L'evolution du phishing en 2026
Le phishing reste le vecteur d'attaque numero 1 : 91% des cyberattaques commencent par un email malveillant. Mais les techniques ont radicalement evolue. Les emails truffes de fautes d'orthographe venant de princes nigerians sont de l'histoire ancienne.
En 2026, les attaquants utilisent l'intelligence artificielle pour creer des emails parfaitement rediges, personnalises et contextuels. Ils exploitent de nouveaux canaux (SMS, Teams, QR codes) et combinent plusieurs techniques pour contourner les defenses.
Chiffre alarmant : Le taux de clic sur les emails de phishing generes par IA atteint 65%, contre 15% pour les emails classiques. La difference ? L'IA analyse les profils LinkedIn, les actualites de l'entreprise et le style de communication des collegues pour creer des messages sur mesure.
Phishing assiste par IA generative
Les grands modeles de langage (LLM) sont devenus l'arme favorite des cybercriminels pour le phishing. Les emails generes par IA sont :
- Grammaticalement parfaits : fini les fautes qui trahissaient les anciens phishings
- Contextuellement pertinents : l'IA analyse les actualites de votre entreprise, vos publications LinkedIn, et genere un pretexte credible
- Personnalises a grande echelle : chaque destinataire recoit un email unique, adapte a son role et ses responsabilites
- Multilingues : les attaquants ciblent desormais en francais natif, pas en traduction approximative
L'IA permet aussi de generer de faux sites web en quelques secondes, avec des pages de connexion clonees pixel par pixel.
Deepfakes vocaux et video
Les deepfakes ne sont plus de la science-fiction. En 2025, une entreprise britannique a perdu 25 MEUR apres qu'un employe a suivi les instructions d'un deepfake video de son directeur financier lors d'un appel Teams.
Les techniques actuelles :
- Deepfake vocal (vishing) : clonage de la voix d'un dirigeant a partir de quelques minutes d'enregistrement (conference, podcast, video YouTube)
- Deepfake video temps reel : creation de faux appels video avec le visage d'un collegue ou d'un fournisseur
- Usurpation d'appel (caller ID spoofing) : le numero affiche correspond a celui du vrai contact
QR codes malveillants (quishing)
Le "quishing" explose en 2026. Les attaquants integrent des QR codes dans des emails, des documents PDF, voire des courriers physiques. Le QR code redirige vers un site de phishing ou telecharge un malware.
Le danger : les filtres anti-spam ne detectent pas les QR codes malveillants (c'est une image, pas un lien). Et les utilisateurs, habitues a scanner des QR codes partout, ne se mefient pas.
Attention : Mefiez-vous des QR codes recus par email, colles sur des affiches ou inseres dans des documents PDF. Verifiez toujours l'URL affichee apres le scan avant de saisir vos identifiants.
Attaques multi-canal
Le phishing ne se limite plus a l'email. Les attaquants combinent plusieurs canaux pour maximiser leur taux de succes :
- Email + SMS : un email annonce un colis, un SMS confirme avec un lien de suivi malveillant
- Teams/Slack : messages via des comptes compromis de collegues ou fournisseurs
- Reseaux sociaux : approche via LinkedIn avec une fausse opportunite professionnelle
- Appel telephonique + email : un faux support Microsoft appelle puis envoie un email de "confirmation"
Comment proteger votre PME
Defenses techniques
- Filtrage email avance : solutions qui utilisent l'IA pour detecter les emails de phishing generes par IA (anti-IA vs IA)
- DMARC, DKIM, SPF : protocoles d'authentification email pour empecher l'usurpation de votre domaine
- MFA resistante au phishing : cles FIDO2/WebAuthn plutot que les SMS ou codes TOTP (qui peuvent etre interceptes par des kits de phishing en temps reel)
- Navigation securisee : filtrage web pour bloquer les sites de phishing connus
- EDR/XDR : detection des malwares telecharges via des liens de phishing
Defenses humaines
- Formation continue : sessions regulieres adaptees aux nouvelles techniques
- Culture du signalement : encouragez les employes a signaler les emails suspects sans crainte de sanction
- Procedure de validation : pour tout virement superieur a un seuil, exigez une confirmation verbale via un canal independant (pas le numero fourni dans l'email !)
Mettre en place des simulations
Les exercices de simulation de phishing sont la methode la plus efficace pour mesurer et ameliorer la vigilance de vos equipes. Un bon programme de simulation :
- Frequence : au moins une campagne par trimestre avec des scenarios varies
- Progression : commencez par des phishings simples, puis augmentez la sophistication
- Bienveillance : l'objectif est d'eduquer, pas de pieger. Fournissez un feedback immediat et constructif
- Mesure : suivez le taux de clic, le taux de signalement et l'evolution dans le temps
- Adaptation : integrez les nouvelles techniques (QR codes, deepfakes) dans vos scenarios
Se faire accompagner
My Trust Partner propose un programme complet de protection anti-phishing :
- Formation et sensibilisation adaptees aux nouvelles menaces 2026
- Campagnes de simulation de phishing mensuelles avec rapports detailles
- Deploiement de solutions anti-phishing avancees (IA, DMARC, MFA FIDO2)
- SOC 24/7 pour la detection et la reponse rapide aux compromissions
Testez la resistance de vos equipes au phishing
Nos experts lancent une campagne de simulation de phishing et vous livrent un rapport detaille avec un plan d'amelioration.
Lancer une simulation phishingReponse sous 24h ouvrables — 100% confidentiel