Quel pourcentage de dirigeants d'entreprise se sentent préparés aux menaces actuelles en matière de cybersécurité ?

82 % des 3 500 dirigeants d'entreprise interrogés se sentent préparés aux menaces modernes, malgré des attaques pilotées par l'IA qui évoluent plus vite que leurs défenses.

Quelle quantité d'audio est nécessaire pour cloner la voix de quelqu'un de manière convaincante ?

Des outils disponibles dans le commerce peuvent reproduire la voix de quelqu'un avec aussi peu que quelques secondes d'audio, de manière suffisamment convaincante pour tromper des membres de la famille, des collègues ou des institutions financières.

Pourquoi les filtres anti-spam ou les scanners d'e-mails ne peuvent-ils pas détecter les attaques par clonage vocal ?

Le clonage vocal opère par le biais d'appels téléphoniques et non par e-mail, ce qui en fait une capacité d'ingénierie sociale qu'aucun filtre anti-spam ou scanner d'e-mails n'est conçu pour intercepter.

En quoi le hameçonnage généré par IA diffère-t-il du hameçonnage traditionnel ?

Contrairement au hameçonnage traditionnel, qui contenait souvent des fautes de grammaire et des formules de salutation génériques, le hameçonnage généré par IA utilise des grands modèles de langage pour produire des messages hautement personnalisés faisant référence à des détails réels sur la cible.

L'authentification multifacteur peut-elle protéger contre les attaques d'ingénierie sociale pilotées par l'IA ?

Même l'authentification multifacteur peut être contournée lorsqu'une cible est amenée à communiquer un code à usage unique lors d'un appel de clonage vocal.

Hameçonnage par IA et deepfakes dépassent les défenses des entreprises selon une enquête 2025

Une nouvelle enquête menée auprès de 3 500 dirigeants d'entreprise dresse un tableau contradictoire de la cybersécurité en entreprise : 82 % des répondants se sentent préparés aux menaces modernes, pourtant les attaques pilotées par l'IA — notamment le clonage vocal, les deepfakes et le hameçonnage généré par IA — évoluent plus vite que les organisations chargées de les contrer. L'écart entre la préparation perçue et l'exposition réelle est précisément là où les attaquants prospèrent, et les individus se retrouvent de plus en plus pris entre deux feux.

Pour les utilisateurs du quotidien, les résultats de cette enquête constituent un avertissement concret. Lorsque les défenses de niveau entreprise peinent à suivre le rythme du hameçonnage par IA et de l'ingénierie sociale basée sur les deepfakes, les individus utilisant des appareils personnels, des réseaux domestiques et des comptes e-mail grand public font face aux mêmes menaces avec bien moins de protections en place.

Comment le hameçonnage généré par IA et le clonage vocal ciblent les utilisateurs du quotidien

Le hameçonnage traditionnel reposait sur des signaux évidents : fautes de grammaire, adresses d'expéditeurs suspectes, formules de salutation génériques. Le hameçonnage généré par IA élimine la plupart de ces indices. En utilisant des grands modèles de langage, les attaquants peuvent désormais produire des messages hautement personnalisés qui font référence à des détails réels sur la cible — son employeur, ses achats récents ou son activité publiquement visible — le tout collecté et assemblé automatiquement.

Le clonage vocal ajoute une nouvelle dimension. Avec aussi peu que quelques secondes d'audio, des outils disponibles dans le commerce peuvent reproduire la voix de quelqu'un de manière suffisamment convaincante pour tromper des membres de la famille, des collègues ou des institutions financières. Un faux appel provenant de ce qui ressemble à un dirigeant d'entreprise demandant à un employé d'effectuer un virement, ou une voix clonée d'un membre de la famille prétendant être en détresse, représente une capacité d'ingénierie sociale qu'aucun filtre anti-spam ou scanner d'e-mails n'est conçu pour intercepter.

Les deepfakes vidéo très convaincants suivent la même logique. Ils sont utilisés pour usurper l'identité de figures d'autorité lors d'appels vidéo, fabriquer des preuves d'événements qui n'ont jamais eu lieu, et manipuler des cibles pour qu'elles divulguent des identifiants ou autorisent des accès. Ensemble, ces techniques représentent un glissement du hameçonnage opportuniste vers une collecte d'identifiants ciblée avec précision.

Pourquoi les outils de sécurité traditionnels peinent à contrer l'ingénierie sociale pilotée par l'IA

La plupart des outils de sécurité en entreprise ont été conçus autour d'un modèle de menace différent : fichiers malveillants, URL compromises et intrusions réseau. L'ingénierie sociale pilotée par l'IA contourne les trois. Il n'y a aucune pièce jointe malveillante à signaler, aucun domaine suspect à bloquer et aucune anomalie réseau à détecter. L'attaque réside entièrement dans la perception humaine.

C'est la raison fondamentale pour laquelle les défenses des entreprises sont en difficulté, même lorsque les budgets de sécurité sont conséquents. La formation à la sensibilisation à la sécurité apprend aux employés à repérer les signaux d'alarme traditionnels que les attaques générées par IA évitent désormais de manière fiable. Même les contrôles techniques comme l'authentification multifacteur, bien que toujours utiles, peuvent être contournés lorsqu'une cible est amenée à communiquer un code à usage unique lors d'un appel de clonage vocal.

