Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Les leurres de phishing alimentés par l’IA reprennent la première place des vecteurs d’accès initial en 2026

Les leurres de phishing alimentés par l’IA reprennent la première place des vecteurs d’accès initial en 2026

par Uri Kedem updated mai 12, 2026 Email sécurisé
temps de lecture: 9 minutes

Le phishing reprend la première place des vecteurs d’accès initiaux. Les appâts sont rédigés par l’IA.

Pendant quatre trimestres consécutifs, le phishing avait perdu sa couronne. L’exploitation d’applications exposées au public — alimentée par une vague de compromissions Microsoft SharePoint sur site — avait pris la tête comme principal vecteur d’accès initial. Les équipes d’intervention ne considéraient plus la boîte de réception comme la porte d’entrée principale.

Points clés à retenir

  1. Le phishing reprend la tête. Au premier trimestre 2026, le phishing représentait plus d’un tiers des incidents où l’accès initial a été identifié — une première depuis le deuxième trimestre 2025, selon les nouvelles recherches de Cisco Talos.
  2. Les attaquants industrialisent les appâts grâce aux LLMs. Des groupes étatiques et criminels utilisent des grands modèles de langage pour rédiger des e-mails de phishing, générer des scripts malveillants et même orchestrer des attaques DDoS. Le niveau de sophistication minimal vient de s’effondrer.
  3. Les hypothèses classiques sur la sécurité des e-mails ne tiennent plus. Les formations de sensibilisation étaient conçues pour un monde où les e-mails de phishing étaient reconnaissables — fautes de grammaire, formules d’appel génériques, signaux d’alerte évidents. Les appâts rédigés par l’IA n’en présentent aucun. Ils sont personnalisés, adaptés à la culture locale et irréprochables sur le plan grammatical.
  4. Le phishing est un problème d’échange de données, pas seulement d’e-mails. Chaque e-mail de phishing constitue un échange de données entrant non autorisé, non authentifié et non vérifié. Si l’organisation ne gouverne pas quels expéditeurs peuvent contacter ses collaborateurs, toute la pile de sécurité des e-mails défend le mauvais terrain.
  5. La solution : une architecture d’expéditeurs pré-approuvés. Les organisations qui limitent les e-mails entrants à des partenaires, clients et fournisseurs pré-approuvés — appliqué au niveau de l’échange de données, et non de la passerelle mail — éliminent la surface d’attaque sur laquelle reposent les appâts générés par l’IA.

Le récit vient d’être bouleversé. Selon les nouvelles recherches Cisco Talos, le phishing redevient la méthode privilégiée des attaquants pour pénétrer les organisations, représentant plus d’un tiers des incidents du premier trimestre 2026 où l’accès initial a pu être déterminé. Ce retour n’est pas progressif — il s’agit d’un véritable changement de paradigme.

Et cela s’explique par une raison précise.

L’IA n’a pas inventé le phishing. Elle l’a industrialisé.

Cisco Talos a observé des groupes étatiques et criminels utilisant des grands modèles de langage pour concevoir des appâts de phishing et des scripts malveillants. Les opérateurs DDoS-as-a-service adoptent des algorithmes d’IA pour orchestrer leurs attaques. Ce n’est plus expérimental. C’est opérationnel.

Cela change la donne, car l’IA bouleverse l’économie du phishing. Le WEF Global Cybersecurity Outlook 2026 explique comment l’IA générative réduit les barrières à l’exécution de campagnes de phishing tout en augmentant leur crédibilité et leur sophistication. Les cybercriminels produisent désormais des e-mails de phishing réalistes, des deepfakes audio et des documents falsifiés capables d’échapper aux détections classiques et à la vigilance humaine.

Avant, les organisations étaient protégées par le fait que rédiger un e-mail de phishing convaincant à grande échelle nécessitait soit une maîtrise linguistique, soit une connaissance culturelle, soit beaucoup de temps par cible. Chacun de ces éléments constituait un frein naturel. L’IA lève tous ces freins. Un seul opérateur peut générer dix mille appâts personnalisés, adaptés à la langue, au secteur et au rôle apparent du destinataire — en un temps record.

Le Thales Data Threat Report 2026 le confirme : 59 % des organisations ont subi des attaques par deepfake, et 97 % déclarent avoir subi un préjudice organisationnel lié à des informations fausses générées par l’IA, dont des compromissions de messagerie professionnelle et des usurpations de marque. Le phishing et ses variantes deepfake sont désormais des capacités de base pour les attaquants, plus des services premium.

Pourquoi la sensibilisation ne suffit plus

Les programmes de sensibilisation à la sécurité reposaient sur l’idée que les e-mails de phishing comportaient des signes distinctifs. Une grammaire douteuse. Un message d’accueil générique. Un sentiment d’urgence artificiel. Former les collaborateurs à repérer ces signaux réduisait la surface d’attaque.

