Depuis des décennies, l’e-mail constitue la colonne vertébrale des communications d’entreprise et, pour cette raison précise, il reste la porte d’entrée privilégiée des attaquants au sein des organisations. Le phishing, la compromission de messagerie professionnelle (BEC) et les attaques de la chaîne d’approvisionnement continuent d’augmenter, les adversaires utilisant l’IA et des comptes compromis pour contourner les mécanismes de protection classiques.
Cette tendance est confirmée en France : selon l’ANSSI, les attaques par hameçonnage et ingénierie sociale figurent parmi les vecteurs d’intrusion les plus fréquents, avec une nette progression des compromissions de comptes de messagerie dans les incidents traités.
L’évolution rapide des menaces pose des défis importants aux RSSI, aux directeurs informatiques et aux équipes SOC, mettant en évidence l’incapacité des solutions traditionnelles de sécurité des e-mails à suivre le rythme.
Des attaques plus intelligentes, pas nécessairement plus complexes
Il est frappant de constater à quel point les attaques ont évolué, ces derniers mois. D’une part, le volume de phishing augmente nettement, en particulier dans les campagnes visant les services financiers, les administrateurs informatiques et les dirigeants. D’autre part, l’IA rend les attaques plus convaincantes : les e-mails peuvent être rédigés dans le style des communications internes, le contenu est personnalisé et diffusé à grande échelle, jusqu’à inclure du phishing contextuel et des tentatives de BEC multilingues.
Parallèlement, de nombreuses attaques ne proviennent plus de sources « manifestement » malveillantes, mais de comptes d’expéditeurs légitimes compromis. Cela rend la détection nettement plus difficile, car les signaux de réputation et de domaine semblent soudainement fiables. En outre, l’accent se déplace des pièces jointes vers des attaques basées sur des URL. Les liens mènent vers des pages de connexion préparées, de faux portails cloud ou des infrastructures malveillantes, et changent souvent si rapidement que les méthodes basées sur des signatures deviennent inefficaces. La situation devient particulièrement délicate lorsque le phishing de la supply chain s’effectue via des systèmes tiers de confiance et que des domaines légitimes sont détournés pour la distribution. Résultat : même les organisations disposant d’une sécurité des e-mails supposée solide voient des messages dangereux atteindre les boîtes de réception.
Pourquoi les filtres classiques et les “Secure Email Gateaway” (SEG) ne suffisent pas
Les passerelles de messageries sécurisées (SEG) traditionnelles reposent largement sur des règles statiques, des signatures, la réputation des domaines et des indicateurs d’attaque connus. S’ils peuvent bloquer des attaques génériques, ils peinent souvent face aux schémas modernes de phishing. Par exemple, le contenu généré par l’IA est unique, ce qui rend la détection par signature inefficace. De plus, les attaques “Business Email Compromises” (BEC), qui incitent les collaborateurs à effectuer des virements ou à acheter des cartes-cadeaux, ne contiennent ni liens ni pièces jointes, et apparaissent donc comme bénignes pour un SEG.
Par ailleurs, les comptes réels compromis utilisent une infrastructure propre, contournant le filtrage basé sur les domaines, et les URL malveillantes peuvent échapper à l’analyse traditionnelle en changeant rapidement. En résumé, les systèmes statiques basés sur des politiques ne peuvent pas s’adapter assez vite aux itérations des attaquants.
L’IA comportementale et le facteur humain
Un principe de défense moderne repose non seulement sur des signatures connues, mais aussi sur des signaux comportementaux et contextuels. Par exemple, il vérifie si le style rédactionnel correspond à l’expéditeur. Le message est-il inhabituel dans cette relation ? Un domaine se comporte-t-il différemment ? Une URL semble-t-elle suspecte dans son intention ou son comportement ? Cette approche axée sur la plausibilité permet de traiter des formes d’attaque souvent ignorées par les filtres classiques, telles que le phishing assisté par IA, le BEC sans charge utile, la compromission de messagerie fournisseur, le phishing zero-day ou encore les liens malveillants dissimulés dans des messages apparemment inoffensifs.
L’ANSSI recommande d’ailleurs explicitement, dans ses guides de sécurisation de la messagerie, de compléter les mécanismes techniques par des capacités d’analyse comportementale et de détection avancée, afin de mieux identifier les usages anormaux des comptes.
Il est essentiel que cette détection apprenne et s’adapte en continu aux modèles propres à l’organisation ainsi qu’au renseignement global sur les menaces, plutôt que de se limiter à des règles statiques,, afin d’orienter les formations ciblées et de mettre en place un programme de gestion des risques liés au personnel fondé sur des données. De plus, des processus rapides de revue et de remédiation sont nécessaires pour réduire la fatigue liée aux alertes et améliorer les délais de réponse.
Même avec une IA comportementale avancée, les attaquants continuent de cibler les individus. Une culture de sécurité solide, renforcée par la sensibilisation, des simulations de phishing et des formations en temps réel, reste indispensable. Une sécurité des e-mails résiliente nécessite à la fois des mesures techniques de protection et une gestion du risque humain.
Sur ce point, la CNIL rappelle que l’erreur humaine reste un facteur majeur dans les violations de données, ce qui justifie l’investissement dans la formation des utilisateurs comme mesure de sécurité à part entière.
Cette stratégie à double couche permet de créer une organisation plus résiliente et réduit considérablement la probabilité d’une compromission réussie. À mesure que les attaquants évoluent, les stratégies de défense doivent faire de même. Les organisations qui adoptent une IA comportementale multicouche, associée à une forte sensibilisation à la sécurité, seront les mieux préparées pour faire face à la prochaine vague d’attaques de phishing, de BEC et d’ingénierie sociale.