Whaling : protéger les dirigeants grâce à l’IA

Un simple lien de réunion peut coûter des millions. Dans un cas devenu emblématique, une invitation à une visioconférence a servi de cheval de Troie : compromission de messagerie, fausses factures, virements validés… et une ardoise à plusieurs millions. Le détail qui fait mal ? La victime n’était pas un collaborateur « standard », mais un décideur capable d’autoriser rapidement des paiements et d’accéder à des informations sensibles.

C’est ça, le whaling : l’art de pêcher le « gros poisson ». Et en décembre, période où tout le monde court après les clôtures budgétaires, les signatures urgentes et les agendas surchargés, c’est une saison particulièrement favorable aux fraudeurs. La bonne nouvelle, c’est qu’on n’est plus condamnés à miser uniquement sur la vigilance humaine. L’intelligence artificielle en cybersécurité peut repérer des signaux faibles avant que l’hameçon ne soit avalé.

Ce billet s’inscrit dans notre série « Intelligence artificielle dans la cybersécurité » : ici, on se concentre sur une question très concrète — comment l’IA aide à détecter et prévenir les attaques de whaling visant les dirigeants, en analysant les comportements, les habitudes de communication et les anomalies typiques des fraudes de type BEC.

Le whaling, c’est du phishing… avec un jackpot au bout

Le point clé : le whaling est une attaque de social engineering qui cible spécifiquement les cadres dirigeants (COMEX, DG, DAF, DRH, etc.). Les techniques sont classiques (email frauduleux, SMS, appel, invitation calendrier, pièce jointe), mais la cible change tout.

Pourquoi les dirigeants sont-ils si rentables ? Parce qu’ils cumulent trois avantages pour l’attaquant :

• Vitesse de décision : agendas saturés, arbitrages permanents. Un dirigeant peut valider « vite fait » un document, un accès ou un virement.
• Exposition publique : interviews, conférences, LinkedIn, communiqués… Cela nourrit la personnalisation des arnaques.
• Pouvoir d’action : accès à des données sensibles (financières, juridiques, R&D) et capacité d’engager l’entreprise.

Phrase à retenir : le whaling n’exploite pas un bug, il exploite une habitude : répondre vite à quelqu’un qui semble légitime.

À quoi ressemble une attaque de whaling en 2025 (et pourquoi ça marche)

Réponse directe : une attaque de whaling réussit parce qu’elle est préparée, contextualisée et urgente. Elle ressemble rarement à un email bourré de fautes.

La phase 1 : reconnaissance (OSINT) à grande échelle

Les attaquants collectent des éléments publics : organigrammes, noms d’assistants, partenaires, prestataires, actualités (acquisition, levée de fonds, litige), habitudes de déplacement, style d’écriture. En fin d’année, une simple information comme « signature avant le 31/12 » devient un prétexte parfait.

Là où ça change en 2025 : l’IA accélère et industrialise cette reconnaissance. Des modèles peuvent résumer des heures de vidéos, extraire des relations entre personnes, proposer des scénarios crédibles et générer des messages adaptés à la tonalité du dirigeant.

La phase 2 : l’approche (email, calendrier, SMS, appel)

Le vecteur varie, mais on retrouve des constantes :

• une identité empruntée (assistant(e), DAF, avocat, DG, partenaire, banque) ;
• une demande à fort impact (virement, changement d’IBAN, partage de dossier, validation d’accès, signature) ;
• une pression temporelle (« dans l’heure », « avant 18h », « confidentiel »).

La phase 3 : compromission et rebond (BEC)

Une fois la boîte mail du dirigeant ou d’un proche compromis, l’attaquant passe en mode BEC : il observe les échanges, attend le bon moment, puis envoie une instruction « dans le style de la maison ». C’est souvent là que les contrôles tombent, parce que l’ordre « vient d’en haut ».

« Le whaling vise la psychologie. Le BEC vise le process. Les deux se renforcent. »

Ce que l’IA change vraiment : des arnaques plus crédibles… et des défenses plus fines

Point clé : l’IA profite aux attaquants (rédaction, deepfakes), mais elle est surtout utile aux défenseurs quand elle sert à détecter des anomalies comportementales.

Côté attaquant : langue parfaite et deepfakes opérationnels

• GenAI pour des emails irréprochables : plus de signaux faciles (orthographe, tournures maladroites).
• Imitation de style : structures de phrases, formules de politesse, habitudes (« vu », « OK pour moi », « à valider »).
• Vishing dopé aux deepfakes : une voix crédible qui presse un manager de faire un virement.

Résultat : les formations « repérez les fautes » deviennent insuffisantes. On doit passer à une approche centrée sur le contexte et le comportement.

Côté défense : l’IA excelle sur l’anomalie et la corrélation

Une IA bien entraînée en sécurité messagerie et identité n’a pas besoin d’« intuition ». Elle repère des écarts mesurables :

• Anomalies d’expéditeur : domaines ressemblants, changements subtils, historiques inexistants.
• Anomalies de relation : un dirigeant qui écrit soudain à une personne qu’il contacte rarement pour un sujet financier.
• Anomalies de timing : demande de virement à 22h40, ou pendant un déplacement connu.
• Anomalies linguistiques (sans se limiter à la grammaire) : changement de ton, de structure, de signatures, de formules.
• Anomalies d’authentification : nouveaux appareils, nouvelles localisations, sessions impossibles.

Ce que j’observe le plus souvent en entreprise : les signaux existent, mais ils sont dispersés (messagerie, SIEM, IAM, EDR). L’IA devient utile quand elle corrèle et classe le risque pour déclencher la bonne action au bon niveau.

Mettre l’IA au service de la protection du COMEX : un plan concret

Réponse directe : protéger les dirigeants contre le whaling exige une combinaison de processus “anti-urgence” et de détection IA sur les canaux à risque (email, identité, voix).

###[sic] 1) Sécuriser la messagerie avec détection comportementale

Une passerelle email moderne, enrichie par IA, doit faire plus que filtrer du spam. Elle doit :

• analyser les patterns de conversation (qui parle à qui, sur quels sujets) ;
• détecter les tentatives d’usurpation (lookalike domains, display name fraud) ;
• repérer les demandes à haut risque (paiement, IBAN, urgence, confidentialité) et appliquer une politique.

Action très efficace : mettre en quarantaine “à friction minimale” les demandes financières adressées aux dirigeants, avec validation en un clic… mais hors du fil de discussion.

2) Déployer une “vérification hors bande” obligatoire pour les paiements

L’IA détecte, mais le processus bloque. Pour les virements sensibles :

1. Double validation (deux personnes, deux rôles) au-delà d’un seuil.
2. Canal secondaire (appel via numéro interne connu, outil interne, procédure validée) pour toute demande de changement d’IBAN.
3. Liste blanche de bénéficiaires : nouveau bénéficiaire = contrôle renforcé.

Une règle simple qui sauve des entreprises : “Aucun IBAN ne change par email.”

3) Protéger l’identité des dirigeants (IAM + MFA sans contournement)

Beaucoup d’incidents commencent par un compromis de compte. Les mesures utiles :

• MFA résistante au phishing (clés FIDO2/passkeys quand c’est possible) ;
• accès “just-in-time” pour les ressources sensibles ;
• réduction des privilèges permanents (approche Zero Trust) ;
• détection IA des connexions atypiques (impossible travel, device inconnu, session anormale).

Oui, ça ajoute une étape. Mais l’alternative, c’est un virement frauduleux validé « entre deux réunions ».

4) Se préparer au vishing et aux deepfakes (voix et visio)

Le point clé : si un attaquant peut imiter une voix, la “reconnaissance vocale” humaine ne suffit plus.

Mesures pragmatiques :

• phrase de vérification interne (un code simple, renouvelé, utilisable au téléphone) pour les ordres financiers urgents ;
• consigne claire : un ordre financier ne se valide pas sur un appel inattendu ;
• outils de détection (quand disponibles) pour signaux audio artificiels et alertes temps réel.

5) Former les dirigeants… autrement

Les formations longues ne marchent pas sur les agendas de direction. Ce qui marche mieux :

• micro-simulations (3 à 5 minutes) ciblées sur leurs cas réels ;
• scénarios « fin d’année » (clôture, bonus, fournisseurs, acquisitions) ;
• exercices vishing/deepfake contrôlés pour ancrer le bon réflexe : vérification hors bande.

Objectif : remplacer le réflexe « je réponds vite » par « je vérifie vite ».

Questions fréquentes (celles qu’on me pose en comité de direction)

“On a déjà un filtre anti-phishing. Pourquoi ça passe quand même ?”

Parce que le whaling ressemble à un échange métier légitime, avec peu d’indicateurs techniques. L’IA est utile quand elle ajoute une couche comportementale : relation inhabituelle, demande financière atypique, contexte incohérent.

“Est-ce qu’on doit interdire à nos dirigeants d’être visibles sur LinkedIn ?”

Non, mais il faut réduire l’attaque facile. Moins d’organigrammes détaillés, moins d’emails directs, moins d’infos sur les process financiers. Et former les assistants, car ils sont souvent la porte d’entrée.

“Quelle est la priorité n°1 si je n’ai que 30 jours ?”

Mettre en place une procédure anti-fraude de paiement (double validation + hors bande + aucun changement d’IBAN par email) et la faire respecter, y compris au COMEX.

La meilleure défense : de l’IA, oui… mais surtout une organisation qui refuse l’urgence

Le whaling fonctionne parce qu’il exploite une asymétrie : un fraudeur n’a qu’un bon message à envoyer, un dirigeant a cent décisions à prendre. L’IA réduit cette asymétrie en détectant des anomalies dans les communications, en priorisant les alertes et en bloquant les scénarios les plus coûteux avant qu’ils ne deviennent un incident.

Si vous ne deviez retenir qu’une idée pour cette série « Intelligence artificielle dans la cybersécurité » : l’IA n’est pas une baguette magique, c’est un amplificateur de discipline. Elle met en évidence ce qui cloche, mais elle exige des règles claires (paiements, identité, accès) et un COMEX qui accepte de les appliquer.

Vous voulez tester votre niveau d’exposition au whaling ? Prenez votre dernier mois d’échanges : combien de demandes urgentes impliquaient finance, accès ou documents sensibles… et combien ont été vérifiées hors bande ?