IA et ingénierie sociale : repérer l’arnaque avant clic

Fin 2025, la plupart des attaques qui « passent » n’ont pas besoin d’un exploit zéro-day. Elles ont besoin d’une personne pressée. À l’approche des fêtes (et du pic d’e-mails de livraison, de factures, d’urgences RH), l’ingénierie sociale devient l’arme la plus rentable : elle vise nos réflexes, pas nos pare-feu.

Dans un épisode récent du podcast Unlocked 403 (S2E6), une ingénieure logicielle d’ESET, Alena Košinárová, décortique ce qui rend ces attaques si efficaces : la psychologie humaine, la quantité d’informations publiques que l’on laisse traîner, et les mécanismes de confiance que les escrocs savent activer au bon moment. Ce qui m’intéresse ici, c’est le pont direct avec notre série « Intelligence artificielle dans la cybersécurité » : l’IA est particulièrement forte pour repérer des signaux comportementaux et des motifs linguistiques que les équipes humaines ne peuvent pas analyser à l’échelle.

L’objectif de cet article : vous donner une lecture claire de comment fonctionne l’ingénierie sociale, pourquoi elle marche même sur des profils « avertis », et surtout comment l’IA peut aider à la détecter et à l’empêcher—sans transformer votre organisation en bunker impossible à utiliser.

Pourquoi l’ingénierie sociale fonctionne (même sur les “bons”)

L’ingénierie sociale marche parce qu’elle exploite des raccourcis mentaux utiles au quotidien. La sécurité, elle, demande l’inverse : ralentir, vérifier, douter. Or un attaquant n’a pas besoin de vous convaincre longtemps. Il lui suffit de créer une fenêtre de 20 à 60 secondes où vous agissez par réflexe.

Trois leviers reviennent dans la plupart des campagnes :

• L’urgence : « votre compte sera bloqué », « paiement en attente », « colis retenu ».
• L’autorité : un faux PDG, un faux DSI, un faux partenaire “officiel”.
• La familiarité : des détails personnels qui rendent l’histoire crédible (poste, projets, collègues, habitudes).

Ce que le podcast met bien en avant, c’est que la question n’est pas “pourquoi les gens sont naïfs”, mais pourquoi ces techniques collent à notre fonctionnement normal. Un employé qui répond vite n’est pas forcément imprudent : il est souvent efficace, serviable, orienté résultat. Exactement le type de comportement que l’attaquant cherche à détourner.

Le vrai carburant des escrocs : vos infos publiques

Le facteur aggravant, c’est la disponibilité d’informations ouvertes. Un profil LinkedIn bien rempli, une photo de badge à une conférence, une annonce de recrutement, un post sur un déplacement… tout cela aide à fabriquer des messages ultra crédibles.

Concrètement, ces informations permettent :

• de choisir la bonne cible (assistante, finance, IT support, achats) ;
• d’adapter le vocabulaire interne (projets, outils, acronymes) ;
• de synchroniser le timing (fin de mois, clôture comptable, pic de support).

Et depuis 2023-2025, un changement accélère tout : les attaquants utilisent eux aussi l’IA générative pour produire des messages mieux écrits, plus localisés, et testés en variantes. Le volume et la qualité montent en même temps.

Les attaques typiques en entreprise : ce qui se passe réellement

Le schéma est souvent simple : un message crédible, une action minuscule, un impact majeur. Là où beaucoup d’organisations se trompent, c’est qu’elles imaginent une attaque “technique”. L’ingénierie sociale, elle, ressemble à de la gestion quotidienne.

Scénario 1 : “Faux dirigeant” (BEC) et paiement urgent

Vous recevez un e-mail “du DG” demandant un virement exceptionnel pour sécuriser un deal. L’attaquant a repéré :

• votre rôle (finance) ;
• un événement réel (acquisition, salon, déplacement) ;
• une fenêtre où le DG est injoignable.

Le message contient juste assez de pression pour empêcher une vérification. Résultat : virement, puis disparition.

Scénario 2 : “Reset MFA” via le support IT

Un appel ou un message prétend venir d’un collaborateur bloqué : “je suis en réunion, je n’ai plus accès, j’ai changé de téléphone”. L’objectif réel est de vous faire contourner les contrôles (réinitialisation, nouvelle méthode MFA, récupération de compte).

Si votre support est noté sur la rapidité, l’attaquant le sait. Il joue là-dessus.

Scénario 3 : PDF piégé + consigne plausible

Un PDF “facture” ou “contrat” arrive avec une consigne claire : “merci de valider avant 17:00”. Même sans malware sophistiqué, le PDF peut :

• pousser à un site de phishing ;
• demander une “connexion pour consulter” ;
• déclencher une macro via un document associé.

Ce qui rend ces scénarios dangereux, c’est qu’ils sont compatibles avec un environnement très sécurisé. Vous pouvez avoir un EDR, du MFA, des sauvegardes : si une personne est amenée à “autoriser” l’action, la barrière devient humaine.

Ce que l’IA détecte mieux que nous : signaux, contexte et incohérences

L’IA est utile ici pour une raison précise : elle repère des anomalies faibles en grand nombre, en combinant contenu, contexte et comportement. Une personne ne peut pas lire 40 000 e-mails entrants par jour. Un modèle, si.