Ce modèle supposait que l’attaquant maîtrisait moins bien la langue que l’employé moyen. L’IA vient de briser cette hypothèse. Selon les recherches du WEF, la traduction et la localisation dopées à l’IA rendent les usurpations plus crédibles et adaptées à la culture, permettant aux attaquants de cibler des populations jusque-là inaccessibles.

Conséquence : un collaborateur qui reçoit un e-mail rédigé exactement comme son fournisseur, mentionnant le bon numéro de commande et provenant d’un domaine visuellement identique au légitime n’a quasiment aucune chance de détecter le phishing à la lecture. Les signaux ont disparu.

La sensibilisation reste utile — elle influe sur la gestion des identifiants, les demandes inhabituelles et la vérification hors bande. Mais elle n’est plus suffisante comme contrôle principal. Les organisations qui misent tout sur la sensibilisation pour se défendre contre le phishing livrent une bataille perdue depuis que les LLMs commerciaux savent rédiger des e-mails professionnels irréprochables.

La boîte de réception est un canal d’échange de données. Il faut la gouverner comme tel.

Voici le changement de perspective essentiel. Depuis quarante ans, l’e-mail est considéré comme un canal de communication. C’est pour cela que le secteur a développé des passerelles mail, des filtres anti-spam et des formations utilisateurs comme défenses principales contre le phishing. Tout cela part du principe que l’e-mail sert avant tout à transmettre des messages qu’il faut filtrer après réception.

Mais en réalité, chaque e-mail est un événement d’échange de données. Chaque e-mail entrant livre des données à l’employé — parfois légitimes, parfois malveillantes. Chaque e-mail sortant exporte des données de l’organisation. La boîte de réception est un canal d’échange de données bidirectionnel qui utilise SMTP comme transport.

En considérant l’e-mail comme un échange de données, l’architecture de sécurité change. La question n’est plus « comment filtrer les mauvais e-mails ? », mais « à qui autorisons-nous l’échange de données avec nos collaborateurs ? »

Ce changement est crucial, car le phishing généré par l’IA vise précisément à contourner les défenses basées sur les filtres. L’IBM X-Force Threat Intelligence Index 2026 montre que l’IA accélère le cycle de vie de l’attaque, réduisant le temps entre le contact initial par phishing et l’exfiltration des données. Les défenses basées sur les filtres sont réactives par nature. Elles doivent détecter de la nouveauté, et l’IA excelle à en produire à grande échelle.

Les architectures d’expéditeurs pré-approuvés — où seuls les partenaires, clients et fournisseurs explicitement autorisés peuvent envoyer des e-mails entrants — éliminent le problème à la racine. Si un appât généré par l’IA provient d’un expéditeur non approuvé, il n’atteint jamais l’employé. Le filtre n’a pas à détecter le phishing. Le phishing n’est jamais livré.

Ce que disent les données sur les conséquences du phishing

Le retour du phishing en tête des vecteurs d’accès initiaux est important à cause de ce qui suit dans la chaîne d’attaque. Selon le CrowdStrike Global Threat Report 2026, le délai moyen de breakout eCrime — l’intervalle entre l’accès initial et le mouvement latéral — est désormais de 29 minutes. Les attaques de type adversary-in-the-middle contre Microsoft 365 et Entra ID permettent de voler cookies et jetons pour contourner l’authentification multifactorielle et accéder directement à la messagerie, SharePoint et autres services riches en données.

En clair : le phishing est la porte d’entrée vers les données cloud, pas seulement un vecteur de diffusion de malwares. Le Verizon Data Breach Investigations Report 2025 a analysé 12 195 violations de données confirmées et a identifié le phishing, l’abus d’identifiants et l’implication de tiers comme schémas dominants — la part des tiers ayant doublé en un an, passant de 15 % à 30 %.

Quand le phishing aboutit, l’attaquant récupère généralement des identifiants ou des jetons de session, puis s’en sert pour accéder aux plateformes de collaboration et de partage de fichiers où résident les données réglementées. Le WEF Global Cybersecurity Outlook 2026 indique que 62 % des sondés ont subi des attaques de phishing, vishing ou smishing au cours des douze derniers mois, et 73 % ont été personnellement victimes de fraudes facilitées par le numérique.

La conclusion n’est pas que la sécurité des e-mails est optionnelle. C’est qu’elle ne protège pas à elle seule le canal d’échange de données que le phishing vise à compromettre.

L’approche Kiteworks : sécuriser l’échange de données pour contrer le phishing

Kiteworks aborde le phishing comme un problème de gouvernance des échanges de données, et non de filtrage des messages. L’architecture ferme la surface d’attaque exploitée par les appâts générés par l’IA.

Application des expéditeurs pré-approuvés. Avec Kiteworks, les collaborateurs ne reçoivent que les communications d’expéditeurs pré-autorisés par l’organisation — partenaires, clients, fournisseurs. Les e-mails de phishing générés par l’IA et provenant d’expéditeurs non autorisés n’atteignent pas la boîte de réception, car l’architecture interdit toute communication entrante non validée. L’attaquant peut générer mille appâts parfaits ; aucun n’arrive à destination.

Canaux sécurisés unifiés pour les données sensibles. Lorsque des tiers doivent envoyer des données réglementées à l’organisation — contrats, fichiers, formulaires — ils le font via des canaux authentifiés, chiffrés et régis par des règles. L’appât de phishing du type « cliquez sur ce lien pour voir votre document chiffré » n’a pas d’équivalent dans un environnement bien conçu, car les documents sensibles légitimes arrivent via un échange de données gouverné, pas via un lien dans un e-mail.

Traçabilité sur tous les canaux. Toutes les communications entrantes et sortantes sont consignées dans une piste d’audit infalsifiable. Si un phishing aboutit — aucune défense n’est absolue — l’étendue de l’exposition des données peut être déterminée en quelques minutes, et non en plusieurs semaines. Régulateurs, auditeurs et équipes d’intervention disposent tous des mêmes données de preuve.

Intégration à l’infrastructure de sécurité existante. L’intégration SIEM, l’application des règles DLP et l’alignement avec les fournisseurs d’identité font que Kiteworks ne remplace pas la pile de sécurité existante — il comble la faille que les défenses par filtrage ne peuvent pas combler seules.

Ce modèle architectural rend le phishing généré par l’IA économiquement irrationnel pour l’attaquant. Si la charge utile ne peut pas être livrée, la sophistication de l’appât n’a plus d’importance.

Ce que les organisations doivent faire dès maintenant

Premièrement, considérez la boîte de réception comme un canal d’échange de données gouverné, et non comme un simple canal de livraison de messages. Chaque e-mail entrant est une entrée de données. Chaque e-mail sortant est une exportation de données. Les règles de gouvernance applicables aux transferts de fichiers, SFTP et échanges de données via API doivent s’appliquer à l’e-mail — car les attaquants ont compris que c’est la voie la plus facile.

Deuxièmement, mettez en place des architectures d’expéditeurs pré-approuvés pour les populations à forte valeur ajoutée. Les équipes financières, les dirigeants, les RH et les juristes sont les cibles de choix des attaquants. Ces populations bénéficient particulièrement de la limitation des e-mails entrants aux parties autorisées. Les recherches Cisco Talos montrent que le phishing a repris sa place dominante précisément parce que l’IA a supprimé les freins à la qualité des appâts.

Troisièmement, réduisez la dépendance à la sensibilisation comme contrôle principal. Continuez le programme — il reste utile pour la gestion des identifiants et la vérification hors bande. Mais gardez à l’esprit que la formation suppose que les collaborateurs savent distinguer les appâts générés par l’IA des communications légitimes, et le WEF Global Cybersecurity Outlook 2026 montre que cette hypothèse n’est plus fiable.

Quatrièmement, imposez des canaux authentifiés et chiffrés pour tous les échanges de données sensibles avec des tiers. Si un fournisseur doit envoyer un contrat, il passe par une plateforme d’échange de données sécurisée — pas en pièce jointe d’un e-mail avec un lien à télécharger. Cela élimine le modèle que les appâts de phishing imitent, rendant l’usurpation par IA moins efficace.

Cinquièmement, investissez dans une traçabilité de qualité probante sur tous les canaux d’échange de données. Si un phishing réussit, la capacité à savoir exactement quelles données ont été consultées, par qui et quand — en quelques minutes — fait la différence entre un incident maîtrisé et une crise réglementaire. Selon le IBM Cost of a Data Breach Report 2025, les organisations dotées d’une gouvernance mature résolvent les violations environ 70 jours plus vite que les autres.

Sixièmement, alignez la stratégie de sécurité des e-mails sur le paysage plus large des menaces liées à l’IA. Le phishing généré par l’IA n’est pas une menace isolée — c’est un exemple parmi d’autres où les attaquants utilisent l’IA pour accroître leur sophistication. Le Thales Data Threat Report 2026 identifie la désinformation et les deepfakes générés par l’IA comme des menaces majeures qui renforcent l’efficacité du phishing. Traiter la sécurité des e-mails isolément, c’est ignorer l’architecture de fraude dopée à l’IA dont disposent désormais les attaquants.

