L'IA décuple la puissance du phishing en exploitant la confiance identitaire

Adrien Porcheron
Cato Networks

Le phishing dopé à l'IA cible l'identité, devenue porte d'entrée du cloud. Face à des attaques industrialisées, une sécurité unifiée et continue s'impose.

Le vol d’identifiants par phishing ne se limite plus au périmètre de la messagerie, loin s’en faut. À mesure que les entreprises migrent vers le cloud et automatisent leurs processus avec l’IA, l’identité numérique s’impose comme le principal point d’entrée des systèmes d’information. Elle regroupe l’ensemble des comptes, des privilèges et des mécanismes d’authentification qui contrôlent l’accès aux ressources cloud et SaaS, et constitue désormais une cible privilégiée pour les attaquants. Le phishing, selon l’ENISA reste à l’origine d’environ 60 % des intrusions en 2025.

Historiquement, les attaques reposaient sur des emails grossiers et des pages de connexion approximatives. Aujourd’hui, on le sait, l’IA générative permet de produire des leurres contextualisés, multilingues et quasi indétectables. Ce qui est relativement nouveau en revanche, ce sont les infrastructures cloud légitimes détournées pour héberger des pages de phishing ou relayer des charges malveillantes. Les attaquants ne « forcent » plus l’entrée, ils exploitent la confiance accordée aux identités et aux services SaaS.

D’un point de vue IT, cette mutation change profondément la surface d’attaque. Les identifiants compromis ouvrent l’accès à des environnements distribués, interconnectés et souvent mal segmentés. Une fois authentifié, un attaquant peut se déplacer latéralement entre applications cloud, services internes et partenaires externes, sans déclencher d’alerte immédiate. Le modèle périmétrique classique devient inopérant face à des attaques qui passent sous les radars en exploitant des accès légitimes.

Or, la convergence IA et cloud accélère encore ce phénomène. Gartner prévoit que d’ici 2027, des agents IA réduiront de 50 % le temps d’exploitation d’un compte compromis, accélérant les abus d’identifiants à la vitesse machine. Côté cybermenaces, les campagnes de phishing s’industrialisent : envois massifs pilotés par bots, kits de Phishing-as-a-Service vendus sur Telegram avec hébergement, rotation automatisée de domaines et support technique inclus. Elles s’adaptent également en temps réel et exploitent des signaux comportementaux convaincants, par l’analyse des profils LinkedIn, des signatures email ou communiqués publics pour rédiger des messages crédibles. Côté entreprises, les équipes de sécurité doivent composer avec une explosion des flux chiffrés, des usages SaaS et du travail hybride, qui complexifient la visibilité et la corrélation des événements de sécurité.

Dans ce contexte, empiler des solutions ponctuelles comme des passerelles email, MFA isolé, filtrage DNS, montre rapidement ses limites. La lutte contre le vol d’identifiants exige une approche réellement unifiée, capable de relier réseau, sécurité cloud, identité et expérience utilisateur. Techniquement, cela implique de corréler en continu les signaux issus du réseau, des applications cloud et des identités, afin d’analyser les comportements avant et après l’authentification.

Des capacités comme l’inspection TLS, c’est-à-dire l’analyse du trafic web chiffré à grande échelle, ou encore l’isolation de navigateur, l’analyse comportementale continue et la détection d’anomalies post-connexion deviennent critiques face à des attaques qui se dissimulent dans les flux HTTPS légitimes. L’objectif n’est plus seulement de bloquer le lien malveillant, mais d’empêcher la compromission de l’identité, puis d’en limiter l’impact si celle-ci survient malgré tout.

L’enjeu est également business, car une compromission d’identifiants se traduit rarement par un simple incident de sécurité : elle peut provoquer une interruption d’activité, une fuite de données sensibles, une non-conformité réglementaire ou une perte de confiance client. L’identité fédérée est certes un atout de gouvernance et de sécurité. Mais parce qu’elle centralise l’accès à de multiples applications, sa compromission a un effet démultiplicateur : un seul compte peut devenir une porte d’entrée transversale vers tout le système d’information et l’accès à des dizaines d’applications SaaS et ressources internes.

À l’ère de la convergence IA & cloud, la cybersécurité doit évoluer vers un modèle centré sur l’identité et piloté par le contexte, où la détection, la prévention et la réponse sont intégrées au cœur du réseau et des usages cloud. Face à des attaques de plus en plus intelligentes et automatisées, la défense ne peut plus être fragmentée ni reposer sur une logique statique « autorisé / non autorisé ». Elle doit être continue, contextuelle et fondée sur l’analyse dynamique de multiples signaux et surtout pensée comme un levier de résilience business, non comme un simple dispositif technique.