Whaling : protéger les dirigeants avec l’IA en cybersécurité

Un mail “urgent”, une invitation à une réunion, un SMS qui ressemble à s’y méprendre au ton du DG… et, quelques heures plus tard, un virement à six ou sept chiffres est parti. Le whaling (littéralement la “chasse à la baleine”) vise précisément les personnes qui peuvent valider vite, haut et cher : COMEX, direction financière, direction juridique, responsables M&A.

Ce qui change fin 2025, c’est la vitesse et la crédibilité des attaques. L’IA générative a industrialisé l’usurpation (style d’écriture, contexte, voix). Résultat : les mécanismes “classiques” — sensibilisation annuelle, règles de prudence, filtres antispam — ne suffisent plus quand l’attaquant s’acharne sur une cible VIP et adapte son scénario en temps réel.

Dans cette série « Intelligence artificielle dans la cybersécurité », je prends une position claire : l’IA n’est pas un gadget défensif. Bien utilisée, elle devient le meilleur moyen d’identifier avant la casse les signaux faibles des attaques de type whaling, notamment via l’analyse des comportements et des schémas de communication.

Whaling : le vrai problème, c’est l’asymétrie

Le whaling, c’est une attaque ciblée contre un cadre dirigeant, souvent via phishing, smishing, vishing ou Business Email Compromise (BEC). La différence avec un spearphishing “standard” n’est pas technique : elle est économique. Une seule décision prise sous pression peut suffire.

Pourquoi les dirigeants sont des cibles si rentables

La réalité, c’est que les dirigeants cumulent trois fragilités :

• Manque de temps : on clique, on valide, on délègue… parfois sans relire.
• Surexposition : interviews, conférences, posts LinkedIn, communiqués, organigrammes publics. Les attaquants y pêchent des détails pour fabriquer un prétexte crédible.
• Pouvoir d’action : accès à des données sensibles (finances, IP, stratégie) et capacité à initier/valider des transactions.

Un incident bien documenté illustre la mécanique : une simple invitation à une réunion en visio, piégée par un malware, a mené au détournement de la messagerie de la victime, puis à la validation de fausses factures pour plusieurs millions. Ce type d’histoire n’est pas rare — ce qui est rare, c’est qu’elle sorte publiquement.

Le whaling ressemble souvent à une “bonne” journée de travail

C’est ce qui le rend si dangereux. Un whaling réussi s’insère dans le flux normal :

1. Reconnaissance : collecte d’infos publiques (personnes clés, événements, style rédactionnel, fournisseurs, opérations sensibles).
2. Prétexte : “signature urgente”, “confidentialité”, “audit”, “opération M&A”, “règlement fournisseur”.
3. Exécution : vol d’identifiants, installation d’infostealer, prise de contrôle de boîte mail, puis fraude au virement.

Le point commun ? L’urgence fabriquée. Quand on vous pousse à décider vite, votre cerveau accepte des raccourcis.

L’IA côté attaquants : plus crédible, plus scalable

Là où 2023-2024 voyait surtout des emails “mieux rédigés”, 2025 voit des attaques plus complètes : contexte précis + style imité + canaux multiples.

Ce que l’IA rend plus facile pour les fraudeurs

• Reconnaissance accélérée : extraction d’indices à grande échelle (noms, rôles, habitudes, projets visibles).
• Personnalisation du message : tournures, signature, niveau de langage, références internes plausibles.
• Vishing deepfake : voix de “PDG” ou “DAF” imitées pour obtenir un virement ou contourner un contrôle.
• Itérations rapides : si vous hésitez, l’attaquant ajuste le récit, sans fautes et sans incohérence apparente.

Phrase à retenir : le whaling moderne ne cherche pas à tromper tout le monde — il cherche à convaincre une seule personne au bon moment.

Dans beaucoup d’entreprises, la fraude marche parce que l’attaquant a compris une chose : les contrôles sont pensés pour les processus, pas pour les exceptions. Or le COMEX vit d’exceptions.

Ce que l’IA peut détecter (mieux) : signaux faibles et anomalies

L’angle défensif le plus efficace est simple : arrêter de juger uniquement le contenu d’un message (qui peut être parfait) et commencer à juger le comportement autour du message.

Analyse des schémas de communication (le nerf de la guerre)

Les solutions d’IA en cybersécurité savent repérer des ruptures de normalité, par exemple :

• Un dirigeant qui reçoit soudainement une demande financière d’un contact inhabituel.
• Une conversation qui “saute” des étapes (pas de fil existant, pas de validation préalable, ton inhabituellement pressant).
• Un message qui ressemble au style du PDG… mais arrive à une heure atypique, depuis une localisation rare, avec un nouveau terminal.
• Une demande de changement de RIB ou de virement qui ne correspond pas au pattern habituel (montant, devise, bénéficiaire, timing).

C’est ici que l’IA devient très concrète : elle peut corréler email, authentification, posture du terminal, historique des transactions, et même habitudes de collaboration (qui contacte qui, et à quelle fréquence).

Détection BEC : l’IA voit ce que l’humain ne peut pas agréger

Un dirigeant, même très vigilant, n’a pas la bande passante pour vérifier :

• l’historique de relation entre deux personnes,
• la cohérence du contexte avec le calendrier interne,
• les signaux techniques (nouveau device, règles de transfert créées, connexion depuis un pays inhabituel),
• les micro-anomalies linguistiques.

L’IA, si. Et surtout, elle peut le faire en continu, sans attendre l’incident.

Deepfakes : détection + procédure, sinon ça ne sert à rien

Beaucoup d’équipes se focalisent sur “détecter la fausse voix”. C’est utile, mais incomplet. Le bon duo, c’est :

1. Détection (score de risque sur l’appel, incohérences audio, empreintes de synthèse quand disponibles).
2. Procédure de confirmation via un canal “connu bon” : rappel sur numéro enregistré, validation via messagerie interne, code verbal, ou workflow d’approbation.

Sans procédure, une alerte deepfake devient du bruit. Avec procédure, elle devient un filet de sécurité.

Un plan de défense réaliste pour les équipes dirigeantes

La protection des “VIP” doit être pensée comme un produit : simple, rapide, difficile à contourner. La pire approche consiste à ajouter des frictions partout… sauf pour les dirigeants.

1) Mettre en place un « parcours VIP » de sécurité

Un parcours VIP efficace combine prévention + détection + réponse :

• Terminaux dirigeants durcis (MDM, chiffrement, EDR, mises à jour forcées).
• MFA solide avec règles anti-contournement (et une vraie alternative en cas de perte, pas un “bypass” permanent).
• Boîtes mail protégées par des contrôles avancés (analyse comportementale, protection contre l’usurpation de domaine, détection des règles de transfert suspectes).

2) Rendre la fraude au virement “impossible à presser”

Le mot-clé est processus. Si une demande est urgente, elle doit automatiquement déclencher plus de contrôles, pas moins.

Concrètement :

• Double validation systématique au-delà d’un seuil (ex. 50 000 € ou selon votre activité).
• Vérification hors bande pour tout changement de coordonnées bancaires.
• Listes blanches de bénéficiaires + délai de carence (ex. 12 à 24 h) pour les nouveaux bénéficiaires.

Là aussi, l’IA aide : elle peut appliquer un score de risque transactionnel (bénéficiaire nouveau, montant inhabituel, contexte email suspect) et exiger une validation renforcée.

3) Former les dirigeants autrement (sinon ça ne marche pas)

Les modules e-learning génériques n’accrochent pas un COMEX. Ce qui fonctionne, c’est :

• Des simulations courtes (5–7 minutes), très personnalisées.
• Des scénarios actuels : BEC, vishing, deepfake audio, usurpation via messagerie.
• Un retour immédiat, orienté décision : qu’est-ce qui aurait dû déclencher un doute ?

J’ai constaté que la meilleure métrique n’est pas “taux de clic” mais temps de validation : si une fraude passe parce que quelqu’un valide en 90 secondes, c’est là qu’il faut agir.

4) Réduire la surface OSINT (sans disparaître)

Vous n’allez pas interdire LinkedIn. En revanche, vous pouvez :

• Éviter de publier organigrammes détaillés, adresses email nominatives, numéros directs.
• Limiter les détails sur les projets sensibles (M&A, gros contrats, litiges).
• Former les assistants et équipes de direction (souvent ciblés en premier) à la maîtrise de l’information.

Questions fréquentes (et réponses utiles)

« Est-ce que l’IA remplace les règles anti-fraude ? »

Non. L’IA rend les règles intelligentes et adaptatives, mais sans workflow d’approbation et contrôles hors bande, vous gardez une faille béante.

« Comment savoir si notre entreprise est exposée au whaling ? »

Si vous cochez 2 critères sur 3, vous êtes une cible :

• virements réguliers à forts montants,
• dirigeants très visibles publiquement,
• processus d’exception fréquents (M&A, opérations internationales, multi-filiales).

« Quelle est la première mesure à déployer ? »

Un contrôle de virement à double validation + confirmation hors bande, couplé à une détection IA des anomalies de messagerie. C’est le meilleur ratio effort/réduction du risque.

La prochaine attaque visera une personne, pas un système

Le whaling se nourrit d’un paradoxe : les dirigeants ont les meilleurs accès… et le moins de temps. L’IA côté attaquant exploite ce décalage. L’IA côté défense, elle, permet enfin de voir les motifs : anomalies relationnelles, comportements inhabituels, escalades d’urgence, signaux techniques faibles.

Si vous ne deviez garder qu’une idée de cet article : la détection moderne ne se limite plus au “spam” — elle surveille la normalité de vos échanges et la cohérence de vos décisions à risque.

Vous voulez aller plus loin dans cette série « Intelligence artificielle dans la cybersécurité » ? La bonne prochaine étape consiste à cartographier vos scénarios BEC/whaling, définir vos seuils de risque, puis tester vos contrôles sur vos cas d’usage réels. La question n’est pas “si” un dirigeant sera ciblé. La question est : votre organisation saura-t-elle bloquer l’attaque avant que quelqu’un ne se sente obligé de dire oui ?