Stratégie de
Contenus Vidéo

Février 2024, Hong Kong. Un employé du géant britannique Arup reçoit un mail apparemment signé du directeur financier basé à Londres, qui l'invite à une visioconférence Teams urgente. Sur l'écran, il reconnaît son patron et six collègues, leurs voix, leurs visages, leurs gestes. Il valide quinze virements pour un montant total de 200 millions de dollars hongkongais, soit 25 millions de dollars. Tous les participants étaient des deepfakes générés en temps réel par intelligence artificielle.

Pendant vingt ans, on a répété aux salariés qu'il fallait changer son mot de passe tous les trois mois. Résultat : les gens passent de "Été2025" à "Automne2025", puis "Hiver2025", des variations parfaitement prévisibles pour un attaquant. En août 2024, le NIST, l'organisme américain qui fixe les standards de cybersécurité dans le monde, a publié sa nouvelle norme et interdit officiellement la rotation périodique imposée. La vraie sécurité tient à la longueur du mot de passe, pas à sa fréquence de changement.

Le rapport Verizon 2025, qui analyse chaque année des dizaines de milliers d'incidents dans le monde, a mis le doigt sur un chiffre qui change tout. Une petite minorité de collaborateurs, autour de 8%, concentre la grande majorité des clics sur les liens piégés. Autrement dit, on ne forme pas une entreprise contre le phishing comme une masse uniforme, on forme avant tout ces 8 personnes sur 100 qui font basculer la sécurité. Ce constat renverse le débat sur le fameux "maillon faible".

L'outil VALL-E publié par Microsoft puis affiné en 2024 a divisé par cent le temps nécessaire pour cloner une voix humaine. Trois secondes d'audio suffisent désormais pour fabriquer un message vocal convaincant qui imite votre patron, votre collègue ou votre conjoint. Et ces trois secondes, on les trouve partout : un message vocal WhatsApp, une interview LinkedIn, un message d'attente d'entreprise, un podcast. La fraude au président par téléphone n'a plus besoin de comédien, elle a juste besoin d'un fichier audio.

Entre février et mars 2024, France Travail a vu fuiter les données de 36,8 millions de personnes : numéros de sécurité sociale, identités complètes, coordonnées. Les attaquants n'ont pas forcé un système informatique, ils ont usurpé les comptes de conseillers Cap Emploi en se faisant passer pour eux par téléphone et par mail. C'est ce qu'on appelle l'ingénierie sociale, la manipulation humaine pure. La CNIL a sanctionné l'organisme de cinq millions d'euros en 2025, l'une des amendes les plus lourdes prononcées en France.

Le rapport LayerX 2025 a analysé l'usage réel de l'intelligence artificielle dans les entreprises et le résultat fait froid dans le dos. 77% des messages envoyés par les salariés à ChatGPT et autres outils contiennent des données réelles de l'entreprise : compte-rendus de réunion, contrats, code source, fiches de paie. Près d'un employé sur deux utilise déjà ces outils au travail, et la plupart le font sans cadre interne. Chaque prompt est potentiellement stocké, réutilisé, ou même ressorti dans la réponse à un autre utilisateur.

Les chercheurs en neurosciences l'ont confirmé en 2024 et 2025 : le cortex préfrontal, la zone du cerveau qui prend les décisions réfléchies, s'épuise au fil de la journée. Plus on avance dans l'après-midi, plus c'est l'amygdale qui prend le relais, la zone des réflexes rapides et émotionnels. Les statistiques de phishing montrent un pic de clics chaque mardi entre 14h et 16h, exactement quand la vigilance est au plus bas. Stress, fatigue cognitive, charge mentale, et le clic part tout seul.

Pendant des années, on apprenait à repérer un mail frauduleux à ses fautes d'orthographe et ses tournures bizarres. Le rapport KnowBe4 publié sur 2024 et 2025 enterre cette époque : plus de 80% des mails de phishing sont désormais rédigés par intelligence artificielle générative, dans un français impeccable. Plus de fautes, plus de syntaxe étrange, plus d'expressions traduites mot à mot. Les anciennes méthodes de détection à l'œil nu sont devenues obsolètes pratiquement du jour au lendemain.

