42 % des cyberattaques pilotées par une IA imitant votre patron

Mardi dernier, une directrice financière d’une entreprise de logistique a reçu un message Slack de son PDG lui demandant de valider un virement urgent pour un fournisseur en retard de paiement. Le ton était décontracté, légèrement impatient, exactement comme il écrit d’habitude. Elle a approuvé en moins de deux minutes. Le PDG n’a jamais envoyé ce message. Un agent d’intelligence artificielle l’a fait à sa place.

Ce scénario n’est pas une fiction tirée d’un salon de cybersécurité. Selon le Global Cybersecurity Outlook 2026 du Forum économique mondial, 94 % des responsables considèrent l’IA comme le facteur de transformation le plus significatif en cybersécurité, et 87 % identifient les vulnérabilités liées à l’IA comme le risque à la croissance la plus rapide. Le phishing agentique (où des robots autonomes mènent des conversations en temps réel, grammaticalement irréprochables, en se faisant passer pour quelqu’un de confiance) redéfinit la manière dont les brèches se produisent.

Comment fonctionne le phishing agentique

Le phishing traditionnel reposait sur le volume : envoyer des milliers d’e-mails mal rédigés en espérant qu’un destinataire clique. Le phishing agentique inverse le modèle. Ces agents IA extraient les profils LinkedIn, les fils de discussion précédents, voire les invitations de calendrier, pour construire une empreinte comportementale de la personne qu’ils imitent. Puis ils engagent des dialogues en plusieurs échanges, s’adaptant en temps réel.

Des chercheurs d’IBM ont montré qu’une IA peut générer une campagne de phishing de qualité équivalente à celle d’un expert humain en cinq minutes et cinq requêtes. Un ingénieur social humain a besoin de seize heures pour le même résultat. Cet avantage de vitesse (192 fois supérieur) permet aux attaquants de mener simultanément des campagnes d’usurpation personnalisées contre des milliers de cibles.

Le résultat : des chercheurs de Harvard ont constaté que 60 % des destinataires tombent dans le piège des e-mails de phishing générés par IA, un taux de réussite équivalent à celui des opérateurs humains expérimentés. Les campagnes de phishing par IA ont bondi de 1 265 % selon SentinelOne.

La chaîne d’exploitation que personne n’aborde : la réutilisation des mots de passe

C’est ici que la plupart des analyses s’arrêtent. Le phishing agentique est dévastateur en soi, mais il devient quasiment imparable lorsqu’il se combine avec l’habitude que 94 % des utilisateurs conservent : la réutilisation des mots de passe.

Seulement 6 % des mots de passe en circulation sont uniques. Les 94 % restants sont réutilisés sur cinq à sept services en moyenne. Lorsqu’un agent IA dérobe un identifiant, des outils automatisés testent ce même mot de passe sur chaque service lié à votre identité en quelques secondes.

C’est pourquoi les identifiants volés sont à l’origine de la majorité des violations de données. Le bourrage d’identifiants (credential stuffing) représentait à lui seul 22 % de l’ensemble des violations de données en 2024-2025, le vecteur de brèche le plus courant. Les logiciels voleurs d’informations (infostealers) ont subtilisé 548 millions de mots de passe et 17 milliards de cookies de session sur des appareils infectés en une seule année.

Pourquoi votre authentification multifacteur ne vous protège pas autant que vous le croyez

Les attaques pilotées par IA devancent les équipes de sécurité grâce au détournement de session en temps réel : l’agent IA subtilise vos identifiants, déclenche la demande d’authentification multifacteur, puis capture le jeton de session au moment précis où vous vous authentifiez. Votre code à usage unique a parfaitement fonctionné : il a simplement authentifié l’attaquant.

Un appareil infecté livre en moyenne 44 mots de passe volés et 1 861 cookies de session. Chaque cookie constitue un contournement direct de l’authentification multifacteur, permettant à l’attaquant d’accéder à vos comptes comme s’il était vous.

Ce qui fonctionne réellement contre l’usurpation par IA

Le modèle mot de passe plus authentification multifacteur a été conçu pour des attaquants humains opérant à vitesse humaine. Face à des agents IA menant simultanément des milliers de campagnes d’usurpation, il s’effondre. Trois défenses modifient le rapport de force.

Les passkeys liées au matériel. Les passkeys (clés d’accès cryptographiques) ne peuvent être ni hameçonnées, ni réutilisées, ni interceptées. Elles sont liées cryptographiquement à votre appareil et au site web spécifique. Un agent IA usurpant l’identité de votre PDG ne peut pas vous amener à transmettre un identifiant qui, physiquement, ne peut pas quitter votre matériel. Déjà, les passkeys affichent un taux de réussite de 98 %, contre un taux de réutilisation de 94 % pour les mots de passe.

La vérification hors bande. Lorsque votre supérieur envoie une demande urgente, appelez-le sur son téléphone personnel, pas via la même plateforme. Les trois secondes que cela prend pourraient épargner des millions, d’autant plus que les arnaques au clonage vocal représentent 40 milliards de dollars et rendent même la vérification téléphonique plus délicate.

L’architecture zéro confiance. Chaque demande d’accès doit être vérifiée en continu, pas uniquement au moment de la connexion. C’est le seul cadre conçu pour un monde où l’attaquant a exactement la même voix que votre collègue.

Les agents IA qui orchestrent les campagnes de phishing actuelles ne feront que s’améliorer dans l’art d’imiter les personnes en qui vous avez confiance. La question est de savoir si vous continuerez à vous appuyer sur les mêmes identifiants qu’ils ont été conçus pour dérober.

Lectures complémentaires :

• Les cinq raccourcis cyber qui coûtent cher à l’entreprise
• Pourquoi 81 % des attaques contournent votre gestionnaire