Autrefois, les attaques d’ingénierie sociale exigeaient beaucoup de temps et d’efforts.
Les pirates effectuaient des recherches sur leurs cibles, rédigeaient manuellement des e-mails de hameçonnage et s’efforçaient de se faire passer pour des personnes ou des organisations de confiance. Leurs capacités étaient toutefois limitées, et ils ne pouvaient donc attaquer qu’un nombre restreint de cibles à la fois.
L’IA a complètement changé la donne. Ce qui prenait autrefois des heures ne prend désormais que quelques secondes. Les pirates peuvent générer instantanément des e-mails de hameçonnage très convaincants, extraire des informations personnelles à partir de données publiques et personnaliser leurs messages à grande échelle pour des personnes spécifiques.

L’ingénierie sociale est désormais plus rapide, moins coûteuse et bien plus convaincante.
Cela pose un sérieux problème aux organisations, car ces attaques ne reposent plus sur des erreurs manifestes ou des escroqueries classiques. Elles sont conçues pour paraître authentiques, familières et difficiles à remettre en question.
Pourquoi l’IA rend l’ingénierie sociale plus dangereuse
Les attaques de hameçonnage traditionnelles se trahissaient souvent.
Des fautes d’orthographe, un style maladroit, une mise en page suspecte et des formules de politesse génériques permettaient de les repérer plus facilement. Les employés savaient ce qu’il fallait rechercher, car les signes avant-coureurs étaient évidents.
L’IA élimine bon nombre de ces indices. Les pirates peuvent désormais créer des communications soignées et professionnelles qui semblent naturelles et crédibles, avec des messages capables de reproduire le ton d’un collègue, de faire référence à de vrais projets et de paraître personnellement pertinents pour leur destinataire. Les gens sont donc bien plus enclins à se fier à ce qu’ils voient.
Un e-mail qui semble provenir de votre responsable, un message Teams qui semble émaner des RH ou une demande qui semble à la fois urgente et courante. Ces attaques visent à réduire la méfiance et à vous inciter à prendre des décisions rapides.
L’essor des deepfakes et de l’identité synthétique
La technologie du « deepfake » repousse encore plus loin les limites de l’ingénierie sociale.
Les outils de clonage vocal et de création de vidéos générées par l’IA sont de plus en plus accessibles, offrant ainsi aux cybercriminels de nouveaux moyens de se faire passer pour des personnes de confiance. De faux appels de dirigeants et des messages vidéo trafiqués sont déjà utilisés dans le cadre de tentatives de fraude et d’escroqueries financières.
Ce qui est inquiétant, c’est à quel point cette technologie est désormais crédible.
Les employés ont l’habitude de faire confiance aux visages et aux voix qu’ils connaissent, mais lorsqu’une personne a la voix d’un cadre supérieur ou apparaît à l’écran en donnant l’impression d’être authentique, les gens réagissent instinctivement différemment.
Dans les environnements de travail très animés où les décisions doivent être prises rapidement, on ne prend pas toujours spontanément le temps de se demander si une voix ou une vidéo est authentique. C’est précisément là-dessus que misent les pirates.
Pourquoi le comportement humain reste la cible principale
L’IA est peut-être à l’origine de ces attaques, mais ce sont toujours les personnes qui en sont la véritable cible.
Les pirates connaissent bien le comportement des employés lorsqu’ils sont sous pression. Ils savent que les gens réagissent rapidement face à l’autorité, à l’urgence et à des styles de communication familiers. Ils savent également que les employés très occupés ont davantage tendance à agir d’abord et à poser des questions ensuite.
L’IA leur permet d’exploiter ces comportements plus rapidement et à une échelle bien plus grande. C’est pourquoi l’ingénierie sociale continue de fonctionner aussi bien. Elle contourne les contrôles techniques en convainquant les personnes de divulguer volontairement des informations, des identifiants ou des droits d’accès ; et à mesure que les communications générées par l’IA gagnent en crédibilité, la distinction entre interactions légitimes et malveillantes devient de plus en plus difficile à établir.
