← Tous les articles

Comment l’IA générative dope le phishing

GottaPhish Team · 1 avril 2026

L'IA générative a discrètement supprimé les deux principaux verrous du phishing : rédiger un texte crédible et le faire à grande échelle. Ce qui exigeait autrefois un rédacteur humain et des heures de recherche se produit désormais en quelques secondes, dans n'importe quelle langue, et sur mesure pour une cible précise.

Ce qui a réellement changé

Pendant des années, les signaux d'alerte d'un email de phishing étaient linguistiques : fautes de grammaire, tournures étranges, formules impersonnelles. Les grands modèles de langage effacent ces trois indices. Un attaquant génère aujourd'hui un message impeccable dans des dizaines de langues, imite le ton d'une entreprise et adapte le registre selon qu'il s'adresse à un directeur financier ou à un technicien du support.

Le vrai basculement, c'est le coût par message crédible. Quand fabriquer un leurre sur mesure ne coûte presque rien, l'attaquant passe du ratissage large à un ciblage massif et de haute qualité.

Modes opératoires concrets

Au-delà de l'email : voix et vidéo

La menace n'est plus limitée au texte.

Pourquoi la détection classique peine

Les filtres traditionnels reposent sur des signatures, des URL connues comme malveillantes et des empreintes de contenu répété. Les campagnes générées par IA contournent tout cela :

La détection doit de plus en plus s'appuyer sur des signaux comportementaux et structurels plutôt que sur le contenu.

Signaux encore fiables :
- Authentification : alignement SPF, DKIM, DMARC (p=reject)
- Écart entre nom affiché et enveloppe/From
- Domaines expéditeurs récemment enregistrés ou ressemblants
- Routage reply-to / return-path anormal
- Premier contact + urgence + demande de paiement/identifiants

Ce que les défenseurs doivent faire dès maintenant

Renforcer l'authentification. Imposez DMARC en p=reject sur vos propres domaines, et privilégiez une MFA résistante au phishing (passkeys FIDO2/WebAuthn) : même une page de connexion parfaitement clonée ne pourra pas rejouer les identifiants.

Sortir la formation du terrain de l'orthographe. « Repérez les fautes » est un conseil mort. Apprenez aux équipes à vérifier les demandes — confirmation hors canal pour les paiements et les réinitialisations d'accès, quelle que soit la qualité du message.

Partir du principe que la voix et la vidéo mentent. Instaurez un mot de passe verbal ou un rappel sur numéro connu pour les demandes financières et d'accès sensibles.

Outiller le signalement. Un bouton « signaler un phishing » en un clic, relié à votre SOC, n'a jamais eu autant de valeur : la suspicion humaine est l'un des rares signaux qui passe à l'échelle en même temps que l'attaque.

L'objectif défensif n'est plus de démasquer le faux par ses défauts. C'est de rendre l'action voulue par l'attaquant impossible ou réversible — via l'authentification, la vérification hors canal et des identifiants résistants au phishing.

Comment GottaPhish aide

L'IA permet désormais aux attaquants de composer des leurres impeccables et personnalisés qui déjouent les réflexes du type « repérez la faute d'orthographe » qu'on enseignait autrefois. GottaPhish et son équipe d'experts vous aident à affronter précisément cette menace : des simulations personnalisées par IA, adaptées au poste, à la langue et au contexte de chaque destinataire, avec des tableaux de bord montrant quelles équipes mordent aux leurres les plus sophistiqués. Nos experts vous accompagnent dans la configuration, conçoivent des scénarios réalistes, vous aident à interpréter les résultats et accompagnent le déploiement d'une MFA résistante au phishing (FIDO2/passkeys) pour qu'un clic ne signifie plus une compromission — mesurant votre résilience face à la menace d'aujourd'hui, pas face au phishing d'il y a cinq ans.