En décembre 2024, le FBI et l'agence américaine de cybersécurité CISA ont publié une recommandation choc : arrêter d'utiliser le SMS pour la double authentification. La raison, c'est l'explosion du détournement de carte SIM, une attaque où l'escroc convainc l'opérateur téléphonique de transférer le numéro de la victime sur sa propre carte. Au Royaume-Uni, ce type de fraude a bondi de 1000% en 2024 selon le rapport Fraudscape. Mieux vaut une application dédiée, comme Authy ou Microsoft Authenticator, ou une clé physique type YubiKey.

Octobre 2024 : 19 millions de dossiers clients de l'opérateur Free se retrouvent exposés, dont 5 millions avec des coordonnées bancaires complètes. L'auteur, identifié peu après, est un adolescent de 17 ans qui a revendu la base sur un forum spécialisé pour 160 000 euros. La faille exploitée était connue, documentée, mais n'avait pas été corrigée. La CNIL a immédiatement ouvert une procédure de sanction qui pourrait peser lourd sur l'opérateur.

Quand les outils d'intelligence artificielle débarquent dans les entreprises sans encadrement, les collaborateurs s'en saisissent plus vite que les équipes informatiques ne peuvent réagir. C'est ce qu'on appelle le Shadow AI : ces usages invisibles d'IA générative que personne n'a validés, mais qui circulent dans toutes les directions. Le rapport IBM 2025 mesure pour la première fois ce que ce phénomène coûte vraiment aux organisations victimes d'une fuite. Et le chiffre fait réfléchir.

En septembre 2023, le groupe MGM Resorts a vu ses casinos paralysés pendant plusieurs jours. Pas de virus sophistiqué, pas de faille technique inédite. Les pirates du groupe Scattered Spider ont simplement repéré un employé sur un réseau professionnel, appelé le service informatique en se faisant passer pour lui, et demandé à réinitialiser ses identifiants. Dix minutes plus tard, ils avaient des accès administrateurs, et le groupe perdait plus de 100 millions de dollars.

Mai 2023, chez Samsung Electronics. En vingt jours seulement, trois ingénieurs différents font la même erreur. Pour gagner du temps, ils collent du code propriétaire et des notes internes dans un chatbot grand public, histoire qu'il les aide à corriger des bugs ou à résumer des réunions. Ces données partent sur les serveurs du fournisseur. Samsung réagit en interdisant complètement l'outil dans toute l'entreprise. Le coût du blocage a finalement dépassé celui de la fuite elle-même.

Juillet 2024, un cadre dirigeant de Ferrari reçoit un appel vidéo de son patron. La voix est parfaite, l'accent italien est parfait, les expressions sont parfaites. Sauf que ce n'est pas lui, c'est un deepfake. Le cadre, légèrement gêné, pose une question banale sur un livre que le vrai dirigeant lui avait recommandé quelques jours plus tôt. Silence à l'écran. La fausse voix bafouille. La tentative de fraude est déjouée par une simple question personnelle, et l'histoire devient un cas d'école.

L'image du pirate solitaire en sweat à capuche est devenue obsolète. Les rapports Group-IB 2024-2025 dévoilent des organigrammes très propres : les grands groupes de rançongiciel comme LockBit ou BlackCat fonctionnent comme des entreprises classiques. Affiliés en contrat long, supports clients pour aider les victimes à payer, négociateurs en costume cravate, primes au résultat, recrutements ouverts sur des messageries grand public. En 2024, ces structures ont recruté 44% d'affiliés en plus.

Beaucoup d'entreprises envoient de faux mails piégés à leurs salariés, et sanctionnent ceux qui mordent à l'hameçon. L'intention est bonne, mais l'effet réel est l'inverse. Une étude ThinkCyber publiée en 2024 montre que la moitié des collaborateurs préfèrent cacher leurs erreurs cyber plutôt que les déclarer, par peur d'être pointés du doigt. Les travaux de l'Université du Sussex la même année confirment que récompenser un signalement spontané forme bien mieux que punir un clic.

En 1885, un chercheur allemand nommé Hermann Ebbinghaus a tracé pour la première fois la courbe de l'oubli. Sans rappel, le cerveau humain perd 70% d'un contenu appris en seulement 48 heures. Plus d'un siècle plus tard, les travaux de Roediger et Karpicke en 2006 ajoutent que se tester ancre mieux que relire, et la méta-analyse de Cepeda la même année confirme qu'apprendre à intervalles espacés bat tout le reste. Avec trois rappels bien placés, 80% du contenu reste en tête à six mois.

