Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > La puissance de l’IA a submergé les solutions traditionnelles de sécurité des e-mails : ce que le rapport Osterman Research implique pour les organisations qui gèrent des données sensibles

La puissance de l’IA a submergé les solutions traditionnelles de sécurité des e-mails : ce que le rapport Osterman Research implique pour les organisations qui gèrent des données sensibles

par Bob Ertl updated février 25, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 8 minutes

Votre passerelle de sécurité des e-mails ne vous protège pas. Elle vous donne un faux sentiment de sécurité pendant que les attaques alimentées par l’IA passent la porte d’entrée.

C’est la principale conclusion d’un nouveau rapport de recherche d’Osterman Research, commandé par IRONSCALES, intitulé Restoring Trust in Business Communications. L’étude, menée auprès de 128 décideurs en cybersécurité, livre un verdict qui devrait pousser toutes les organisations gérant des données sensibles de clients — cabinets comptables, services financiers, cabinets juridiques, prestataires de santé — à repenser entièrement leur approche des communications sécurisées.

Quatre-vingt-huit pour cent des organisations ont subi au moins un incident de sécurité ayant sapé la confiance dans les communications numériques au cours des 12 derniers mois. Ce n’est pas un risque hypothétique. Ce n’est pas une vulnérabilité projetée. Il s’agit d’un taux d’incidents documenté qui confirme ce que de nombreux professionnels de la sécurité soupçonnent déjà : le modèle de détection et de blocage de la sécurité des e-mails a échoué.

5 enseignements clés

  1. Le phishing alimenté par l’IA a mis fin au modèle de détection et de blocage. Osterman Research a constaté que 88 % des organisations ont connu au moins un incident de sécurité ayant sapé la confiance dans les communications numériques au cours des 12 derniers mois. Le phishing généré par l’IA produit désormais des messages à la grammaire parfaite, au contenu contextuel pertinent et à l’usurpation convaincante, que les outils de sécurité des e-mails traditionnels n’ont jamais été conçus pour détecter. Le modèle de détection ne fonctionne pas lorsqu’il n’y a rien à détecter dans le message.
  2. Les attaques par deepfake sont là — et les équipes de sécurité ne sont pas prêtes. Soixante pour cent des décideurs en cybersécurité n’ont pas confiance dans leur capacité à contrer les attaques par deepfake. Les attaquants combinent des e-mails générés par IA avec des voix et vidéos deepfake d’exécutifs pour autoriser des virements et contourner les protocoles de vérification. La sensibilisation à la sécurité s’avère inefficace : 38 % la jugent moyennement efficace ou pire contre l’audio deepfake, et 39 % contre la vidéo deepfake.
  3. Les équipes financières sont la cible principale — et les moins préparées. Cinquante-neuf pour cent des organisations considèrent les départements financiers comme des cibles prioritaires ou critiques. Ce même pourcentage exprime une forte inquiétude quant à la préparation de ces équipes face aux attaques fondées sur la confiance. Le Business Email Compromise coûte en moyenne 125 000 $ par incident, et les attaques gagnent en sophistication chaque trimestre.
  4. La courbe de la menace a été réinitialisée — et le pire est à venir. Les organisations subissent déjà des violations à un rythme alarmant, mais les répondants estiment que les attaques alimentées par l’IA n’ont pas encore atteint leur pleine maturité. Vingt-huit pour cent estiment que le phishing généré par IA ne fait que commencer. Le taux actuel de 88 % de violations représente le minimum, pas le maximum.
  5. Les organisations sont prêtes à remplacer toute leur stack. Soixante-dix pour cent des organisations jugent la détection de l’usurpation audio par deepfake extrêmement importante. Soixante-huit pour cent sont prêtes à changer totalement de fournisseur de sécurité des e-mails. Soixante-dix pour cent sont prêtes à remplacer toute leur stack technologique de sécurité.

La courbe de la menace vient d’être réinitialisée

« La courbe de la menace vient d’être réinitialisée », déclare Michael Sampson, Principal Analyst chez Osterman Research. « Même les types d’attaques « résolus » comme le phishing et le Business Email Compromise sont redevenus immatures. Les attaques BEC de 2025 n’ont plus rien à voir avec celles de 2020 — elles sont désormais hyper-personnalisées, multicanal et peuvent être lancées de façon autonome à grande échelle. »

L’IA a éliminé tous les signaux sur lesquels les employés et les systèmes de sécurité s’appuyaient pour repérer les e-mails malveillants. Les fautes de grammaire ont disparu. Les adresses d’expéditeurs suspectes aussi. Le langage générique n’existe plus. Le phishing généré par IA produit des messages à la syntaxe parfaite, au contenu contextuel issu de sources publiques comme LinkedIn et les sites web d’entreprise, et une personnalisation qui imite la communication professionnelle légitime jusque dans le ton et la mise en forme.

