Cybersécurité : quand l’IA exploite des failles bien humaines

3 novembre 2025

De plus en plus de personnes adoptent les meilleures pratiques en cybersécurité – comme l’activation de la double authentification sur leurs différents appareils électroniques. Toutefois, les menaces sont de plus en plus sophistiquées, depuis l’arrivée de ChatGPT. Entrevue autour de cette question avec Emeline Manson, formatrice en prévention des fraudes et en cybersécurité.

Avec l’arrivée des plateformes d’IA générative, la cybermenace a légèrement changé de front. Alors que, à une autre époque, l’erreur la plus fatale était de ne pas mettre à jour ses logiciels antivirus, de nos jours, c’est l’ingénieur social qui a la côte.

Les attaques de type ingénierie sociale sont devenues beaucoup plus sophistiquées, confirme Emeline Manson. Les fraudeurs utilisent l’IA pour automatiser et personnaliser les campagnes d’hameçonnage à grande échelle, en adaptant les messages au profil de la victime, créer des deepfakes audio ou vidéo pour usurper l’identité d’un dirigeant ou d’un collègue, ou encore, abuser des consentements OAuth ou autorisations API, où un simple clic sur « autoriser » ouvre une brèche. Â»

La consultante en cybersécurité explique que les fournisseurs sont devenus le maillon faible des organisations.

Les cybercriminels sont devenus très bons pour exploiter la chaîne d’approvisionnement numérique : un fournisseur compromis devient la porte d’entrée vers l’organisation cliente. C’est précisément pour contrer ce type de risques liés aux partenaires que nous avons développé notre questionnaire gratuit. Il permet de poser les bonnes questions à ses partenaires, d’identifier rapidement les failles potentielles et de renforcer la cybersécurité des échanges de données,» poursuit-elle.

Sur le terrain, les attaques les plus communes demeurent l’hameçonnage (le vol de mots de passe ou d’informations sensibles par simple clic), la compromission de comptes cloud (Microsoft 365, Google Workspace, etc.), souvent liée à des mots de passe faibles ou réutilisés, la fraude au faux fournisseur ou à la fausse facture et le Rançongiciels (ransomware), désormais combinés avec le vol et la divulgation des données volées.

La faille humaine, encore et toujours

Emeline Manson reconnaît que la double facteur d’authentification (2FA) a «fortement» réduit les attaques par force brute et par réutilisation de mots de passe. Même si elle n’est pas une solution miracle.

Les 2FA basés sur SMS peuvent être contournés avec SIM swap ou 2FA fatigue. La nouvelle génération de technologies, comme les passkeys (FIDO2), apporte une sécurité bien plus résistante au phishing. Malgré tout, le maillon humain reste vulnérable : si un employé clique sur un lien frauduleux, aucune 2FA ne peut compenser ce geste, Â» assure-t-elle.

En tant qu’utilisateur de plateformes numériques, le point de vulnérabilité demeure des messages tout simples qui arrivent par courriel ou texto.

Les gens tombent encore dans le panneau, insiste Emeline Manson. Les plus efficaces ? Les notifications de livraison (colis en attente, suivi postal), es fausses factures ou fraudes au faux fournisseur, les faux CV ou candidatures contenant des pièces jointes malveillantes ou encore les messages d’alerte de sécurité (le reset de mot de passe, la connexion suspecte). »

La formation et la sensibilisation restent de mises.

---