Le phishing évolue : les nouvelles techniques utilisées par les hackers en 2025

Vous pensez que les e-mails de phishing sont faciles à repérer ? Et si les pirates informatiques étaient aujourd’hui plus subtils, plus crédibles… et surtout plus redoutables ?

En 2025, le phishing a muté. Ce qui était autrefois un simple e-mail truffé de fautes d’orthographe est devenu une cyber-arme fine, ciblée, alimentée par l’intelligence artificielle. Les hackers exploitent des outils avancés, automatisent leurs attaques, personnalisent leurs messages et trompent même les utilisateurs les plus avertis.

Des attaques ultra-personnalisées dopées à l’IA

La grande nouveauté ? L’usage de l’IA générative par les cybercriminels eux-mêmes. Les e-mails de phishing sont désormais rédigés avec des modèles linguistiques puissants capables de simuler le ton, le vocabulaire et même le style d’un dirigeant ou d’un collègue. On parle de Business Email Compromise 2.0, où l’IA reproduit le langage d’un PDG ou d’un directeur financier pour convaincre un collaborateur d’effectuer un virement.

Les pirates utilisent également le “deep voice phishing” : grâce à des IA vocales, ils imitent la voix d’un supérieur hiérarchique pour appeler un employé et lui demander une action urgente. Ce n’est plus de la science-fiction. C’est le quotidien de certaines entreprises mal préparées.

Des pièges qui ne ressemblent plus à des pièges

En 2025, le phishing ne passe plus uniquement par des e-mails. Il s’infiltre via :

• Des fausses applications de messagerie d’entreprise,
• Des QR codes malveillants affichés dans les lieux publics,
• Des campagnes sur LinkedIn usurpant des identités réelles,
• Des faux chatbots d’assistance, insérés sur des sites clonés,
• Des fausses invitations à des visioconférences, où l’interface semble authentique.

Tout est fait pour tromper l’utilisateur, jusqu’aux moindres détails graphiques.

Les conséquences : financières, mais surtout humaines

Le coût d’un phishing réussi ne se limite pas au montant d’un virement frauduleux. Il s’agit aussi de perte de confiance dans l’organisation, de réputation entachée, de temps passé en gestion de crise, et parfois même de démobilisation des équipes.

Le seul rempart : la sensibilisation + une cybersécurité intelligente

Les solutions techniques doivent bien sûr suivre : filtrage comportemental, détection d’anomalies, MFA, outils de cybersécurité pilotés par IA. Mais la vraie barrière reste l’humain. Former les collaborateurs, les sensibiliser aux signaux faibles, leur donner les bons réflexes : c’est le meilleur investissement que vous puissiez faire.

Manager de transition, DSI ou dirigeant : êtes-vous prêt à affronter cette nouvelle vague ?

En tant que DSI de transition spécialisé en cybersécurité et IA, je constate au quotidien à quel point les entreprises sous-estiment encore la sophistication des attaques. Le phishing de 2025 n’a plus rien à voir avec celui de 2015. Il est temps de changer de paradigme.