Les outils de sécurité des e-mails traditionnels — Proofpoint, Mimecast, Barracuda, Microsoft 365 Advanced Threat Protection — fonctionnent selon un modèle de détection et de blocage. Ils analysent les e-mails entrants à l’aide de bases de signatures, de scores de réputation, de sandboxing et de machine learning pour identifier le contenu malveillant avant qu’il n’atteigne la boîte de réception. Lorsque les différences entre un phishing et un e-mail légitime disparaissent, le modèle de détection s’effondre.

Et la sophistication s’accélère. Vingt-huit pour cent des répondants estiment que le phishing généré par IA ne fait que commencer. Vingt-cinq pour cent pensent que les attaques audio deepfake en sont à leurs débuts. Le taux de violation de 88 % que connaissent les organisations aujourd’hui survient avant même que ces vecteurs d’attaque n’atteignent leur pleine maturité.

Vous pensez que votre organisation est sécurisée. Mais pouvez-vous le prouver ?

Pour en savoir plus :

Les deepfakes ont transformé la confiance en arme

Les attaques alimentées par l’IA ne se limitent plus aux e-mails. Les cybercriminels combinent des e-mails de phishing avec des appels vocaux et vidéos deepfake pour créer des attaques d’usurpation multicanal qui déjouent tous les moyens de vérification traditionnels.

Un collaborateur reçoit un e-mail du CEO demandant un virement urgent. L’e-mail paraît légitime. Le collaborateur appelle le CEO pour vérifier. La voix à l’autre bout est un deepfake généré par IA. Le virement est effectué. L’argent a disparu. Ce n’est pas hypothétique. Cela se produit déjà. Et 60 % des décideurs en cybersécurité n’ont pas confiance dans leur capacité à contrer ce type d’attaque.

La sensibilisation à la sécurité s’avère insuffisante. Près d’un responsable sécurité sur cinq considère la formation inefficace face aux menaces amplifiées par l’IA. Trente-huit pour cent jugent la formation seulement moyennement efficace ou pire pour détecter l’audio deepfake, 39 % pour la vidéo deepfake, et 43 % pour le phishing généré par IA. On ne peut pas former les humains à détecter des attaques conçues pour être indiscernables des communications légitimes.

Équipes financières : cible à forte valeur, confiance minimale

Cinquante-neuf pour cent des organisations considèrent les équipes financières comme des cibles prioritaires ou critiques pour les cybercriminels. Ce même pourcentage exprime une forte inquiétude quant à la capacité de ces équipes à se défendre contre les attaques fondées sur la confiance. Le Business Email Compromise ciblant les départements financiers coûte en moyenne 125 000 $ par incident selon les données du FBI IC3 — sans compter les amendes réglementaires, les frais juridiques et l’atteinte à la réputation.

L’usurpation d’identité de fournisseurs progresse rapidement. Plus de 33 % des organisations ont constaté que des cybercriminels se faisaient passer pour des fournisseurs de confiance afin de détourner des fonds ou des informations au cours de l’année écoulée, 13 % signalant une forte augmentation d’une année sur l’autre. Pour les cabinets comptables, les sociétés de services financiers et les cabinets juridiques, une seule attaque réussie contre une entreprise gérant des données financières de clients peut anéantir des décennies de relations. La convergence entre cibles à forte valeur et faible confiance défensive est précisément la faille exploitée par les attaquants.

Pourquoi la sécurité des e-mails traditionnelle est irréparable

L’e-mail n’a jamais été conçu pour la sécurité. SMTP autorise l’usurpation d’expéditeur, ne propose pas d’authentification native et transmet les données sur des canaux interceptables. Chaque outil de sécurité des e-mails n’est qu’un pansement sur un protocole qui n’a jamais été conçu pour cette mission.

La détection nécessite un signal à détecter. Lorsque l’IA génère des e-mails de phishing grammaticalement parfaits et identiques dans leur structure à des e-mails légitimes, il n’y a plus de signal. La détection par signature, l’analyse de réputation et l’analyse comportementale reposent toutes sur l’identification d’anomalies. Les attaques générées par IA n’en produisent aucune.

Les architectures réactives ne peuvent pas dépasser les attaquants proactifs. L’IA permet aux cybercriminels de générer des variantes uniques et polymorphes de chaque attaque et de les déployer à grande échelle plus vite que n’importe quel fournisseur ne peut mettre à jour ses modèles de détection.