En 1984, le psychologue américain Robert Cialdini publie un livre devenu culte sur les ressorts de l'influence. Il identifie six leviers que notre cerveau a du mal à refuser : l'autorité, l'urgence, la rareté, la sympathie, la réciprocité et la preuve sociale. Quarante ans plus tard, la recherche académique de 2024 a passé au crible des milliers de mails piégés. Verdict : 90% utilisent au moins un de ces six leviers. Le manuel des pirates n'a jamais été écrit, mais il existe depuis quatre décennies.

Septembre 2022, un pirate de 18 ans appartenant au groupe Lapsus$ s'attaque à Uber. Sa méthode tient en une phrase : il se fait passer pour l'employé visé et déclenche en boucle des demandes de double authentification. La victime reçoit notification sur notification, jusqu'à ce qu'elle craque, valide pour faire taire son téléphone, et donne ainsi accès à tout. Microsoft a recensé 382 000 attaques de ce type en douze mois. La technique est devenue un classique.

Le rapport KnowBe4 publié fin 2025 dresse un panorama des mails piégés qui fonctionnent vraiment. La conclusion est claire : plus de 80% des clics se produisent sur des messages qui imitent une communication interne. Une fausse note des ressources humaines, un faux mail du service informatique, une fausse demande de la direction, une fausse alerte de la comptabilité. L'intelligence artificielle a multiplié la capacité des pirates à personnaliser ces messages avec le bon nom, le bon service, le bon contexte.

La recherche en neurosciences cognitives montre qu'un récit active des zones du cerveau qu'une règle abstraite ne touche jamais. Quand on entend une histoire, le cerveau libère de l'ocytocine, l'hormone de l'empathie, et bascule dans un mode d'attention émotionnelle. Concrètement, dire "Marie a cliqué sur ce mail et voici ce qui s'est passé" reste en mémoire bien plus longtemps que "ne cliquez pas sur les pièces jointes douteuses". Les chercheurs parlent même de l'effet Zeigarnik : une histoire dont la fin reste en suspens devient irrésistible à terminer mentalement.

Sur le dark web, vos identifiants professionnels sont des produits comme les autres, avec des prix, des catalogues et des vendeurs notés. En 2025, Group-IB et CrowdStrike confirment qu'une véritable économie parallèle s'est structurée autour des accès volés. Un identifiant Microsoft 365 d'entreprise se négocie pour le prix d'un sandwich. Un accès admin, lui, peut atteindre plusieurs centaines d'euros, parce qu'il ouvre la porte de tout le système d'information. Le marketplace fonctionne avec des avis clients, des garanties et même un service après-vente.

Le QR code s'est imposé partout, du restaurant au parking, sans qu'on lui applique le moindre réflexe de méfiance. En 2025, l'APWG observe que les attaques par QR code ont été multipliées par cinq en un an. Le principe est simple : un autocollant collé par-dessus un vrai QR code, et toute personne qui scanne se retrouve sur un faux site qui imite parfaitement l'original. Ça touche désormais les factures, les formulaires d'inscription, les bornes de paiement, et même certaines campagnes de communication interne.

L'expérience la plus connue de la cybersécurité comportementale a été menée par l'université d'Illinois en 2016. Des chercheurs ont déposé 297 clés USB sur un campus, en se contentant d'attendre. En moins de dix minutes, près d'une clé sur deux était déjà branchée dans un ordinateur. La motivation des gens n'était même pas la curiosité : c'était l'envie d'aider à retrouver le propriétaire. Dix ans plus tard, l'ANSSI cite toujours cette étude comme référence, parce que le réflexe humain n'a pas changé d'un millimètre.

La directive européenne sur la cybersécurité aurait dû être transposée en France le 17 octobre 2024. Plus d'un an plus tard, la promulgation du texte n'est attendue qu'au premier trimestre 2026. Pendant ce temps, près de 15 000 entreprises françaises sont déjà concernées, contre 500 dans la version précédente. Dix-huit secteurs sont touchés : énergie, santé, transport, banque, alimentaire, services numériques. Le problème, c'est que beaucoup de dirigeants n'ont aucune idée que leur entreprise fait partie de la liste, et découvriront leurs obligations au moment du contrôle.

