Les cyberattaques exploitant l’IA générative ont augmenté de 135 % en 2025. Deepfakes, phishing ultra-personnalisé, ingénierie sociale automatisée : les entreprises font face à des menaces d’une sophistication inédite. Pourtant, la première faille n’est pas technique, elle est humaine. Et c’est précisément là que la formation devient une arme.
Pendant des années, la cybersécurité reposait sur un principe simple : les attaques étaient identifiables. Un email de phishing se trahissait par ses fautes d’orthographe, son expéditeur suspect, son ton inhabituel. Un collaborateur attentif pouvait, dans la majorité des cas, détecter la menace à l’œil nu.
L’IA générative a fait voler en éclats cette logique. Aujourd’hui, un cybercriminel peut, en quelques minutes et pour un coût quasi nul, générer un email parfaitement rédigé en français, imitant le style de votre directeur financier, reprenant des éléments contextuels tirés de LinkedIn, et demandant un virement urgent vers un compte tiers. Un deepfake vocal peut reproduire la voix d’un dirigeant avec une fidélité troublante. Une attaque par spear phishing peut être personnalisée à l’échelle industrielle, ciblant simultanément des centaines de collaborateurs avec des messages sur mesure.
Face à cette évolution, les outils techniques — pare-feu, antivirus, filtres anti-spam — restent nécessaires, mais insuffisants. Ils détectent les signatures connues, pas les attaques inédites. Or, avec l’IA générative, chaque attaque peut être unique, adaptée, inconnue des bases de données de menaces. Le maillon le plus vulnérable est désormais systématiquement humain.
Trois nouvelles menaces que vos collaborateurs ne savent pas reconnaître
L’IA générative a introduit des vecteurs d’attaque que la formation traditionnelle à la cybersécurité ne couvre pas encore.
En voici trois que nous observons systématiquement dans les entreprises que nous accompagnons chez Skillevos :
Le phishing génératif personnalisé.
Contrairement au phishing traditionnel, qui envoie le même message à des milliers de destinataires, le spear phishing IA s’appuie sur des données publiques (profils LinkedIn, sites web, réseaux sociaux) pour générer des messages hyper-contextualisés. L’email semble venir d’un collègue, d’un partenaire, d’un client — il reprend les projets en cours, le vocabulaire de l’entreprise, les noms réels des interlocuteurs. Le taux de clics sur ces attaques est trois à cinq fois supérieur au phishing classique.
Le deepfake audio et vidéo.
En 2024, une entreprise hongkongaise a perdu l’équivalent de 25 millions de dollars suite à un faux appel vidéo où l’ensemble des participants — dont le CFO de l’entreprise — étaient des deepfakes. Ce type d’attaque, réservé aux États-nations il y a deux ans, est désormais accessible à des groupes criminels organisés grâce à des outils grand public. Un collaborateur RH qui reçoit un appel vidéo de son « directeur » lui demandant de virer un mois de salaires en urgence n’a, sans formation, aucun réflexe pour identifier la supercherie.
La manipulation par IA conversationnelle.
Des chatbots IA se font passer pour des services clients, des supports techniques, voire des collaborateurs internes, afin d’extraire des identifiants, des données sensibles ou d’inciter à des actions compromettantes. La conversation est fluide, cohérente, convaincante — et le collaborateur non formé n’a aucune raison de se méfier.
Pourquoi les approches de formation traditionnelles ne suffisent plus
La réponse habituelle des entreprises face au risque cyber est une formation annuelle obligatoire : une heure en e-learning sur les bonnes pratiques, un quiz final, une attestation. Ce format, qui pouvait suffire quand les menaces étaient relativement stables, est aujourd’hui structurellement inadapté.
Les raisons sont multiples. D’abord, la temporalité : l’IA générative fait évoluer les techniques d’attaque à une vitesse que les formats annuels ne peuvent pas suivre. Ensuite, le contenu : la grande majorité des formations cyber disponibles sur le marché ont été conçues avant l’avènement de l’IA générative grand public — elles n’abordent pas les deepfakes, le phishing génératif ou la manipulation conversationnelle. Enfin, le format : une heure de e-learning ne crée pas les réflexes dont un collaborateur a besoin dans un moment de stress, face à un email convaincant ou un appel urgent.
Ce qu’il faut, c’est une formation qui apprend aux collaborateurs à penser comme des attaquants IA — à comprendre comment ces outils fonctionnent, quels signaux faibles ils laissent, et quelles procédures de vérification adopter face à une demande inhabituelle, même quand elle paraît légitime.
Ce que doit couvrir une formation cyber à l’ère de l’IA générative
Une formation efficace sur ce sujet doit impérativement couvrir cinq domaines :
* Comprendre l’IA générative — non pas techniquement, mais fonctionnellement : que peut-elle produire, à quelle vitesse, à quel coût ? Cette compréhension de base est le prérequis à tout réflexe de méfiance.
* Identifier les signaux d’alerte propres aux attaques IA : demandes urgentes hors procédure, légère désynchronisation audio/vidéo, cohérence factuelle trop parfaite, incitation à contourner les processus de validation.
* Maîtriser les procédures de vérification indépendante : rappeler le demandeur sur un numéro connu, valider par un canal secondaire, appliquer systématiquement la règle des deux approbations pour les virements.
* Adopter des pratiques d’hygiène numérique limitant la surface d’exposition : paramétrage des profils LinkedIn, gestion des données publiques de l’entreprise, vigilance sur les informations partagées avec des outils IA en ligne.
* Connaître les procédures internes de signalement : qui contacter, dans quel délai, avec quelles informations, pour maximiser la réactivité de l’équipe IT en cas d’incident suspecté.
La formation : un investissement mesurable, finançable, urgent
Le coût moyen d’une cyberattaque réussie pour une PME française est estimé à 190 000 euros — sans compter les pertes d’exploitation, le coût réputationnel et les éventuelles sanctions RGPD si des données personnelles ont été compromises. Face à ce chiffre, le coût d’une formation cyber IA pour une équipe de dix personnes représente moins de 1 % de l’exposition au risque.
Et cette formation est intégralement finançable. En tant qu’organisme certifié Qualiopi, Skillevos accompagne les entreprises dans la mobilisation de leurs financements OPCO pour couvrir l’intégralité du coût de la formation — y compris pour des sessions dispensées à distance, sans contrainte logistique. Une PME de moins de 50 salariés peut, dans la plupart des cas, former l’ensemble de ses collaborateurs exposés sans débourser un euro.
La question n’est plus de savoir si vos équipes seront un jour ciblées par une attaque IA. Selon les derniers rapports de l’ANSSI, 60 % des cyberattaques recensées en France en 2025 comportaient une composante IA générative. La question est de savoir si elles sauront quoi faire quand cela arrivera.
Les technologies de défense évoluent. Les réglementations se renforcent. Mais la première ligne de défense d’une entreprise sera toujours humaine. Former ses collaborateurs à reconnaître et à déjouer les attaques IA n’est pas une option parmi d’autres dans une stratégie de cybersécurité — c’en est le fondement.
____________________________
Par Aïssa Khelladi, Fondateur de Skillevos
____________________________
puis