Sampson est catégorique : « Les protections e-mail traditionnelles sont trop grossières pour reconnaître les signaux subtils des attaques modernes alimentées par l’IA. »

Du modèle détecter-et-bloquer au modèle vérifier-et-contrôler

Il faut repenser fondamentalement la façon dont les organisations gèrent les communications sensibles. Plutôt que de tenter de détecter du contenu malveillant dans un canal intrinsèquement non sécurisé, il faut une architecture de communication qui élimine totalement le vecteur d’attaque — basée sur la vérification d’identité et le contrôle d’accès, et non sur l’inspection du contenu.

Communications authentifiées uniquement. Chaque message exige une identité d’expéditeur vérifiée via l’authentification multifactorielle et la signature numérique. L’usurpation d’exécutif — tactique n°1 du phishing IA — devient impossible.

Vérification hors bande. Les transactions à risque nécessitent une validation multipartite via des canaux de vérification indépendants. Même avec des identifiants compromis, les attaquants ne peuvent pas finaliser les transactions frauduleuses.

Communications chiffrées de bout en bout. Les données sensibles transitent via un réseau privé chiffré utilisant TLS 1.3 et des algorithmes validés FIPS 140-3 — jamais via les protocoles SMTP.

Contrôles d’accès granulaires. L’accès aux données est limité au strict nécessaire, avec des autorisations temporaires, des restrictions par appareil et des contrôles de géolocalisation.

Traçabilité complète. Chaque action est journalisée pour prouver la conformité, détecter les anomalies et permettre l’investigation forensique.

Ce que cela signifie pour les cabinets gérant des données sensibles de clients

Les cabinets comptables et CPA font face à des attaques de phishing IA ciblant la période fiscale — faux messages IRS, usurpation de clients, vol de W-2. Un portail client sécurisé avec des canaux authentifiés et chiffrés élimine l’e-mail comme vecteur d’attaque. La vérification d’identité via MFA, les circuits d’approbation pour les demandes à risque et la traçabilité complète offrent une documentation pour la protection en responsabilité professionnelle et la conformité à la publication IRS 4557.

Les sociétés de services financiers font face à la fraude au CEO alimentée par IA et à l’usurpation de clients, avec des risques réglementaires liés au RGPD, DORA, NIS2 et PCI DSS. Les communications clients vérifiées, les circuits d’approbation multipartites et les contrôles de conformité intégrés couvrent plusieurs cadres réglementaires depuis une seule plateforme.

Les cabinets juridiques et de services professionnels font face à l’usurpation d’avocat et au vol d’informations confidentielles. Les communications chiffrées et authentifiées préservent le secret professionnel. Les barrières d’information assurent le cloisonnement éthique. Les journaux d’audit documentent la chaîne de conservation pour les litiges et enquêtes réglementaires.

Les établissements de santé font face à l’usurpation de patients, à la fraude de prestataires et aux violations HIPAA suite à des compromissions d’e-mails. Des canaux chiffrés conformes HIPAA, la vérification d’identité des patients via MFA et des communications sécurisées avec les prestataires éliminent l’e-mail comme vecteur de transmission des informations médicales protégées.

Kiteworks : des communications Zero Trust qui éliminent le vecteur d’attaque

C’est précisément le problème que le Réseau de données privé Kiteworks résout.

Kiteworks ne tente pas de détecter le phishing alimenté par l’IA dans les e-mails. Il propose une architecture de communication radicalement différente qui élimine totalement le vecteur d’attaque. Plutôt que de scanner un protocole intrinsèquement non sécurisé à la recherche de contenu malveillant, Kiteworks vérifie l’identité et contrôle les accès avant toute communication.

Les passerelles de sécurité des e-mails de Proofpoint, Mimecast et Barracuda reposent sur la détection de contenu malveillant — une approche inefficace lorsque les attaques générées par IA ne produisent aucune anomalie détectable. Microsoft 365 Advanced Threat Protection reste enfermé dans le modèle détecter-et-bloquer. La sensibilisation à la sécurité dépend du jugement humain face à des attaques conçues pour être indiscernables des communications légitimes. Kiteworks remplace ces trois approches par une architecture vérifier-et-contrôler où toute communication non authentifiée est bloquée par défaut.

Pour les RSSI, c’est l’architecture Zero Trust qui élimine les attaques par usurpation. Pour les CFO, c’est le cadre de contrôle qui prévient les incidents BEC à 125 000 $ avant qu’ils ne surviennent. Pour les responsables conformité, c’est la traçabilité qui satisfait les régulateurs alors que 82 % des organisations signalent un intérêt accru des cybercriminels pour l’exploitation des communications de confiance.

La fenêtre se referme

Les attaques alimentées par l’IA ont compromis 88 % des organisations. Les attaques n’ont pas encore atteint leur pleine maturité. Les capacités deepfake en sont encore à leurs débuts. Les outils traditionnels de sécurité des e-mails ne suivent plus, et la sensibilisation à la sécurité ne peut compenser des menaces conçues pour être invisibles.