Pourquoi les anciennes méthodes de formation à la sécurité ne sont plus efficaces
De nombreuses formations de sensibilisation ont été mises en place pour faire face à un autre type d’attaque par hameçonnage. Les employés ont appris à repérer les signes avant-coureurs évidents, tels que les fautes d’orthographe, une mise en page inhabituelle et les liens suspects. Mais les attaques générées par l’IA ne se présentent plus ainsi aujourd’hui.
Les e-mails de hameçonnage d’aujourd’hui sont soignés, crédibles et personnalisés. Les pirates sont capables d’imiter les styles de communication et de créer des messages qui semblent suffisamment authentiques pour déjouer l’instinct des destinataires, ce qui complique la tâche des employés.
Les attaques d’aujourd’hui sont plus difficiles à repérer car elles semblent soignées et légitimes ; leur détection repose donc davantage sur la capacité à remarquer ce qui semble inhabituel, précipité ou légèrement hors du commun, ce qui exige un bon jugement et une expérience des scénarios réalistes.
Les employés ont besoin d’une formation qui reflète les attaques auxquelles ils sont réellement confrontés. Ils doivent voir comment la manipulation fonctionne dans la pratique et comprendre à quelle vitesse la pression et l’urgence influencent la prise de décision.
C’est là que les formations de sensibilisation axées sur des récits font vraiment la différence.
« Cyber Police » s’appuie sur des récits réalistes et des scénarios cyber-attaques mis en scène pour illustrer le déroulement des attaques modernes, notamment les techniques de pression et de manipulation utilisées par les cybercriminels pour influencer les comportements. Le fait de voir ces situations se dérouler dans leur contexte aide les collaborateurs à reconnaître des signes avant-coureurs similaires dans leur propre environnement de travail et à réagir avec davantage d’assurance lorsqu’ils ont le sentiment que quelque chose ne va pas.
L’IA entraîne une augmentation du nombre d’attaques
L’IA facilite également la mise en œuvre à grande échelle des attaques d’ingénierie sociale. Les pirates peuvent générer des e-mails de hameçonnage en quelques secondes, rechercher automatiquement leurs cibles et personnaliser leurs messages bien plus rapidement qu’auparavant. Cela signifie que les organisations doivent faire face à un nombre accru d’attaques sur un plus grand nombre de canaux de communication.
Pour les équipes de sécurité, cela représente un véritable défi. Elles doivent déjà surveiller chaque jour un volume considérable d’activités, et l’augmentation du nombre d’attaques rend plus difficile l’identification rapide des comportements réellement dangereux.
Les employés sont soumis à la même pression. E-mails, messages sur Teams, outils de collaboration, SMS, appels vidéo… La communication ne s’arrête jamais, et les pirates savent que les gens sont plus enclins à commettre des erreurs lorsqu’ils sont distraits ou qu’ils doivent agir rapidement.
C’est pourquoi les formations de sensibilisation doivent être perçues comme concrètes et en lien avec la réalité du monde du travail.
L’aspect psychologique des attaques menées par l’IA
L’ingénierie sociale basée sur l’IA fonctionne parce qu’elle s’appuie sur des comportements humains normaux. Il est naturel que les gens fassent confiance à des noms familiers et réagissent face à une situation d’urgence, en particulier au travail. Ils souhaitent se montrer serviables et éviter de ralentir le travail.
Les pirates le savent, et l’IA les aide à exploiter ces comportements. C’est pourquoi les organisations doivent voir plus loin que les simples contrôles techniques. Les collaborateurs doivent se sentir en confiance pour prendre du recul lorsqu’ils sentent que quelque chose cloche et vérifier les informations avant de réagir. Sans cette confiance, il devient beaucoup plus difficile de contrer des attaques convaincantes.
Pourquoi les organisations doivent repenser les formations de sensibilisation à la sécurité
La multiplication des attaques basées sur l’intelligence artificielle oblige les organisations à repenser leur approche de la sensibilisation à la cybersécurité. Les modules de formation en ligne statiques et axés sur la conformité peinent à préparer les employés à faire face à des attaques conçues pour paraître réalistes et convaincantes sur le plan émotionnel.
On apprend mieux lorsqu’on peut faire le lien entre la formation et des situations concrètes. On retient bien mieux les anecdotes, les conversations et les exemples réalistes que les simples listes de signes avant-coureurs.
C’est pourquoi les formations de sensibilisation doivent devenir plus captivantes et mieux refléter les situations auxquelles les employés sont confrontés au quotidien. Les attaques modernes d’ingénierie sociale sont conçues pour paraître tout à fait normales ; les employés ont donc besoin d’une formation qui les y prépare.
Se préparer à la prochaine génération d’ingénierie sociale
Les attaques basées sur l’IA continueront d’évoluer, car la technologie qui les sous-tend devient de plus en plus accessible et facile à utiliser à grande échelle. Les organisations ne peuvent plus se contenter des anciennes méthodes de sensibilisation, axées sur des techniques de hameçonnage dépassées et des signaux d’alerte évidents.
Les employés doivent acquérir une expérience pratique des techniques de manipulation auxquelles ils sont le plus susceptibles d’être confrontés afin de gagner en assurance pour remettre en question les demandes inhabituelles et prendre du recul lorsqu’ils sentent que quelque chose ne va pas.
Les organisations qui s’adapteront le plus rapidement seront celles qui associeront des contrôles techniques de sécurité rigoureux à des formations de sensibilisation réalistes et axées sur les comportements, car lorsque l’ingénierie sociale se généralise, les formations de sensibilisation ne peuvent pas rester ancrées dans le passé.
En savoir plus sur la cyberpolice
« Cyber Police » utilise la fiction pour donner vie à de véritables cybermenaces, suscitant ainsi le débat et remettant en question nos idées reçues sur ce que nous savons aujourd’hui des cyberattaques.
Chaque saison aborde les attaques auxquelles les employés sont le plus susceptibles d’être confrontés, du phishing aux ransomwares en passant par les deepfakes, et les transpose en épisodes captivants.
En considérant les menaces du point de vue des personnes concernées, les collaborateurs acquièrent une meilleure compréhension de la situation et la confiance nécessaire pour y faire face efficacement.
Découvrez-en davantage sur Cyber Police et voyez comment une formation de sensibilisation axée sur des scénarios aide les collaborateurs à identifier les cybermenaces actuelles et à y faire face en toute confiance.
Foire aux questions sur l'ingénierie sociale
Qu'est-ce que l'ingénierie sociale basée sur l'IA ?
L’ingénierie sociale basée sur l’IA consiste à utiliser l’intelligence artificielle pour créer des attaques de hameçonnage plus convaincantes et à plus grande échelle, ainsi que des escroqueries par usurpation d’identité escroquerieset des communications frauduleuses destinées à manipuler les personnes afin qu’elles divulguent des informations ou à agir.
Pourquoi les attaques de hameçonnage basées sur l'IA sont-elles plus difficiles à détecter ?
L’IA permet aux pirates de générer des messages soignés et professionnels qui semblent naturels et pertinents pour leur destinataire. Bon nombre des signes avant-coureurs traditionnels que les employés avaient appris à repérer ne sont plus évidents.
Quel rôle les « deepfakes » jouent-ils dans les cyberattaques ?
Les « deepfakes » permettent aux pirates d’imiter des personnes de confiance à l’aide de contenus audio ou vidéo falsifiés. Cette technique peut être utilisée pour créer des usurpations d’identité très convaincantes. escroqueries, les demandes de paiement frauduleuses ou les fausses communications internes.
Pourquoi les formations traditionnelles de sensibilisation peinent-elles à faire face aux attaques modernes d'ingénierie sociale ?
De nombreux programmes de sensibilisation continuent de se concentrer sur des techniques de hameçonnage obsolètes et des signes avant-coureurs génériques. Les attaques modernes s’appuient davantage sur la psychologie, la confiance, le sentiment d’urgence et une communication crédible, ce qui nécessite une formation plus réaliste et axée sur les comportements.
Comment les organisations peuvent-elles préparer leurs collaborateurs à faire face aux cybermenaces liées à l'IA ?
Les organisations ont besoin de une formation à la sensibilisation à la sécurité qui reflète des scénarios d’attaque réels et aide les employés à acquérir l’assurance nécessaire pour reconnaître les techniques de manipulation et à réagir de manière appropriée en situation de pression.