En août 2022, Damart est ciblé par un ransomware et reçoit une demande de rançon de deux millions de dollars. La suite est une démonstration de réactivité : les équipes informatiques détectent l'attaque très tôt, et prennent une décision radicale. En moins de dix minutes, l'intégralité des serveurs est éteinte, avant que le chiffrement des données ne se termine. Résultat, aucune donnée volée, business préservé, redémarrage progressif sans payer un centime. Cette histoire est devenue une référence pour montrer que la vitesse de réaction compte autant que la prévention.

Pendant vingt ans, on a appris aux gens que le bon mot de passe contenait une majuscule, un chiffre et un caractère spécial. Hive Systems a publié en 2024 le calcul qui change tout : avec un mot de passe de 13 caractères mêlant les quatre types, il faut 11 milliards d'années à un pirate pour le craquer. Avec 8 caractères composés uniquement de chiffres, ça prend moins d'une minute. Le NIST américain a tiré les conclusions et recommande désormais 12 caractères minimum, en abandonnant les exigences de complexité absurdes. Le critère qui compte vraiment, c'est la longueur.

SlashNext a publié en 2024 une analyse qui dérange : les collaborateurs en télétravail ou en déplacement cliquent trois fois plus sur des mails malveillants que ceux qui sont au bureau. Les raisons sont très concrètes. En mobilité, on lit ses mails sur un petit écran, on est fatigué, on enchaîne les transports, on traite vite, on se connecte à un Wi-Fi de café ou d'hôtel. La fatigue cognitive et l'absence de contexte rendent le piège beaucoup plus efficace. Résultat, les profils les plus exposés ne sont pas les stagiaires, ce sont les commerciaux et les dirigeants qui voyagent toute l'année.

La fraude au président, qu'on appelle aussi fraude au virement BEC, a coûté plus de 380 millions d'euros aux entreprises françaises en 2023, selon l'observatoire de la sécurité des moyens de paiement. Le mécanisme est toujours le même, et il marche depuis dix ans : un mail ou un appel arrive, signé d'un dirigeant, demandant un virement urgent et confidentiel. Trois ingrédients sont systématiquement présents : urgence, autorité, secret. Quand quelqu'un en interne réunit ces trois éléments dans une seule demande, ce n'est pas un signe d'efficacité, c'est un signal d'alarme.

Daniel Goleman a popularisé un concept essentiel pour comprendre la cybersécurité du quotidien : l'amygdala hijack. Quand on reçoit un message stressant, l'amygdale prend le contrôle du cerveau et désactive la pensée rationnelle. La bonne nouvelle, c'est que cet état dure moins d'une minute. Forcer 30 secondes d'attente avant de répondre à un mail urgent, c'est laisser au cerveau le temps de reprendre la main et de repérer ce qui cloche. L'ANSSI parle même de respiration cyber dans ses guides de bonnes pratiques. C'est probablement le réflexe le plus simple, et le plus efficace, jamais inventé.

Quarante pour cent des employés laissent passer quelqu'un sans badge, simplement par politesse. C'est ce que mesure l'étude Ponemon Institute sur les intrusions physiques. L'attaquant arrive en costume, un carton dans les bras, sourire engageant, et la porte s'ouvre toute seule. Une fois à l'intérieur, il photographie les écrans laissés ouverts, copie des documents posés sur les bureaux, branche une clé pour récupérer ce qu'il veut. C'est l'attaque la plus simple qui existe et celle qu'on corrige le moins.

Le rapport SecurityScorecard 2025 pose un constat brutal : trente pour cent des fuites de données en 2024 ne venaient pas de l'entreprise visée, mais d'un de ses prestataires. Cabinet comptable, logiciel de paie, fournisseur cloud, agence web qui gère le site, l'attaquant passe par la porte d'à côté parce qu'elle est moins surveillée. Près de cent pour cent des cent plus grandes entreprises françaises ont vécu au moins un incident par cette voie. On peut blinder son propre système, si le prestataire est mal protégé, le risque rentre quand même.