Les organisations qui adoptent dès maintenant une architecture de communication Zero Trust élimineront le vecteur d’attaque e-mail, protégeront les données sensibles de leurs clients et préserveront la confiance qui fait vivre leur activité. Celles qui attendront découvriront leur faille lors de la prochaine attaque alimentée par l’IA que leurs outils traditionnels ne pourront pas stopper.

L’e-mail n’est plus digne de confiance pour les communications professionnelles sensibles. La vraie question est de savoir si votre organisation adoptera une alternative sécurisée avant que la prochaine attaque ne révèle la faille que vos outils actuels ne peuvent combler.

Pour découvrir comment Kiteworks peut vous aider, réservez votre démo sans attendre.

Foire aux questions

Le rapport Osterman Research, Restoring Trust in Business Communications, révèle que 88 % des organisations ont subi au moins un incident de sécurité ayant sapé la confiance dans les communications numériques au cours des 12 derniers mois. L’étude menée auprès de 128 décideurs en cybersécurité indique que 82 % constatent un intérêt accru des cybercriminels pour l’exploitation des communications de confiance, tandis que 60 % n’ont pas confiance dans leur capacité à contrer les attaques deepfake. Les outils traditionnels de sécurité des e-mails basés sur la détection et le blocage échouent face au phishing alimenté par l’IA, à l’usurpation deepfake et aux attaques d’ingénierie sociale multicanal.

Les outils traditionnels de sécurité des e-mails comme Proofpoint, Mimecast et Barracuda fonctionnent selon un modèle détecter-et-bloquer qui repose sur l’identification d’anomalies — fautes de grammaire, adresses d’expéditeurs suspectes, signatures malveillantes connues. Le phishing généré par l’IA élimine ces signaux en produisant des messages à la grammaire parfaite, au contenu contextuel pertinent et à la personnalisation convaincante. Lorsqu’il n’y a plus de différence détectable entre un phishing et un e-mail légitime, le modèle de détection échoue. Le protocole SMTP aggrave le problème en autorisant l’usurpation d’expéditeur et en étant dépourvu d’authentification native. La passerelle de protection des e-mails Kiteworks répond à ce défi en passant d’un modèle de détection à un modèle vérifier-et-contrôler où toute communication non authentifiée est bloquée par défaut.

Les secteurs gérant des informations personnelles et financières sensibles sont les plus exposés : cabinets comptables et CPA ciblés par de faux messages IRS et l’usurpation de clients pendant la période fiscale ; sociétés de services financiers confrontées à la fraude au CEO alimentée par l’IA et à l’usurpation de clients, avec des risques réglementaires liés au RGPD, DORA et PCI DSS ; cabinets juridiques confrontés à l’usurpation d’avocat et au vol d’informations confidentielles ; établissements de santé exposés à l’usurpation de patients et aux violations HIPAA. Le rapport Osterman indique que les équipes financières sont la cible prioritaire, 59 % des organisations les considérant comme telles.

Kiteworks propose une architecture de communication Zero Trust qui élimine le vecteur d’attaque e-mail. Toutes les communications exigent une identité d’expéditeur authentifiée via MFA et signature numérique, rendant l’usurpation d’exécutif impossible. Les données sensibles transitent via un réseau privé chiffré utilisant TLS 1.3 et des algorithmes validés FIPS 140-3, jamais via les protocoles SMTP vulnérables. Les contrôles d’accès granulaires, les autorisations temporaires et les circuits d’approbation multipartites empêchent le Business Email Compromise. La traçabilité complète fournit des preuves de conformité et permet l’investigation forensique.

Proofpoint, Mimecast et Barracuda sont des passerelles de sécurité des e-mails qui détectent et bloquent les e-mails malveillants à l’aide de l’IA/ML, du sandboxing et de l’analyse de réputation. Cette approche échoue face au phishing généré par l’IA qui ne présente aucune anomalie détectable. Kiteworks adopte une approche radicalement différente avec une architecture de communication Zero Trust qui vérifie l’identité avant toute communication. Toute communication non authentifiée est bloquée par défaut. Les données sensibles transitent via des réseaux privés chiffrés de bout en bout, et non par SMTP. Résultat : un modèle proactif qui ne dépend pas de la détection de menaces conçues pour être indétectables.

Ressources complémentaires

  • Article de blog Architecture Zero Trust : Ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : Les inconvénients qui poussent les acteurs de la défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées après leur détection par DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à l’approche Zero Trust
  • Vidéo Guide de référence pour le stockage sécurisé des données sensibles à destination des responsables IT

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks