Les tendances émergentes en sécurité email que tout CISO doit connaître en 2025

Points Clés:

  • Le phishing « hyper-personnalisé » basé sur l'IA utilise une grammaire parfaite, un contexte précis et des deepfakes audio/vidéo pour usurper les cadres dirigeants.
  • Les attaques BEC alimentées par les deepfakes combinent email, clonage de voix et fausses réunions vidéo pour manipuler des transferts financiers à forte valeur.
  • Le quishing intègre des pages de connexion malveillantes dans des QR codes qui contournent les SEGs et passent sur l'appareil personnel de l'utilisateur.
  • SPF, DKIM et DMARC deviennent obligatoires, Google et Microsoft imposant l'authentification des expéditeurs de masse en 2025.
  • Une politique DMARC p=reject bloque l'usurpation directe de domaine et reste le contrôle d'identité le plus efficace.
  • L'IA comportementale remplace les filtres classiques en construisant des modèles basés sur le style d'écriture, le timing, les relations et l'intention.

Renforcez la sécurité email en 2025 en appliquant une authentification au niveau du domaine et un transport chiffré. Commencez par vérifier l'enregistrement MTA-STS, qui garantit que vos emails ne circulent que via des connexions TLS authentifiées. C'est essentiel car les nouvelles menaces (phishing généré par IA, BEC deepfake, « quishing » QR-code) contournent désormais les filtres traditionnels.

MTA-STS comble une faille critique en bloquant les attaques de rétrogradation et en empêchant les acteurs malveillants d'intercepter ou de rediriger les messages en transit. Combiné à SPF, DKIM et DMARC, MTA-STS constitue la couche de chiffrement supportant une posture email zero-trust moderne.

1. Le phishing IA « hyper-personnalisé » & le BEC Deepfake

C'est la grande tendance. L'époque où l'on repérait facilement un email frauduleux est révolue. Grâce à l'IA générative, les attaquants créent des emails parfaitement rédigés, contextualisés et personnalisés à grande échelle. Des outils illicites tels que WormGPT et FraudGPT circulent déjà sur le dark web, conçus spécifiquement pour orchestrer ces attaques.

Mais le plus inquiétant, c'est quand l'email n'est que le début.

L'exemple le plus terrifiant reste la fraude deepfake d'Arup à 25,6 millions de dollars. Voici comment cela s'est déroulé :

  • Un employé du service financier reçoit un email très convaincant, prétendument du CFO basé au Royaume-Uni, concernant un transfert « secret » et « urgent ».

  • L'employé, prudent, demande une confirmation et est invité à une visioconférence.

  • Lors de l'appel, il voit et entend ce qu'il pense être le CFO et d'autres collègues. En réalité, chaque personne à l'écran est un deepfake généré par IA.

  • Rassuré par cette « preuve », l'employé effectue les transferts.

C'est le nouveau Business Email Compromise (BEC) : une attaque multi-canal combinant email, voix clonée (« vishing ») et deepfakes pour dépasser toute vigilance humaine.

2. Le « Quishing » : Le cousin sournois du phishing

Si vous n'avez pas encore été submergé par le quishing (phishing via QR code), cela ne saurait tarder.

L'attaque est brillante dans sa simplicité : un email semble légitime — alerte Microsoft 365, nouvelle messagerie vocale, demande MFA. Le contenu est propre, mais il inclut un QR code avec un message du type : « Scannez pour vous connecter et consulter le document ».

Pourquoi cela fonctionne :

Cela contourne les filtres

Votre secure email gateway (SEG) scanne les URLs et pièces jointes. Un QR code n'est pour elle qu'une image anodine. Elle laisse passer.

Cela change d'appareil

L'employé lit l'email sur son ordinateur professionnel sécurisé, mais scanne le QR code avec son téléphone personnel, nettement moins sécurisé. Ce « saut d'appareil » contourne toute la sécurité réseau de l'entreprise.

3. L'incontournable : L'authentification email devient obligatoire

Vous posiez la question de l'authentification email, et en 2025, ce n'est plus une simple bonne pratique : c'est un pilier obligatoire.
On parle de SPF, DKIM et DMARC.

Voici la métaphore simple :

  • SPF dit : « Seuls ces serveurs peuvent envoyer des emails pour mon domaine. »
  • DKIM ajoute une signature numérique prouvant que l'email n'a pas été modifié.
  • DMARC est le videur à l'entrée : « Si un email prétend venir de mon domaine mais échoue SPF ou DKIM, rejette-le » (p=reject). Avec la bonne configuration DMARC, vous pouvez empêcher les emails non authentifiés d'atteindre les destinataires.

Pourquoi c'est une grande tendance ?
Parce qu'une IA peut écrire un email parfait au nom de votre CEO, mais elle ne peut pas contourner une politique DMARC p=reject sur votre domaine.

C'est donc la meilleure défense contre l'usurpation directe de domaine.

L'urgence ?

Google et Microsoft appliquent désormais des règles strictes : dès 2024–2025, les expéditeurs volumineux sans authentification correcte verront leurs emails bloqués ou envoyés en spam.
Google prévoit un renforcement majeur en novembre 2025. L'adoption augmente enfin.

La prochaine étape : MTA-STS et DANE, qui chiffrent le transport pour empêcher les attaques Man-in-the-Middle, même si leur adoption reste faible.

La bonne nouvelle : combattre l'IA par l'IA

Comment arrêter les attaques qui ne violent pas les contrôles d'authentification ?
Comment détecter un phishing provenant d'un compte partenaire légitime mais compromis ?

On combat l'IA par l'IA.

La sécurité email traditionnelle est dépassée. Le modèle 2025 repose sur l'IA comportementale.

Analyse comportementale

L'IA apprend le réseau relationnel humain. Elle sait comment votre CEO écrit, à qui il s'adresse, et qu'il n'envoie jamais d'email à 3 h du matin au nouveau stagiaire finance pour demander un virement.

Analyse d'intention

L'IA lit l'email et comprend l'intention : urgence, demande sensible, anomalie d'expéditeur, combinaison suspecte, autant d'indices ignorés par les anciens filtres.

En résumé

Les cybercriminels utilisent l'IA générative pour rédiger des emails parfaits, produire des deepfakes de vos dirigeants et piéger les employés via le « quishing » qui traverse les appareils. Vos anciennes défenses ne suffisent plus. Le nouveau standard obligatoire est de verrouiller votre domaine avec DMARC pour empêcher toute usurpation. Pour tout le reste, il faut désormais une sécurité capable d'analyser les comportements, pas seulement les liens.

FAQs

Quelle est la menace email n°1 aujourd'hui ?

C'est l'IA générative. Les attaquants s'en servent pour créer des emails d'escroquerie impeccables: grammaire parfaite, contenu ultra-convaincant, personnalisation poussée. Le rapport du World Economic Forum le confirme : l'IA « augmente les capacités des cybercriminels ».

C'est quoi exactement le “quishing” ?

Le quishing est une forme de phishing via QR code. Les filtres voient un QR code comme une simple image inoffensive. Vous recevez l'email sur votre PC pro, vous scannez avec votre téléphone perso, et vous atterrissez sur une page de connexion falsifiée, hors de tout contrôle de sécurité de votre entreprise.

Les attaquants utilisent vraiment des deepfakes dans les escroqueries email ?

Oui, et c'est aussi inquiétant que cela semble. L'attaque commence par un email crédible. Si vous hésitez, ils enchaînent avec un appel vocal ou une visioconférence où une voix clonée ou un deepfake vidéo imite votre supérieur pour valider la demande d'argent.

Publié le : 27-11-2025

61 vues

Cet article n'a pas encore d'avis, soyez le 1er à partager votre expérience avec notre communauté.

Aucune note

Donner votre avis
Ecrire un avis
Votre e-mail ne sera pas visible
Séléctionnez de 1 à 5 étoiles
30 caractères minimum
Pour aller plus loin

Vous souhaitez rédiger un article de qualité, vous permettant de vous faire connaitre et d'améliorer votre référencement naturel ? Notre équipe de rédacteurs et de référenceurs est prête à rédiger entièrement vos contenus.

Je veux bien

Articles connexes

×