En 2025, le secteur bancaire et assurantiel fait face à une évolution majeure des cybermenaces : le phishing dopé à l’intelligence artificielle.
Si l’email reste depuis 20 ans le premier vecteur d’attaque, l’essor des modèles d’IA générative (ChatGPT, Gemini, Claude, Llama) a transformé ce risque en menace systémique, plus rapide, plus crédible et plus difficile à détecter, même pour les organisations les mieux préparées.
Selon plusieurs rapports sectoriels publiés en 2024–2025 (Proofpoint, ENISA, FBI IC3), les campagnes de phishing ont connu une accélération sans précédent, portée par l’automatisation et la sophistication permises par l’IA.
L’email, toujours le point d’entrée des attaques — mais radicalement transformé par l’IA
L’email reste le vecteur numéro un :
9 attaques sur 10 commencent par un message piégé selon le FBI,
et l’IA abaisse drastiquement la barrière technique pour lancer des campagnes sophistiquées.
L’essor des modèles génératifs depuis 2023 a permis :
la rédaction parfaite, sans faute, dans des langues non maîtrisées par l’attaquant ;
la production en masse de variantes d’un même message pour contourner les filtres ;
la personnalisation automatique des attaques en fonction de l’entreprise ciblée ;
la génération de code malveillant, scripts d’automatisation ou séquences de commande.
Résultat : une attaque qui demandait auparavant heures ou jours de préparation peut aujourd’hui être montée en quelques minutes, avec un taux de succès plus élevé.
2. Des hackers radicalement augmentés : le phishing 2.0
L’IA offre désormais aux cybercriminels des capacités inédites :
✔ Rédaction sans fautes en plusieurs langues
Les mails frauduleux, autrefois truffés d’erreurs, sont aujourd’hui indiscernables d’un message professionnel.
Les banques constatent une forte augmentation de campagnes en français, roumain, arabe, allemand et portugais — souvent lancées depuis des pays où aucune de ces langues n’est parlée.
✔ Génération automatique de code malveillant
Des fragments de malwares, des scripts d’injection, des macros Excel ou des loaders peuvent être produits, testés et optimisés directement via IA.
✔ Volume et efficacité des attaques multipliés
Grâce aux agents autonomes, un attaquant peut désormais cibler :
plusieurs centaines d’entreprises,
sur plusieurs fuseaux horaires,
en adaptant chaque email en fonction du destinataire.
Cette industrialisation rend le phishing plus massif, plus ciblé, et plus difficile à contenir.
3. Les risques spécifiques pour les banques et assurances
Le secteur financier est particulièrement exposé en raison de la valeur des données et des flux qu’il opère.
Les attaques observées en 2024–2025 mettent en lumière plusieurs risques majeurs :
• Fraude financière et manipulation de virements
Les cybercriminels exploitent des emails se faisant passer pour des collaborateurs internes, des fournisseurs ou des partenaires.
• Vol d’identifiants d’accès aux applications sensibles
Les pages d’hameçonnage sont aujourd’hui quasi parfaites : logos, charte graphique, typographies et même interactions imitées.
• Usurpation d’identité client
Les attaques ciblant les conseillers bancaires ou les services de support sont en pleine croissance.
L’IA générative permet également des attaques hybrides mêlant :
email,
voix clonée (vishing),
SMS automatisé (smishing).
4. Agents d’IA : une nouvelle surface d’attaque
Les nouveaux copilotes (Microsoft Copilot, Google Gemini, OpenAI, etc.) utilisés par les collaborateurs deviennent eux-mêmes une cible.
Pourquoi ?
Parce que les agents IA peuvent être manipulés comme des humains via :
l’ingénierie sociale,
les prompts malveillants,
la falsification de documents soumis au modèle.
Un attaquant peut, par exemple, :
pousser un agent à dévoiler de l’information interne ;
contourner une politique de classification ;
générer un message crédible pour tromper un employé.
Cette réalité transforme la cybersécurité en intégrant désormais les IA elles-mêmes dans le périmètre de protection.
5. Nouveaux outils pour contrer le phishing augmenté à l’IA
Face à cette nouvelle menace, les éditeurs et les institutions développent des outils dédiés.
✔ Blocage automatique des prompts malveillants (Proofpoint)
Proofpoint intègre désormais un filtrage des messages destinés aux agents IA pour éviter que des modèles internes ne soient manipulés.
✔ Secure Agent Gateway
Un mécanisme permettant de :
contrôler l’accès aux données sensibles,
ajouter une validation humaine obligatoire lorsque l’agent IA demande des informations critiques,
limiter les dérives de génération.
✔ Data Security Complete & AI Data Governance
Nouvelles solutions structurées autour de :
la classification automatique des données sensibles,
la détection des exfiltrations,
le monitoring des interactions entre IA et informations internes.
Ces technologies complètent les solutions traditionnelles (filtres email, EDR, DLP) désormais insuffisantes face à des attaques génératives.
6. La pierre angulaire : la sensibilisation des collaborateurs et des clients
Malgré la sophistication technologique, le facteur humain reste la première ligne de défense.
Les bonnes pratiques incluent :
• Programmes réguliers de sensibilisation
Exemples : reconnaissance des signaux faibles, vigilance face aux demandes urgentes, vérification hors-canal.
• Tests de phishing simulés
Les campagnes internes permettent de détecter les services ou équipes les plus vulnérables.
• Éducation des clients
En particulier autour :
des deepfakes vocaux,
des fausses applications mobiles,
des emails d’usurpation d’identité bancaire.
Conclusion — Une menace durable, qui impose un changement de paradigme
Le phishing alimenté par l’IA n’est pas une tendance passagère :
👉 c’est un nouveau modèle d’attaque.
Les banques et assurances doivent désormais combiner :
technologies avancées,
contrôle des IA internes,
conformité réglementaire,
et montée en compétence humaine.
La résilience passera par une cybersécurité centrée sur les données, sur les comportements, et sur la gouvernance des IA — un enjeu clé pour 2025 et les années à venir.