Analyse linguistique : le style trahit souvent l’attaque

Même avec une bonne rédaction, certains marqueurs ressortent :

• changements de ton (“urgent” + flatterie + menace) ;
• structures répétitives entre campagnes ;
• formulations inhabituelles pour un expéditeur interne ;
• incohérences locales (formats, horaires, numéros de téléphone).

Les solutions de détection de phishing par IA peuvent scorer un message sur ces motifs, et surtout s’améliorer via les retours SOC.

Analyse comportementale : la sécurité “à la seconde près”

Là où l’IA devient très concrète, c’est sur les signaux d’usage :

• connexion depuis un pays jamais utilisé par le compte ;
• création d’une règle de boîte mail qui redirige des factures ;
• demande de réinitialisation MFA juste après un e-mail suspect ;
• enchaînement inhabituel : ouverture du message → clic → saisie identifiants → connexion nouvelle.

Ce type de corrélation est difficile manuellement. Un moteur d’analytique et de détection d’anomalies le fait en temps réel.

Une phrase que je répète souvent aux équipes : “Un bon attaquant se cache dans la normalité ; l’IA repère la normalité qui déraille.”

Enrichissement par le “contexte organisationnel”

L’IA est aussi efficace quand on lui donne des repères :

• qui a le droit de demander un virement ;
• quelles procédures existent ;
• quels partenaires envoient habituellement des factures ;
• quels domaines et signatures sont autorisés.

Le résultat n’est pas “tout bloquer”, mais réduire la zone grise. Et c’est précisément cette zone grise que l’ingénierie sociale exploite.

Former sans lasser : podcasts + simulations + IA

La sensibilisation classique échoue quand elle est trop théorique. Le format podcast, lui, marche parce qu’il raconte des mécanismes humains. On retient mieux une histoire qu’une checklist.

Mon approche préférée en entreprise combine trois couches :

1) Micro-apprentissages (10 minutes) inspirés du réel

À partir d’un épisode comme Unlocked 403, vous pouvez extraire une notion unique : l’urgence, l’autorité, la preuve sociale. Une notion, un exemple, un réflexe.

2) Simulations ciblées, pilotées par données

On ne simule pas “du phishing” au hasard. On simule ce qui risque d’arriver dans votre contexte : finance, RH, support, achats, directions.

L’IA aide ici à :

• générer des variantes réalistes (sans copier des marques réelles) ;
• adapter le niveau de difficulté ;
• analyser les résultats par équipe, période et canal.

3) Coaching au bon moment (just-in-time)

Le meilleur message de formation, c’est celui qui arrive quand la personne est sur le point de se faire piéger :

• bannière d’avertissement sur un e-mail à risque ;
• demande de confirmation pour une action sensible ;
• rappel automatique de la procédure de validation.

C’est plus efficace qu’une session annuelle. Et ça réduit la culpabilisation : on aide, on n’humilie pas.

Check-list opérationnelle : réduire le risque dès la semaine prochaine

Vous pouvez faire beaucoup sans projet de 12 mois. Voici une liste pragmatique, orientée “LEADS” au sens utile : des actions visibles, mesurables, et qui déclenchent des conversations internes.

Mesures côté organisation

1. Créer une procédure de validation hors e-mail pour les paiements, changements d’IBAN, et réinitialisations MFA.
2. Limiter l’exposition d’infos : règles simples sur les posts (déplacements, organigrammes, outils internes, photos de badges).
3. Standardiser les signatures et imposer DMARC/DKIM/SPF pour réduire l’usurpation.
4. Définir 5 “actions à risque” (virement, reset MFA, partage de données, changement de fournisseur, accès invité) et y mettre des garde-fous.

Mesures côté détection (IA et automatisation)

• Déployer un filtrage e-mail avec scoring IA (contenu + réputation + anomalies).
• Activer des règles d’alerte sur :
  • création de redirections e-mail ;
  • connexions atypiques ;
  • téléchargements massifs ;
  • changements d’authentification.
• Alimenter le SOC avec un retour utilisateur simplifié (“Signaler comme suspect”) pour réentraîner les modèles et affiner les règles.

Mesures côté humain (le réflexe qui sauve)

• Installer un réflexe unique : “Je vérifie sur un autre canal.” Appel direct, Teams, annuaire interne.
• Donner un droit clair : interrompre une demande urgente sans sanction.
• Mesurer un indicateur simple : taux de signalement d’e-mails suspects (souvent plus utile que le taux de clic).

Ce que ça change pour la série « IA dans la cybersécurité »

L’IA n’est pas là pour “remplacer la vigilance”. Elle sert à industrialiser la vigilance : repérer les signaux faibles, corréler des événements, et pousser des garde-fous là où l’humain est le plus vulnérable (fatigue, urgence, surcharge).

L’épisode Unlocked 403 rappelle un point essentiel : l’ingénierie sociale parle de nature humaine. La réponse efficace n’est donc pas uniquement technique. C’est un trio : process + formation + IA.

Si vous deviez ne retenir qu’une chose : les attaquants optimisent leurs messages comme du marketing. Votre défense doit être aussi outillée que votre messagerie.

Votre prochaine étape, concrète : identifiez une seule chaîne à haut risque (paiement fournisseur, reset MFA, partage de documents) et demandez-vous où l’IA peut détecter une anomalie avant que quelqu’un clique. Qu’est-ce que votre organisation préfère : perdre 30 secondes à vérifier, ou gérer une semaine de crise ?