vendre ces informations en vue de gains financiers, mais également s'en servir pour infiltrer des réseaux à des fins d'espionnage ou pour lancer des attaques plus discrètes et de plus grande ampleur.
Dans les deux cas, les récompenses ultimes en la matière se composent de propriétés intellectuelles sensibles, de secrets gouvernementaux et d'identifiants de hauts fonctionnaires. Les États-nations peuvent, par exemple, utiliser le phishing comme point de départ d'une campagne visant à infiltrer les téléphones et les réseaux de politiciens, d'entreprises de défense et d'acteurs médiatiques. À l'instar d'autres acteurs malveillants, les États peuvent également utiliser le phishing pour accéder à des infrastructures essentielles ou à des secrets professionnels. Pour illustrer ce propos, citons l'exemple d'un groupe de pirates informatiques soutenu par la Russie qui, en 2024, a lancé une attaque de phishing dans le but de s'emparer d'informations sensibles du gouvernement américain. Au début de l'année 2025, un groupe chinois spécialisé dans l'espionnage a également lancé des attaques de phishing contre diverses entités taïwanaises du secteur manufacturier et de la logistique, ainsi que contre des entreprises de technologie, afin de recueillir des informations stratégiques.
Qu'il soit motivé par des gains financiers ou la collecte d'informations, le phishing multicanal permet aux acteurs malveillants d'élargir leur champ d'action. Si les tentatives de phishing effectuées sur les réseaux sociaux peuvent toucher un large public à l'aide d'une seule publication, par exemple, une attaque de smishing ou de quishing peut également influencer un grand volume d'utilisateurs, tout en entraînant une plus grande probabilité d'interactions.
Trois étapes anti-phishing à adopter par les RSSI
De toute évidence, les cybercriminels évoluent. S'ils souhaitent suivre le rythme, les RSSI doivent évoluer eux aussi. Les compétences techniques et l'expérience du métier qui définissaient traditionnellement leurs rôles jusqu'ici ne suffisent désormais plus. Face aux attaques de phishing multicanales soutenues par l'IA, l'ingénierie sociale et la collecte d'informations, les RSSI doivent penser différemment et cultiver des compétences générales qui viendront compléter leur expertise technique.
L'intelligence émotionnelle, susceptible de les aider à comprendre pourquoi leurs collaborateurs peuvent se retrouver victimes de phishing et à mettre en place un environnement non punitif au sein duquel ces derniers peuvent se sentir suffisamment en sécurité pour signaler les tentatives de phishing figurent ainsi au rang des compétences non techniques les plus importantes que les RSSI doivent nourrir et développer. C'est également vrai des compétences en matière de leadership, qui peuvent les aider à influencer leurs collaborateurs et leurs collègues afin de donner naissance à une culture centrée sur la sécurité, de la pensée critique, qui peut les aider à déterminer à quel endroit les attaques sont les plus susceptibles de se produire et les techniques les plus susceptibles d'être utilisées par les acteurs malveillants. De même, les compétences axées sur la communication et la collaboration, auxquelles les RSSI peuvent faire appel pour sensibiliser leurs collaborateurs aux tactiques de phishing non conventionnelles et assurer leur participation aux efforts de lutte contre le phishing à l'échelle de l'entreprise.
Pourtant, rien ne sert de penser différemment si vous n'agissez pas différemment. En plus de cultiver les nouvelles compétences et les perspectives qui les aideront à identifier les menaces potentielles, les RSSI se doivent également d'adopter de nouvelles pratiques anti-phishing, qui rendront leur entreprise plus résiliente aux menaces, quel que soit le canal ou le mode d'attaque.
Ces trois pratiques, l'automatisation, l'analyse des menaces en temps réel et la formation, peuvent littéralement faire la différence face au phishing multicanal.
1. Automatisation : utilisez des outils de sécurité soutenus par IA
Les cybercriminels ne sont pas les seuls à pouvoir utiliser l'IA pour étendre leur échelle et leur sophistication. Les entreprises peuvent elles aussi y faire appel et la déployer de manière similaire, bien que l'idée soit ici de bloquer les attaques plutôt que de les lancer.
En effet, certains outils de phishing soutenus par IA ont comme but spécifique d'atténuer les attaques. De même, certains grands modèles linguistiques (LLM, Large Language Models) ont comme objectif explicite de détecter les signes de phishing présents dans les e-mails, les SMS, les publications sur les réseaux sociaux et les forums. Les outils de traitement du langage naturel leur permettent ainsi d'analyser des textes écrits à la recherche de tournures linguistiques suspectes et d'autres signaux d'alerte. Ils sont également capables de vous alerter automatiquement s'ils soupçonnent une menace. D'autres LLM sont entraînés à rechercher les anomalies, comme les écarts au niveau des horaires et des lieux de connexion habituels, par exemple. D'autres encore font appel à la vision numérique pour débusquer les images suspectes, comme les faux logos de marque et les QR codes malveillants.
Les RSSI qui souhaitent utiliser des outils de sécurité soutenus par IA doivent rechercher certaines capacités essentielles dans les solutions qu'ils envisagent de mettre en œuvre. Ces importantes fonctionnalités anti-phishing comprennent notamment :
l'analyse des sentiments et des conversations, qui permet aux entreprises de faire appel aux outils de traitement du langage naturel pour détecter automatiquement les menaces figurant dans les textes ;
l'authentification adaptative, qui ajuste les exigences d'authentification de manière dynamique en réponse à un comportement utilisateur à haut risque ;
la réponse automatisée aux incidents, qui permet aux entreprises de détecter les messages ou les appareils suspects sur leur réseau et de les placer automatiquement en quarantaine ;
la veille en matière de menaces, qui établit des références croisées entre les indicateurs de phishing et le corpus actuel d'informations sur les menaces afin d'identifier rapidement les attaques.