Recevoir un code par SMS pour se connecter, ça donne l'impression d'être protégé. En réalité, les professionnels de la cybersécurité ne s'en servent jamais. La technique du détournement de carte SIM existe depuis longtemps : un coup de fil bien tourné à l'opérateur, le numéro est transféré sur la carte du pirate, et tous les codes SMS arrivent chez lui. L'agence française qui édicte les bonnes pratiques recommande depuis longtemps de passer par des applications dédiées comme Authy ou Google Authenticator, ou par une clé physique. Le SMS, c'est une sécurité d'apparence.

Le psychologue Robert Cialdini a démontré il y a quarante ans que recevoir un cadeau crée un sentiment de dette, même minuscule. Les pirates l'ont parfaitement compris. La fraude commence par un mail des ressources humaines, l'air de rien : "Petit cadeau de fin d'année, carte Amazon de 50 euros". Trois jours plus tard, un autre mail arrive, prétendument du dirigeant, qui demande un virement urgent ou un service rapide. Selon Barracuda, neuf fraudes au faux président sur dix se terminent par cette demande : "Achetez des cartes cadeaux et envoyez-moi les codes".

Pendant longtemps, on reconnaissait un mail piégé à ses fautes d'orthographe et à sa traduction approximative. Cette époque est terminée. Une démonstration d'IBM en 2024 a montré qu'il faut cinq minutes et cinq instructions bien tournées pour générer un mail de hameçonnage en français impeccable, avec le ton et les codes d'une vraie communication d'entreprise. Une recherche conjointe de Purdue et RIT a mesuré le résultat : cinquante-quatre pour cent de clics sur les mails écrits par IA, contre douze pour cent sur ceux écrits par des pirates humains amateurs. La barrière linguistique qui protégeait la France vient de tomber.

Le constat est inconfortable mais clair. L'étude Gartner 2024 mesure que quarante-neuf pour cent des télétravailleurs contournent volontairement les règles de cybersécurité de leur entreprise, pour aller plus vite et éviter les frictions. L'usage d'outils non validés a bondi de cinquante-neuf pour cent depuis l'arrivée massive du télétravail, selon Orange Cyberdéfense. Le vrai sujet n'est pas que les gens soient indisciplinés. C'est que les règles sont vécues comme un frein, pas comme un cadre qui protège. Tant qu'on n'aura pas changé ça, les contournements continueront.

Quand un collaborateur quitte l'entreprise, son badge est rendu le jour même. Ses accès numériques, en revanche, mettent en moyenne six mois à être désactivés complètement, selon les rapports d'incidents internes 2024. Sa boîte mail reste active, ses accès aux logiciels en ligne aussi, ses partages de documents dans le cloud sont toujours valides. La grande majorité des incidents internes viennent précisément de ces comptes oubliés. Un ex-salarié en désaccord, un identifiant qui fuite, un pirate qui rachète la base de données, et la porte est encore grande ouverte.

En août 2022, l'hôpital de Corbeil-Essonnes est attaqué par un groupe de pirates qui chiffre l'ensemble des systèmes informatiques. Rançon réclamée : dix millions de dollars. L'hôpital refuse, par principe et par obligation légale. Pendant trois semaines, les équipes médicales fonctionnent au papier-crayon : les dossiers patients, les ordonnances, les plannings, tout est manuel. La cadence chute de deux cent trente patients par jour à quatre-vingt-dix. Onze gigaoctets de données médicales finissent publiées sur internet. Cet épisode a profondément marqué la prise de conscience du secteur santé en France.

Une recherche publiée en 2024 sur le stress et la prise de décision aboutit à un constat saisissant. Quand on subit un stress intense pendant plus d'une heure, le cortisol affecte temporairement la zone du cerveau qui pilote la réflexion, le cortex préfrontal. Les performances cognitives chutent à un niveau comparable à celles d'un enfant de huit ans. Le cerveau bascule en mode automatique, sur des réflexes simples. C'est exactement ce qu'exploitent les mails marqués URGENT en majuscules : ils déclenchent un clic réflexe parce que le cerveau réfléchi a été court-circuité par le stress.

Une revue scientifique publiée dans Heliyon en 2024 a synthétisé les résultats de dizaines d'études sur la formation à la cybersécurité. La conclusion est nette : intégrer du jeu dans l'apprentissage augmente la rétention d'information de soixante-dix pour cent par rapport aux vidéos passives ou aux PDF à lire. Pluralsight mesure un engagement multiplié par presque deux sur les modules avec mécaniques de jeu. Hoxhunt, qui forme des millions de salariés, observe un signalement des mails suspects multiplié par quatre quand le score et le classement entrent en jeu. Ce n'est pas un gadget, c'est de la science cognitive bien utilisée.