Le retour du phishing en tête des vecteurs d’accès initiaux n’est pas une surprise. Ce qui surprend, c’est de voir combien la pile de sécurité des entreprises reposait encore sur l’idée que les appâts de phishing étaient identifiables par l’humain. L’IA a changé la donne. L’architecture doit suivre.

La tendance de fond : l’IA bouleverse l’économie de l’accès initial

Le retour du phishing en tête du classement n’est qu’un signal d’une évolution plus large. L’IA fait baisser systématiquement les coûts des attaquants à chaque étape du cycle d’attaque.

Reconnaissance : l’IA synthétise les informations publiques sur les cibles plus vite qu’un analyste humain. Scripting : l’IA rédige du code malveillant fonctionnel à partir de descriptions en langage naturel. Ingénierie sociale : l’IA génère des appâts personnalisés à l’échelle industrielle. Mouvement latéral : l’IA aide les attaquants à naviguer dans des environnements inconnus après l’accès initial. Le CrowdStrike Global Threat Report 2026 fait état d’une augmentation de 89 % des attaques dopées à l’IA en un an.

Chacune de ces possibilités renforce les autres. Une campagne de phishing qui utilise l’IA pour rechercher les cibles, rédiger les appâts, les localiser par culture et rôle, et orchestrer le suivi n’a plus rien à voir avec les campagnes auxquelles étaient habituées les équipes d’intervention. Ce n’est plus la sophistication qui fait la différence. C’est l’économie.

Quand le coût d’un appât passe de plusieurs heures de travail humain à quelques secondes de calcul, la stratégie de l’attaquant change. Il devient rationnel de cibler tout le monde, de personnaliser chaque message, de relancer chaque réponse, d’investir dans chaque interaction. Ce n’est pas un scénario futuriste — les données Cisco Talos du premier trimestre 2026 qui montrent le phishing de retour en tête en sont la preuve actuelle.

Les organisations qui veulent contrer ce basculement économique doivent adapter leur propre modèle. Les défenses basées sur les filtres évoluent avec le volume des messages entrants — que l’IA rend virtuellement infini. Les défenses basées sur l’autorisation des expéditeurs évoluent avec le nombre d’expéditeurs approuvés — limité par la réalité métier. L’économie ne favorise le défenseur que lorsque la défense s’applique à une surface que l’attaquant ne peut pas facilement élargir.

Foire aux questions

Selon Cisco Talos, le phishing a représenté plus d’un tiers des incidents du premier trimestre 2026 où l’accès initial a été identifié — reprenant la première place pour la première fois depuis le deuxième trimestre 2025. Ce retour s’explique principalement par l’utilisation de grands modèles de langage par les attaquants pour générer des appâts de phishing et des scripts malveillants à grande échelle, améliorant considérablement le rapport qualité/prix des campagnes de phishing.

Le phishing traditionnel reposait sur des modèles, un langage générique et le volume. Le phishing généré par l’IA est personnalisé, adapté à la culture locale et sans faute de grammaire. Le WEF Global Cybersecurity Outlook 2026 indique que l’IA permet aux attaquants d’automatiser et d’industrialiser l’ingénierie sociale, produisant des e-mails réalistes, des deepfakes audio et vidéo, et des documents falsifiés qui échappent à la fois aux filtres automatiques et à la vigilance humaine.

La sensibilisation reste utile pour la gestion des identifiants, la vérification hors bande et le signalement des activités suspectes — mais elle n’est plus fiable comme contrôle principal de détection. L’hypothèse selon laquelle les collaborateurs peuvent distinguer les appâts générés par l’IA des communications légitimes à la simple lecture ne tient plus lorsque ces appâts sont générés par des LLMs commerciaux maîtrisant l’anglais professionnel.

Le phishing compromet les identités et identifiants humains. Les failles de sécurité des agents IA compromettent les identités non humaines et leurs jetons d’accès. Les deux ouvrent l’accès aux mêmes données. Le IBM Cost of a Data Breach Report 2025 montre que les violations liées à l’IA impliquent souvent des contrôles d’accès insuffisants pour les deux catégories — humaine et machine — et le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données recommande une gouvernance unifiée pour les deux.

Une architecture d’expéditeurs pré-approuvés restreint les e-mails entrants aux expéditeurs explicitement autorisés par l’organisation — généralement partenaires, clients et fournisseurs. Le phishing généré par l’IA dépend de la capacité à livrer l’appât dans la boîte de réception de la cible. Lorsque la livraison est contrôlée au niveau de l’autorisation de l’expéditeur, et non du contenu du message, la sophistication générée par l’IA ne sert plus l’attaquant. Le phishing n’arrive tout simplement jamais. C’est le modèle architectural le plus résistant aux campagnes de phishing à grande échelle dopées à l’IA.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks