Depuis l’apparition de ChatGPT, l’intelligence artificielle transforme la façon de travailler des entreprises et génère des gains importants en matière de productivité. Mais malheureusement, l’essor de l’IA profite aussi aux cybercriminels. Un phénomène inquiétant qui marque un tournant dans l’histoire de la criminalité informatique.
Et pour cause : l’IA donne la possibilité aux attaquants de cibler des milliers d’entreprises simultanément, à un niveau de personnalisation et d’efficacité inégalé. Les PME sont les premières victimes de ces attaques boostées à l’IA.
Dans cet article, vous découvrirez :
- les opportunités offertes par l’IA pour les cybercriminels,
- les principales formes d’attaques assistées par IA,
- pourquoi les PME sont particulièrement exposées aux attaques IA,
- les bonnes pratiques à adopter pour protéger votre PME de ces nouvelles attaques.
1. L’IA transforme la cybercriminalité
1.1 L’explosion des attaques par IA
Si la croissance des attaques par IA est un phénomène récent, elle est déjà bien documentée. En 2025, le nombre de cyberattaques s’appuyant sur l’intelligence artificielle a bondi de +89 % à l’échelle mondiale.
D’autres études montrent que 82,6 % des emails frauduleux sont conçus via l’IA, une utilisation en hausse de 53,5 points par rapport à 2024. En parallèle, les fraudes dites “au deepfake” qui consistent à usurper l’identité d’une personne par la voix ou la vidéo grâce à l’IA, ont augmenté de +2 137 % depuis 2022.
Dans son Panorama de la cybermenace 2025, l’ANSSI confirme que l’IA générative est désormais régulièrement utilisée par les cybercriminels pour automatiser certaines étapes de leurs cyberattaques.
1.2 Comment l’IA change-t-elle la donne ?
L’intelligence artificielle offre plusieurs opportunités aux cybercriminels. D’abord, elle leur permet d’industrialiser leurs attaques à grande échelle. Avant, la plupart des attaques nécessitaient plusieurs heures ou jours de préparation par cible. Aujourd’hui, elles peuvent désormais être déployées simultanément sur des milliers d’entreprises, de façon entièrement automatisée. Par exemple, la création d’un email frauduleux personnalisé demandait environ 16 heures de travail alors qu’aujourd’hui, il peut être généré instantanément par l’IA. “Les attaquants ne réinventent pas leurs méthodes, ils les accélèrent avec l’IA. La différence désormais, c’est la vitesse » explique Mark Hughes, directeur de la cybersécurité chez IBM.
L’intelligence artificielle permet également aux attaquants de personnaliser davantage leurs attaques en fonction de leurs cibles. Ils génèrent des variantes de messages ou de codes malveillants pour les adapter au profil et au contexte des entreprises, sans avoir à fournir d’efforts supplémentaires.
Elle abaisse aussi considérablement la barrière à l’entrée. Lancer une cyberattaque sophistiquée ne requiert plus de compétences techniques avancées. Il existe des outils offensifs “clé en main” s’appuyant sur l’IA qui permettent à n’importe quelle personne mal intentionnée de s’improviser cybercriminel.
2. Les attaques assistées par IA
2.1 Le phishing personnalisé
Le phishing (ou hameçonnage) désigne les tentatives de manipulation qui incitent une victime à divulguer des informations confidentielles ou à réaliser une action précise (comme un virement) en usurpant l’identité d’un interlocuteur de confiance. Le plus souvent, les tentatives de phishing prennent la forme d’emails frauduleux.
L’IA permet aux cybercriminels de concevoir des messages toujours plus personnalisés et réalistes pour parvenir à leurs fins. À partir de données publiquement accessibles (profil LinkedIn, publications en ligne…), elle analyse le style d’écriture d’une personne pour s’imprégner de son vocabulaire, de sa plume, de ses habitudes… Elle peut ainsi générer un email qui reproduit ces caractéristiques. Même un collaborateur sensibilisé au phishing peut donc être trompé.
2.2 Les deepfakes audio et vidéo
Un deepfake est un contenu audio ou vidéo généré par IA de façon à reproduire fidèlement l’apparence ou la voix d’une personne réelle, à partir d’enregistrements existants.
Le clonage vocal permet par exemple de reproduire la voix d’un dirigeant à partir de quelques minutes d’enregistrement disponibles en ligne (interview, vidéo de présentation, intervention publique). Les deepfakes vidéo permettent quant à eux de fabriquer des réunions entières avec des participants dont les visages et les voix sont générés en temps réel.
Le Google Threat Intelligence Group a documenté en mai 2026 la campagne « Operation Overload », dans laquelle des voix de journalistes ont été clonées pour diffuser de faux contenus à grande échelle. Cette technique, jusqu’ici associée à la désinformation politique, est désormais utilisée dans des contextes d’escroquerie financière ciblant directement les entreprises.
Un faux appel ou une fausse visioconférence peut suffire à convaincre un collaborateur d’effectuer (à son insu) un virement frauduleux, ou de divulguer des informations confidentielles.
2.3 Les malwares polymorphiques
Un malware est un logiciel malveillant conçu pour s’introduire dans un système informatique à l’insu de son utilisateur. Un malware dit « polymorphique » est capable de modifier sa signature à chaque exécution pour ne pas être reconnu, tout en conservant sa capacité de nuire.
L’IA génère automatiquement ces variantes, en modifiant la structure du code du malware à chaque fois que l’utilisateur le lance, et en intégrant parfois du code leurre destiné à masquer sa nature malveillante. Les antivirus traditionnels, qui fonctionnent par reconnaissance de signatures connues, ne peuvent ainsi pas détecter un malware polymorphique.
Certaines familles de malwares, comme “Canfail” et “Longstream”, utilisent cette technique pour échapper aux outils de détection. En fonction de l’objectif du cybercriminel, le malware peut espionner votre activité, dérober vos données, ou encore déployer un rançongiciel qui paralyse l’ensemble de vos activités.
2.4 La découverte automatisée de failles
Une vulnérabilité zero-day est une faille de sécurité présente dans un logiciel mais inconnue de son éditeur et donc non corrigée. En mai 2026, le Google Threat Intelligence Group a documenté pour la première fois l’exploitation d’une vulnérabilité zero-day par des cybercriminels avec l’assistance d’une IA.
Les attaquants utilisent également des outils qui scannent automatiquement le web pour identifier les entreprises dont les systèmes comportent des failles (version obsolète, erreur de configuration, etc.). Les équipements les plus fréquemment visés sont les VPN, les serveurs web et les interfaces d’administration à distance.
Des acteurs malveillants peuvent ainsi trouver et attaquer les ressources informatiques de votre entreprise si leurs scanners boostés à l’IA y identifient une faille.
2.5 L’atteinte à la réputation
Un acteur malveillant peut désormais produire à faible coût de fausses photos ou vidéos de vos produits, de faux avis clients, ou encore des deepfakes mettant en scène votre dirigeant.
La diffusion de ces contenus sur les réseaux sociaux ou les plateformes d’avis peut rapidement prendre des proportions importantes. La réputation commerciale, et l’image de votre PME en sont alors affectées, sans qu’aucun système informatique n’ait été compromis.
3. Les PME en première ligne face aux attaques IA
3.1 L’automatisation, une nouvelle forme de menace
Beaucoup de dirigeants de PME se disent : « mon entreprise est trop petite pour intéresser un cybercriminel« . Cette conviction n’a plus lieu d’être.
À l’ère de l’IA, les cybercriminels ne font plus de distinction. Les attaques automatisées ne fonctionnent pas comme un cambrioleur qui choisirait sa cible en fonction de sa valeur. Elles scannent Internet en continu et frappent toute entreprise dont les systèmes présentent une vulnérabilité exploitable.
Votre PME n’est pas visée parce qu’elle intéresse les attaquants : elle est visée parce qu’elle est apparue dans le résultat d’un scan automatique.
3.2 Des attaques plus difficiles à détecter
L’intelligence artificielle permet aux attaquants de contourner plus efficacement les défenses classiques. Beaucoup de solutions de sécurité sont fondées sur des signatures connues ou des règles statiques, comme les antivirus, ou les filtres anti-spam. Les outils offensifs assistés par IA sont conçus pour déjouer ces solutions. Autrement dit, les solutions de sécurité traditionnelles, sur lesquelles s’appuient encore la majorité des PME, perdent progressivement en efficacité face à ces nouvelles menaces.
Par ailleurs, certains systèmes de phishing assistés par IA intègrent des boucles d’apprentissage : ils analysent quelles variantes de messages ont déclenché un filtre, et s’améliorent automatiquement pour les tentatives suivantes.
4. Les bonnes pratiques pour protéger votre PME des attaques IA
4.1 Identifiez vos failles avant qu’elles ne soient détectées
Pour protéger votre PME, vous devez connaître ses failles avant qu’elles ne soient identifiées et exploitées par des acteurs malveillants. La première étape consiste donc à cartographier l’ensemble de vos services qui sont accessibles sur le web, et à les analyser pour y détecter les vulnérabilités qui représentent une menace pour votre entreprise.
Un simple audit de cybersécurité à partir de votre nom de domaine, comme celui proposé par Sekost, permet d’obtenir cette cartographie sans installation ni expertise technique. Vous recevez un rapport des vulnérabilités présentes dans vos systèmes, listées par ordre de criticité.
Il ne reste plus qu’à demander à votre responsable informatique ou à un prestataire de corriger les failles existantes pour sortir du radar des cybercriminels.
4.2 Adapter ses défenses à chaque vecteur d’attaque
Face aux attaques IA, les contre-mesures les plus efficaces sont celles qui répondent directement à la mécanique de chaque menace.
- Face au phishing personnalisé : aucun filtre technique n’est capable de bloquer 100 % des emails frauduleux. La seule protection fiable est organisationnelle : toute demande sensible reçue par email (virement, modification de coordonnées bancaires, accès à des données confidentielles) doit systématiquement être confirmée via un autre canal avant d’être exécutée. La sensibilisation des collaborateurs au phishing personnalisé est un autre levier efficace pour accroître leur niveau de vigilance et réduire les risques.
- Face aux deepfakes : là encore, la formation joue un rôle important. Les collaborateurs doivent connaître les mécanismes psychologiques utilisés par les attaquants (création d’un sentiment d’urgence, demande de confidentialité absolue…) pour être vigilants face aux deepfakes. En cas de doute, une bonne pratique consiste à poser une question dont seul l’interlocuteur légitime connaît la réponse, ou à interrompre l’échange pour rappeler la personne sur un numéro connu et vérifié.
- Face aux malwares polymorphiques : pour être ouverts par un utilisateur, les malwares polymorphiques doivent être téléchargés sur un terminal, souvent via une pièce jointe infectée ou un lien frauduleux dans un email. Avant d’ouvrir une PJ ou de cliquer sur un lien, il est donc important de vérifier l’authenticité de l’adresse email de l’émetteur. En cas de doute, contactez directement l’expéditeur par téléphone avant d’ouvrir quoi que ce soit.
- Face aux failles exploitables : réalisez un audit de cybersécurité, installez les mises à jour disponibles sur tous vos services et désactivez ceux qui ne sont plus utilisés.
- Face aux atteintes à la réputation : assurez une surveillance continue en mettant en place des alertes sur le nom de votre entreprise et celui de vos dirigeants (via Google Alerts par exemple) pour être notifié rapidement en cas de publication suspecte. Plus tôt le contenu frauduleux est détecté, plus vite il peut être signalé, limité dans sa diffusion et démenti.
Conclusion
Si les cyberattaques assistées par IA n’en sont encore qu’à leurs débuts, elles représentent déjà une menace extrêmement sérieuse pour les entreprises, à commencer par les PME, alors que les outils de cybersécurité traditionnels perdent en efficacité.
Bonne nouvelle : les premières mesures de protection ne nécessitent pas d’expertise technique. Un simple audit de cybersécurité à partir de votre nom de domaine est un excellent point de départ. Se protéger contre les attaques IA demande aussi et surtout de développer les bons réflexes : vérifier avant d’agir, ne jamais donner suite à une demande sensible sur la seule foi d’un message, et s’assurer que vos équipes connaissent les mécanismes des attaques auxquelles elles sont exposées.