Le concept d'« IA fantôme » aggrave encore ce problème. Les employés utilisant des outils d'IA non autorisés au sein des environnements d'entreprise créent des risques d'exposition des données que les équipes de sécurité ne peuvent souvent ni surveiller ni contenir. Des documents sensibles transmis à des assistants IA personnels, par exemple, peuvent involontairement alimenter les jeux de données qui rendent le hameçonnage ciblé encore plus convaincant.

Comprendre comment l'IA est déjà utilisée pour profiler et cibler des individus est un point de départ essentiel. Le guide Surveillance par IA : ce que vous devez savoir en 2026 offre un contexte important sur la façon dont l'agrégation de données personnelles permet le type de ciblage de précision qui rend ces attaques si efficaces.

La place des VPN et du chiffrement dans votre défense contre le vol d'identifiants

Les VPN et le chiffrement n'empêchent pas un deepfake vidéo d'être convaincant. Ce qu'ils font, c'est réduire la surface d'attaque qui alimente le processus de ciblage et protéger vos identifiants si une attaque réussit partiellement.

Les attaques de collecte d'identifiants commencent souvent par une collecte de données passive : interception du trafic non chiffré sur des réseaux publics ou domestiques, capture de sessions de connexion sur des connexions non sécurisées, ou surveillance du comportement de navigation pour identifier les services utilisés par une cible. Un VPN chiffre le trafic entre votre appareil et l'internet au sens large, supprimant les points d'interception les plus faciles de cette chaîne.

Le chiffrement importe également pour les données au repos. Les gestionnaires de mots de passe avec un chiffrement robuste garantissent que même si une attaque de hameçonnage capture un identifiant, cela n'entraîne pas un accès en cascade à tous les services que vous utilisez. Combiné à l'authentification multifacteur sur les comptes qui la prennent en charge, le stockage chiffré des identifiants augmente significativement le coût d'une attaque réussie.

Pour les télétravailleurs se connectant aux systèmes d'entreprise, l'utilisation d'un VPN est encore plus directement pertinente. De nombreuses campagnes de collecte d'identifiants ciblent le moment de l'authentification, et un tunnel chiffré rend ce moment bien plus difficile à surveiller depuis l'extérieur de la connexion.

Mesures concrètes que les utilisateurs soucieux de leur vie privée peuvent prendre dès maintenant

Les résultats de l'enquête suggèrent qu'attendre que les organisations résolvent ce problème de manière descendante n'est pas une stratégie fiable. Voici des mesures concrètes que les individus peuvent prendre :

Auditez les données publiquement accessibles vous concernant. Le hameçonnage généré par IA puise dans des sources publiques : profils de réseaux sociaux, annuaires professionnels, bases de données de courtiers en données. Réduire votre empreinte publique limite la matière première disponible pour des attaques personnalisées. Vérifiez vos paramètres de confidentialité sur toutes les plateformes sociales et envisagez de soumettre des demandes de désinscription aux principaux sites de courtiers en données.

Soyez sceptique face à toute urgence inattendue, quel que soit le canal. Les attaques par clonage vocal et deepfake créent presque toujours une pression temporelle artificielle : un dirigeant qui a besoin d'un virement immédiatement, un membre de la famille qui a besoin d'aide tout de suite. Établissez un protocole de vérification personnel — comme rappeler sur un numéro déjà enregistré — plutôt que de faire confiance au numéro ou au canal qui a initié le contact.

Utilisez un VPN sur tous les réseaux, pas seulement le Wi-Fi public. Les réseaux domestiques sont de plus en plus ciblés, le télétravail en ayant fait un point d'entrée crédible vers les systèmes d'entreprise. Chiffrer systématiquement votre trafic ferme un vecteur d'interception que la plupart des utilisateurs laissent ouvert.

Activez l'authentification résistante au hameçonnage lorsqu'elle est disponible. Les clés de sécurité matérielles et les clés d'accès sont nettement plus difficiles à déjouer par ingénierie sociale que les codes à usage unique traditionnels, car elles ne produisent pas de valeur qu'un attaquant peut relayer en temps réel.

Restez informé sur le fonctionnement du profilage par IA. Plus vous comprenez comment votre comportement numérique est agrégé et analysé, mieux vous êtes armé pour reconnaître quand quelque chose conçu pour paraître personnel et urgent a pu être construit de manière algorithmique. Le guide sur la surveillance par IA est une ressource pratique pour développer cette compréhension.

Les données de l'enquête 2025 rappellent que l'écart de confiance en matière de cybersécurité n'est pas qu'un problème d'entreprise. Lorsque les attaques par hameçonnage IA et deepfake évoluent plus vite que les défenses des entreprises, les individus doivent être des participants actifs de leur propre sécurité plutôt que des bénéficiaires passifs de systèmes qui, selon les preuves disponibles, peinent à suivre le rythme. Auditer votre exposition personnelle aux menaces dès maintenant — avant qu'un appel vocal convaincant ou un message parfaitement rédigé ne mette vos défenses à l'épreuve — est la démarche la plus efficace que vous puissiez entreprendre.