Chaque année, une étude internationale recense les mots de passe les plus utilisés dans le monde et par pays. En France comme ailleurs, le palmarès 2025 est consternant de simplicité. Six fois sur les sept dernières années, le numéro un mondial reste le même. Et la France a ses spécialités locales qui en disent long sur notre rapport à la sécurité numérique.

La doctrine officielle française est claire depuis des années : ne jamais payer une rançon en cas de cyberattaque. L'agence nationale de cybersécurité martèle cette consigne dans toutes ses communications. Pourtant, une étude récente menée auprès des entreprises françaises victimes en 2024 raconte une histoire totalement différente. Le décalage entre le discours public et la réalité du terrain est devenu vertigineux.

Il y a deux ans, on parlait encore en jours, voire en semaines. Le temps que met un attaquant entre le moment où il rentre dans un système et celui où il chiffre tout pour demander une rançon s'appelle le temps de présence. Ce délai s'effondre depuis trois ans. Les chiffres 2024 ont surpris jusqu'aux experts du secteur. Pour les entreprises, ça change radicalement la fenêtre de réaction disponible.

Pendant longtemps, les entreprises de taille intermédiaire pensaient passer entre les gouttes. Trop petites pour intéresser les grands groupes de pirates, trop grandes pour être réellement vulnérables. Le panorama publié par l'agence nationale en 2025 dresse un tout autre constat. Les pirates ont fait un calcul économique simple : moyennes structures, vraies trésoreries, défenses incomplètes. Le résultat est sans appel.

Dans beaucoup d'entreprises, les comités de direction ont migré sur Mac. L'argument répété depuis vingt ans : Apple, c'est plus sûr. Or les chercheurs spécialisés observent une accélération nette des logiciels malveillants conçus spécifiquement pour macOS. La logique des pirates est purement économique. Plus il y a de Mac dans les entreprises, plus ça devient rentable d'en fabriquer.

Tous les mois d'octobre, les entreprises sortent leurs affiches, leurs newsletters et leurs webinaires sur la cybersécurité. C'est devenu un rituel rassurant. Le problème, c'est que la science cognitive dit exactement l'inverse depuis trente ans. Concentrer un apprentissage sur quatre semaines puis ne plus en parler avant un an, c'est la garantie que rien ne reste. Les chercheurs en pédagogie ont un mot pour ça.

C'est le cliché qui fait sourire dans les conférences. Le post-it jaune avec le mot de passe collé sous le clavier ou caché dans un tiroir. On en rigole en pensant que ça n'arrive plus, que c'était les années 2000. Une étude internationale menée auprès des collaborateurs en 2024 douche ce sentiment. La réalité du terrain n'a presque pas bougé. Et la raison profonde n'est pas celle qu'on croit.

C'est l'outil que tout le monde utilise quand un fichier est trop gros pour un mail. Pratique, gratuit, rapide. Le problème, c'est que personne ne se demande ce qui circule. Une fiche client, un contrat, un fichier RH partent sur un service public, transitent par des serveurs étrangers, et le lien peut être transféré, copié, intercepté. Le règlement européen sur la protection des données ne fait pas de distinction entre pratique et conforme.

L'Europe s'est dotée d'un règlement spécifique sur l'intelligence artificielle. Les entreprises ont mis du temps à le regarder de près. Le 2 août 2026, la version complète entre en vigueur. Beaucoup ignorent encore qu'un article impose une obligation directe à l'employeur sur la formation des équipes qui utilisent ces outils. Les sanctions prévues sont du même ordre que celles du règlement européen sur les données personnelles.

Personne ne fait attention à l'imprimante. Elle est là depuis des années, elle imprime, c'est tout. Pourtant, les imprimantes connectées modernes sont de vrais petits serveurs. Elles stockent les documents sur un disque dur intégré, elles sont reliées au réseau, elles gardent un mot de passe d'usine dans la majorité des cas. Les pirates le savent depuis longtemps. Les responsables sécurité, beaucoup moins.