La sensibilisation avait raison — en 2019
Pendant des années, la sensibilisation à la sécurité enseignait la même check-list : repérer les fautes, la grammaire maladroite, les salutations génériques, les domaines d'envoi suspects. Ces signaux marchaient parce que les attaquants n'étaient pas natifs de la langue et envoyaient le même email à des millions de personnes.
Tout ce modèle vient de casser.
Ce qui a changé
Les grands modèles de langage donnent à chaque attaquant :
- Une écriture de qualité native dans n'importe quelle langue, avec les idiomes et le ton qui collent.
- De la personnalisation à grande échelle. Un profil LinkedIn scrappé plus 30 secondes d'inférence LLM produisent un email qui mentionne votre fonction, votre dernier projet, le nom de votre manager et une demande adaptée au contexte.
- Des conversations en plusieurs étapes. Le phishing moderne n'est plus un email. C'est un fil de discussion qui répond à vos réponses et s'adapte.
À quoi ressemble une attaque de phishing IA aujourd'hui
Une tentative typique de spear phishing en 2026 contre un responsable financier pourrait se dérouler comme ceci :
- Lundi : un email poli et bien écrit des « RH » sur la mise à jour des coordonnées bancaires. Le lien renvoie vers un clone quasi parfait de votre interface de paie.
- Mardi : un message Slack depuis un compte de collègue usurpé qui demande si vous avez vu l'email RH. Construit la preuve sociale.
- Mercredi : un email de relance des « RH » qui dit avoir remarqué que vous n'avez pas encore fait la mise à jour et qu'il faut l'avoir bouclée avant le lancement de la paie vendredi.
Pas de faute. Pas d'urgence qui crie « arnaque ». Juste trois nudges depuis des sources qui ont l'air bonnes.
La nouvelle check-list défensive
Les signaux sur lesquels former vos équipes maintenant :
- Les actions inattendues, pas les expéditeurs inattendus. La question n'est plus « cet expéditeur est-il légitime ? » mais « cette action est-elle quelque chose que je ferais normalement sur ce canal ? »
- Vérification hors canal pour tout ce qui touche à de l'argent, des identifiants ou des accès. Si la demande concerne la paie, la banque, le MFA ou des permissions admin — confirmez par un autre canal.
- Ralentissez le vendredi après-midi. Les attaquants savent quand votre équipe est la moins vigilante.
Ce que font les CISO en première ligne
Les équipes sécurité les plus avancées forment maintenant leurs collaborateurs avec leurs propres tests de phishing générés par LLM — des red teams internes qui utilisent les mêmes outils que les attaquants, pour que la sensibilisation corresponde à ce que les salariés vont vraiment voir. Si vos simulations de phishing comportent encore « Cher Monsieur / Chère Madame », votre défense est dépassée.