Comment l’IA transforme le paysage de la cybersécurité
Les cybercriminels font évoluer leurs tactiques à une vitesse fulgurante. Avec l’IA à portée de main, les attaquants peuvent désormais créer des e-mails de phishing personnalisés et parfaitement rédigés en seulement quelques minutes, au lieu des quelques heures nécessaires auparavant.
Depuis le lancement de ChatGPT, le nombre de tentatives de phishing a plus que doublé. Les modèles linguistiques modernes automatisent chaque étape d’une attaque : ils analysent instantanément d’immenses volumes de données publiques pour découvrir qui vous êtes, où vous travaillez, ce qui compte pour vous et quels déclencheurs psychologiques sont les plus susceptibles de vous influencer. Ensuite, des e-mails hyperréalistes sont générés en quelques secondes. Aujourd’hui, chacun est traité comme une cible à forte valeur, et l’erreur humaine n’a jamais été aussi facile à exploiter.
Pourquoi la formation traditionnelle échoue
Pendant ce temps, le coût de la cybercriminalité continue d’augmenter. D’ici 2027, son impact financier mondial devrait dépasser les 20 000 milliards d’euros, porté par des attaques incessantes dans lesquelles les entreprises contribuent, volontairement ou non, au modèle économique des cybercriminels en raison de leurs propres vulnérabilités.
Malgré ces preuves alarmantes, de nombreuses organisations continuent d’investir dans des solutions obsolètes et inefficaces. 76 % des responsables IT croient encore que des simulations de phishing ou des sessions de formation occasionnelles suffisent à rendre les employés résilients. C’est une idée profondément ancrée dans le secteur : tout le monde le fait, donc cela doit forcément fonctionner. Et les normes des cadres de conformité tels que l’ISO ou le SOC sont souvent trop faibles pour refléter l’importance d’une formation régulière et réellement efficace.
Deux grandes études scientifiques, l’une menée par l’ETH de Zurich en Europe et l’autre par l’Université de Chicago aux États-Unis, confirment aujourd’hui ce que nous répétons chez Phished depuis des années : la manière dont la plupart des organisations abordent la sensibilisation au phishing n’est rien d’autre qu’une solution de fortune sur un système défaillant. Dans sa forme actuelle et la plus courante, la formation traditionnelle au phishing n’a aucun impact mesurable, et dans les pires cas, peut même produire l’effet inverse.
« L’homme fera toujours des erreurs, surtout maintenant que l’IA a rendu le phishing plus rapide, moins coûteux et plus sophistiqué que jamais. La question n’est pas de savoir si un incident se produira, mais quand. » — Jo Vandebergh, CEO Phished
La vérité dérangeante sur la formation au phishing
Nous devons accepter ce que les données montrent clairement : la simple « barrière humaine » ne suffit pas à prévenir les cyberincidents. L’homme fera toujours des erreurs, surtout maintenant que l’IA rend le phishing plus rapide, moins coûteux et plus sophistiqué que jamais. La question n’est pas si un incident aura lieu, mais quand.
La formation traditionnelle ne résoudra pas ce problème. Seule une approche holistique, combinée à une technologie e-mail zero-trust, capable de protéger les personnes tout en les formant, peut réellement fonctionner.
Pour résoudre le problème des filtres anti-spam peu fiables et l’erreur humaine, nous avons développé notre technologie Zero Incident Mail™ (ZIM). Elle neutralise instantanément les clics à risque et garantit qu’aucun dommage n’atteindra votre infrastructure, même lorsque vos collaborateurs font une erreur. Associée à une formation holistique fondée sur les risques (incluant des pratiques de cyberhygiène et des alertes de menace) ainsi qu’à des aperçus comportementaux issus de notre Score de Risque Comportemental™, cette approche permet aux employés d’apprendre de manière sûre, efficace et sans perturber leur travail quotidien.
Car l’erreur humaine existera toujours, mais les incidents, eux, ne doivent pas être une fatalité.
Jo Vandebergh
CEO, Phished