2. Analyse des menaces en temps réel : isolez les dangers potentiels
Conçue pour aider les entreprises à identifier et à contenir rapidement les menaces avant qu'elles n'atteignent leurs cibles humaines, l'analyse des menaces en temps réel constitue également l'une des fonctionnalités les plus importantes à rechercher dans les outils de sécurité soutenus par IA.
Voici quelques exemples d'indicateurs de phishing que les entreprises doivent pouvoir surveiller en temps réel :
les comportements suspects de la part des expéditeurs, comme les domaines usurpés, les adresses e-mail d'apparence similaire et les nouveaux expéditeurs qui tentent soudainement de contacter de nombreux collaborateurs ;
les URL et les domaines suspects, notamment ceux qui présentent une mauvaise réputation, les liens inconnus, les chaînes de redirection et les pages de collecte d'identifiants ;
les pièces jointes malveillantes, comme les fichiers contenant des macros, des exécutables et des scripts dissimulés ;
les comportements à risque de la part des utilisateurs, comme le fait de cliquer sur des liens inconnus, de télécharger des fichiers à partir de sources suspectes et de se connecter depuis des lieux inhabituels ou à des horaires inhabituels.
3. Formation : renforcer la sensibilisation à la sécurité
Les tentatives d'escroquerie par phishing ciblent le comportement humain et les erreurs humaines. La mise en place de programmes de formation permettant d'aider vos collaborateurs à reconnaître les signes de phishing sur les différents vecteurs d'attaque constitue donc un moyen de dissuasion essentiel et efficace.
Gardez les bonnes pratiques suivantes à l'esprit lorsque vous concevez un programme de formation anti-phishing :
une session de formation annuelle à la conformité ne suffit pas, car les menaces de phishing sont dynamiques et en évolution constante. Les sessions de formation se doivent donc d'être fréquentes et continues afin de vous assurer que vos collaborateurs disposent bien des informations les plus récentes et les plus précises ;
les collaborateurs sont occupés et le phishing est un sujet complexe. Privilégiez donc les modules de formation brefs, digestes et ciblés plutôt que les longs cours exhaustifs afin de tenir compte des courtes capacités d'attention induites par cette situation ;
rendez les sessions de formation aussi pertinentes et pratiques que possible en vous concentrant sur l'apprentissage contextuel, notamment par le biais de sessions basées sur des scénarios et de simulations réalistes qui imitent les tactiques de phishing réelles, afin d'accroître la rétention de l'information. Des outils de feedback en temps réel peuvent également se révéler utiles lorsque vos collaborateurs se font prendre au piège par des attaques simulées ;
les sessions de formation doivent être obligatoires pour tous, notamment pour les cadres supérieurs, de par leur qualité de cibles de grande valeur et le fait qu'ils s'avèrent bien souvent insuffisamment formés aux mesures de cybersécurité ;
un outil de suivi de l'évolution des progrès au fil du temps, incluant notamment des indicateurs tels que le taux de clics, le taux de signalement et le temps de réponse, est également essentiel. Il permet ainsi aux entreprises d'identifier et de corriger les lacunes, tout en récompensant l'amélioration par des mesures incitatives.
Que se passe-t-il lorsqu'une attaque de phishing atteint son objectif ?
Aucune sécurité n'est infaillible, car les cybercriminels sont intelligents et particulièrement persistants. Vos outils de réponse aux menaces sont donc tout aussi importants que ceux de protection contre les menaces.
Lorsqu'un acteur malveillant parvient à ses fins, les RSSI peuvent utiliser diverses techniques, comme le Zero Trust et le principe du moindre privilège, pour atténuer les risques et limiter les dégâts. Ces solutions créent des zones isolées, nécessitant une vérification constante, au sein d'un réseau. Elles limitent par conséquent la capacité des acteurs malveillants à se déplacer librement.
La résilience exige de la vigilance
S'il s'agit effectivement d'une technique d'escroquerie pour le moins ancienne, le phishing reste néanmoins efficace. C'est pourquoi les cybercriminels continuent de l'utiliser, malgré l'évolution de la technologie. En dehors du courrier électronique, les acteurs malveillants passent aujourd'hui par de nouveaux vecteurs, comme les SMS et la vidéoconférence, pour parvenir à leurs fins dans leurs efforts de phishing.
Le service Cloudflare Email Security constitue votre première ligne de défense contre les techniques de phishing traditionnelles. La solution Cloudflare One étend cette protection aux vecteurs de phishing les plus récents en déployant les principes Zero Trust. C'est en comprenant mieux à quoi ressemblent les attaques de phishing sur l'ensemble des différentes plateformes et applications, ainsi qu'en tenant compte de l'impact du phishing soutenu par IA, que les RSSI et leurs équipes de sécurité peuvent concevoir des systèmes capables de corriger les vulnérabilités avant qu'elles ne deviennent des problèmes.
Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions qui affectent les décideurs en matière de technologies aujourd'hui.
Approfondir le sujet
Découvrez les attaques de phishing à côté desquelles passent vos systèmes actuels de sécurité du courrier électronique grâce à une évaluation gratuite des risques de phishing.
Conclusions essentielles
Cet article vous permettra de mieux comprendre les aspects suivants :
L'évolution des attaques de phishing
Trois étapes anti-phishing à adopter par les RSSI
Les stratégies à mettre en œuvre pour garder une longueur d'avance sur les menaces de phishing modernes et les neutraliser