L’intelligence artificielle ne révolutionne pas seulement la cybersécurité défensive — elle arme aussi les pirates d’outils ultra crédibles pour manipuler les humains. En 2025, le social engineering ne se fait plus à l’arrache par un prince nigérian. Il se fait avec style, IA et deepfakes. Et si vos collaborateurs n’ont pas été formés depuis 2018, ils sont déjà dans la zone rouge.
🤖 L’IA, nouvelle alliée du cyber-escroc
L’IA, c’est génial : on peut générer des images, du code, des résumés de réunions et même des articles comme celui-ci (non, celui-ci est fait main, rassure-toi).
Mais entre de bonnes mains mal intentionnées, ces modèles deviennent des générateurs de confusion, de faux-semblants et de trahisons bien ficelées.
Fini les emails avec des fautes dignes d’un stagiaire sous Diazépam.
Bienvenue dans l’ère du phishing élégant, rédigé au cordeau, personnalisé en temps réel, et livré avec la bonne signature en pièce jointe.
🎯 Ce qui a changé dans les attaques par ingénierie sociale
1. Le phishing devient intelligent
Des outils comme WormGPT, FraudGPT ou tout simplement des LLM « libérés » permettent de générer :
- des emails sur mesure,
- adaptés au ton de l’entreprise,
- avec des phrases du style du DG,
- envoyés au bon moment (période de clôture, audit, etc.).
C’est scalable, automatisé et convaincant. Bref, tout ce que les campagnes humaines de phishing n’étaient pas.
2. Le vishing passe au deepfake vocal
Un appel en apparence de votre DAF vous demande de « valider en urgence un virement pour le prestataire ». La voix est reconnaissable. La phrase est crédible.
Et pourtant, c’est un deepfake audio, généré à partir d’une réunion enregistrée sur Zoom.
Et oui, on vit dans un monde où vos points hebdo peuvent alimenter votre propre escroquerie.
3. Les deepfakes vidéo arrivent en entreprise
Demain, votre PDG apparaîtra en vidéo vous demandant un accès VPN temporaire. Il bouge normalement. Il cligne des yeux. Il vous remercie. Et pourtant… ce n’est pas lui.
C’est l’illusion parfaite, boostée par une IA qui ne dort jamais.
🧨 Pourquoi les entreprises sont (largement) à la traîne
- Sensibilisation datée : encore basée sur les arnaques à la carte bancaire ou le phishing au logo Lidl.
- Aucune vérification hors canal : tout ce qui est bien rédigé = crédible.
- Confusion entre automatisation légitime et manipulation IA.
- Trop de confiance dans l’outil, pas assez dans le cerveau humain.
Et pourtant, l’humain reste la cible, mais aussi la barrière. Sauf quand il est trop occupé, mal formé ou simplement… crédule.
🛡️ Que faire pour ne pas sombrer dans le deep end
✅ Checklist SecuSlice spéciale AI-social
- Former les utilisateurs aux nouvelles menaces : phishing « trop parfait », mails écrits sans faute, tonalité suspectement pro… ça doit alerter.
- Revoir les procédures de validation sensibles : un virement, un changement d’accès, un partage de document critique = confirmation HORS canal (appel réel, ou validation MFA indépendante).
- Utiliser des phrases-code internes ou des contre-appels pour les demandes critiques (« C’est quoi le mot du jour du brief de mardi dernier ? » = deepfake en PLS).
- Mettre à jour le kit de sensibilisation avec des exemples réels : deepfakes, scripts générés par IA, dialogues de faux bots, etc.
- Surveiller les comportements anormaux via UEBA : une demande administrative depuis un compte DevOps à 3h du matin ? Drôle d’heure pour créer une VM.
🎙️ Conclusion SecuSlice : l’IA n’est ni bonne ni mauvaise, elle est… persuasive
Le danger n’est pas l’intelligence artificielle en soi.
C’est le fait qu’en 2025, elle soit accessible à tous, sans garde-fous, et sans que les entreprises n’aient encore adapté leurs défenses humaines.
On pensait que l’IA serait notre bouclier. Pour l’instant, c’est l’arme du cybercriminel futé, fainéant et bien outillé.
Et si vous attendez encore six mois pour former vos équipes, autant leur envoyer un deepfake en guise d’invitation.
