Phishing en 2026 : les nouvelles techniques qui trompent même les vigilants

Le phishing a changé de visage

Le phishing existe depuis les années 1990. Mais l’email mal orthographié du « prince nigérian » est une époque révolue. En 2026, les attaques de phishing sont générées par intelligence artificielle, personnalisées à l’individu, et visuellement indiscernables des communications légitimes.

Selon les données publiées par l’ANSSI, le phishing reste le premier vecteur d’intrusion dans les systèmes d’entreprise en France — avant les vulnérabilités logicielles et les attaques par force brute. Plus de 80% des incidents cyber commencent par un email.

L’IA générative au service des attaquants

L’émergence de modèles de langage accessibles a transformé la qualité des attaques de phishing. Ce qui prenait des heures à un humain — rédiger un email convaincant dans une langue étrangère, personnaliser le message — prend désormais quelques secondes.

Ce que les attaquants font concrètement en 2026 :

• Personnalisation automatisée à grande échelle — scraping LinkedIn, sites d’entreprise, publications pour intégrer des détails crédibles (nom du responsable, dernier projet mentionné, partenaire commercial)
• Génération de faux sites parfaits — clones visuels de portails bancaires, outils RH, interfaces cloud générés en quelques minutes
• Rédaction en français impeccable — plus d’erreurs de syntaxe ou de style qui trahissaient les anciens phishing
• Deepfake vocal — appels téléphoniques avec voix synthétisée imitant un dirigeant pour valider un virement frauduleux

Les 5 techniques qui circulent en 2026

1. Le spear-phishing dirigeant

Un email ciblant spécifiquement le PDG ou le DAF, avec des informations précises sur l’entreprise, un faux expéditeur crédible (conseiller juridique, banquier, commissaire aux comptes), et une demande d’action urgente. Taux de réussite très élevé parce que les dirigeants sont souvent les moins bien formés à ces risques.

2. La fraude au président améliorée

La fraude au président classique — usurper l’identité du dirigeant pour demander un virement urgent — est désormais renforcée par des appels vocaux deepfake. La comptable reçoit d’abord un email « du PDG », puis un appel avec sa voix pour confirmer. Le résultat est dévastateur.

3. Le phishing aux faux partenaires

Usurpation d’identité d’un fournisseur réel avec lequel l’entreprise travaille, pour changer les coordonnées bancaires de règlement. L’email utilise des détails vrais sur la relation commerciale pour paraître authentique. Cette technique cible particulièrement les PME industrielles et du BTP.

4. Le QRishing

Un QR code dans un email ou sur un document physique redirige vers un site frauduleux. Avantage pour l’attaquant : les QR codes contournent certains filtres antiphishing et les utilisateurs font moins attention à l’URL destination quand ils scannent un code.

5. Le phishing post-cyberattaque

Après une cyberattaque médiatisée, les attaquants envoient des emails aux entreprises du même secteur en se faisant passer pour l’ANSSI, une autorité réglementaire ou un prestataire de sécurité proposant une « mise à jour critique ». La panique fait le reste.

« La formation au phishing doit être continue et basée sur de vrais exemples récents. Un module de sensibilisation fait il y a 3 ans est devenu obsolète. Les techniques évoluent plus vite que les formations. »

Les signaux d’alerte qui restent valables

Malgré l’amélioration des techniques, certains signaux d’alerte persistent et doivent être enseignés à toutes les équipes.

• L’urgence et la pression — « c’est urgent », « avant ce soir », « ne pas en parler aux autres » sont des signaux forts. Les vrais partenaires professionnels ne créent pas de pression artificielle.
• Une demande inhabituelle — votre banque ne vous demande jamais votre mot de passe par email. Votre PDG ne vous demande jamais de virer de l’argent sans passer par les processus habituels.
• Un lien légèrement différent — cyberpilot.fr vs cyberpilot-fr.com. Survoler le lien avant de cliquer permet souvent de voir l’URL réelle.
• Une adresse expéditeur décalée — l’affichage peut montrer « Jean Dupont » mais l’adresse email réelle est john.d@gmail.com. Cliquer sur l’expéditeur pour voir l’adresse complète.
• Une pièce jointe inattendue — si vous n’attendiez pas ce document, appelez l’expéditeur par téléphone pour vérifier avant d’ouvrir.

Comment se protéger efficacement

Formation régulière et scénarios réels. Une sensibilisation annuelle ne suffit plus. Des exercices trimestriels avec de vrais exemples de phishing récents sont nécessaires. Plusieurs prestataires proposent des simulations de phishing pour tester et former les équipes simultanément.

La double authentification comme filet de sécurité. Même si un mot de passe est volé via phishing, la double authentification empêche l’attaquant d’accéder au compte. C’est la mesure la plus efficace par rapport à son coût.

Procédures de validation pour les virements. Tout virement au-delà d’un certain seuil doit être validé par un second canal — appel téléphonique direct, validation manager en personne. Cette procédure doit être connue de tous et jamais contournée « en urgence ».

Filtrage email avancé. Les solutions de filtrage modernes détectent les domaines récemment créés, les emails avec des pièces jointes inhabituelles et les tentatives d’usurpation d’identité. L’investissement est modeste pour une PME.