L'IA au service des hackers : le phishing en 2026
Comment l'intelligence artificielle génère des e-mails de phishing parfaitement rédigés, ciblant des employés des PME
Ce scénario n'est plus de la science-fiction. En 2026, il se produit chaque semaine en Suisse.
Le phishing d'avant : facile à repérer
Pendant longtemps, les e-mails de phishing étaient relativement faciles à identifier : fautes d'orthographe grossières, formules étranges, adresses d'expéditeur douteuses, mise en page approximative. Un employé attentif pouvait les repérer en quelques secondes.
Ce temps est révolu.
L'IA a changé les règles du jeu
Avec l'essor des modèles de langage (LLM), les cybercriminels disposent désormais d'un outil capable de :
- Rédiger des e-mails sans la moindre faute, dans un français parfait, avec le registre exact attendu dans une PME romande
- Imiter le style d'écriture d'un dirigeant à partir de quelques exemples collectés sur LinkedIn ou ailleurs en ligne
- Personnaliser chaque message à l'échelle : nom, poste, projets en cours, nom du client mentionné, tout est automatisé
- Générer des milliers de variantes uniques pour éviter les filtres anti-spam
Des études récentes estiment que les campagnes de phishing utilisant l'IA coûtent 95% moins cher à produire que les campagnes traditionnelles, pour un taux de succès nettement supérieur.
Le spear phishing ciblé : votre PME dans le viseur
Le spear phishing, phishing hyper-ciblé, était autrefois réservé aux grandes entreprises, car il demandait un travail de recherche manuel important. L'IA a démocratisé cette technique.
En quelques minutes, un attaquant peut :
- Scraper le site web de votre entreprise, votre LinkedIn et vos réseaux sociaux
- Identifier les noms des dirigeants, des comptables, des responsables RH
- Comprendre votre secteur d'activité et vos partenaires
- Générer un e-mail crédible usurpant l'identité de votre CEO, de votre fiduciaire ou de votre banque
Pour une PME de 20 personnes, cette attaque peut être montée en moins d'une heure.
Les scénarios les plus courants en Suisse
La fraude au président : un e-mail au nom du dirigeant demande un virement urgent, souvent en dehors des heures de bureau ou avant un week-end prolongé.
Le faux fournisseur : un partenaire habituel "signale un changement de coordonnées bancaires". Le prochain paiement part sur un compte criminel.
La fausse facture RH : le service des ressources humaines reçoit une demande de changement de numéro IBAN pour le salaire d'un employé.
Le phishing Microsoft/Teams : un e-mail invitant à reconnecter son compte professionnel, page de login identique à l'originale, identifiants volés.
Comment protéger votre PME
La bonne nouvelle : il existe des mesures concrètes, accessibles même sans département IT.
1. Instaurer un protocole de vérification pour tout virement : tout changement de coordonnées bancaires ou toute demande urgente doit être confirmé par téléphone, via un numéro connu, jamais via les informations contenues dans l'e-mail suspect.
2. Former vos employés régulièrement : la sensibilisation est votre première ligne de défense. Une simulation de phishing interne permet de mesurer et réduire la vulnérabilité humaine.
3. Activer l'authentification multi-facteurs (MFA) : même si un identifiant est volé via un faux site de login, le MFA bloque l'accès.
4. Mettre en place des filtres e-mail avancés : des solutions modernes analysent les métadonnées, les en-têtes et les liens pour détecter les usurpations d'identité
5. Définir une politique claire pour les demandes urgentes : les criminels exploitent l'urgence et la peur. Une règle simple, "toute demande urgente de virement passe par un second canal", peut suffire à bloquer l'attaque.
Conclusion
L'IA a rendu le phishing redoutablement efficace. Les PME suisses, souvent moins protégées que les grandes entreprises, sont des cibles privilégiées. Mais la protection n'est pas hors de portée : elle passe par de bonnes procédures, des outils adaptés et des employés formés.