Module 5 · Guide pratique · Habitudes numériques pour employés
Les pièges courants 2026 et les réflexes qui fonctionnent

Phishing, deepfake vocal, shadow IT —
reconnaître les pièges et savoir réagir

Les pièges numériques de 2026 ne sont plus ceux de 2020. L'intelligence artificielle écrit des courriels d'hameçonnage sans fautes, imite la voix de votre directeur en quelques secondes, et les applications téléchargées « pour aller plus vite » deviennent des angles morts que l'entreprise n'a même pas répertoriés. Ce module donne les signes à reconnaître et un réflexe simple qui fonctionne dans la majorité des cas.

Planifier la formation ← Retour à la formation →

Au Canada, l'Autorité canadienne pour les enregistrements Internet (CIRA, qui gère les noms de domaine .ca) publie chaque année son étude sur la cybersécurité. La version 2025 rapporte qu'environ une organisation canadienne sur quatre a été victime d'un rançongiciel dans les douze derniers mois (24 %), et qu'environ une organisation sur dix à dix-huit s'est sentie préparée à ces menaces. Les attaquants ont changé d'outils — la défense doit suivre. Ce module passe en revue les trois grands pièges de 2026 et le réflexe qui les neutralise dans la majorité des cas.

Le phishing en 2026 — l'IA change la donne

Le phishing (en français hameçonnage) est l'envoi d'un message qui imite un expéditeur de confiance pour vous pousser à cliquer sur un lien malveillant, divulguer un mot de passe, ou autoriser une action que vous regretterez. C'était autrefois facile à repérer grâce aux fautes d'orthographe et aux tournures bizarres. En 2026, l'intelligence artificielle générative produit des textes propres, contextuellement plausibles, parfois rédigés dans un français impeccable qui sonne « presque comme le patron ». Le critère des fautes d'orthographe n'est plus fiable.

Cinq signes restent utiles pour reconnaître un message suspect en 2026 :

  • Urgence inhabituelle — « action requise dans 24 heures », « compte suspendu », « paiement immédiat ». L'urgence est l'arme préférée des attaquants parce qu'elle court-circuite la réflexion.
  • Demande qui sort de la routine — un transfert d'argent inattendu, un changement de coordonnées bancaires d'un fournisseur, une connexion à un nouveau service que personne n'a annoncée.
  • Expéditeur incohérent — le nom affiché correspond à votre direction, mais l'adresse réelle est légèrement différente (par exemple directeur@entreprise-inc.com alors que votre vraie société est entreprise.com).
  • Lien suspect — survolez le lien avec la souris avant de cliquer ; la destination réelle apparaît en bas de la fenêtre. Un domaine qui imite mais ne correspond pas exactement à un site connu (un caractère remplacé, un sous-domaine inhabituel) est un drapeau rouge.
  • Ton « presque » mais pas exactement — la formulation ressemble à votre supérieur sans être complètement naturelle. Une tournure forcée, une signature qui manque d'un détail habituel, un emoji que cette personne n'utilise jamais.

Le réflexe qui marche dans la majorité des cas

Règle d'or — « si c'est urgent et inhabituel, je rappelle par un canal indépendant avant d'agir ».

Si vous recevez une demande pressante et inattendue par courriel, par messagerie ou par téléphone, ne répondez pas par le même canal. Rappelez la personne par un autre moyen — le numéro que vous avez déjà dans vos contacts (pas celui qui vient d'appeler), un courriel à l'adresse officielle que vous connaissez, un message texte à un autre numéro. Si la demande est légitime, la personne confirmera. Sinon, vous venez d'éviter une perte.

Le deepfake vocal — quand la voix ne suffit plus

Un deepfake vocal est la production, par intelligence artificielle, d'une voix qui imite une personne réelle. Quelques secondes d'audio public — extrait de vidéo sur les réseaux sociaux, message vocal partagé, intervention dans un balado — suffisent aux outils modernes pour générer ensuite n'importe quel texte avec cette voix. Au Canada et au Royaume-Uni, plusieurs cas documentés en 2024 et 2025 ont vu des employés financiers manipulés au téléphone par une voix qui imitait parfaitement leur direction. Selon une analyse publiée par Daily Security Review citant CyberCheck Labs, les incidents de vishing (hameçonnage vocal) par deepfake auraient augmenté très fortement au deuxième trimestre 2025 — tendance rapportée par cette source secondaire, à présenter avec prudence sur les chiffres précis mais directionnellement nette.

Trois mesures pratiques pour s'en prémunir :

  • Appliquer le réflexe du rappel par canal indépendant — la voix peut être imitée, mais le téléphone que vous composez vous-même reste fiable.
  • Convenir d'un mot-code interne avec votre direction pour les demandes financières sensibles. Si la demande arrive sans le mot-code attendu, c'est suspect. À fixer entre dirigeant et employés clés, par écrit, hors canaux numériques.
  • Refuser systématiquement toute demande financière effectuée uniquement par téléphone, même si la voix correspond. Demander une confirmation écrite par un canal vérifié (le courriel professionnel habituel, pas une nouvelle adresse).

Le shadow IT — les applications téléchargées « pour aller plus vite »

Le shadow IT (informatique de l'ombre) désigne les applications, services en ligne ou outils utilisés par les employés sans validation préalable de l'organisation. Exemples typiques : un outil de gestion de tâches personnel utilisé pour suivre des dossiers clients, un service de transfert de fichiers pour envoyer un document trop gros pour le courriel, une intelligence artificielle conversationnelle pour reformuler une lettre confidentielle. L'intention est bonne — gagner du temps, contourner une limitation — mais le résultat est un angle mort que l'entreprise ne peut pas protéger.

Trois implications concrètes du shadow IT :

  • Des données de l'entreprise circulent sur un service que personne n'a évalué — la confidentialité, la sauvegarde et la sécurité dépendent d'un fournisseur inconnu de la direction.
  • Selon le rapport Verizon Data Breach Investigations Report 2025 (DBIR), environ quinze pourcent des employés accèdent à des plateformes d'intelligence artificielle générative depuis un poste corporatif au moins deux fois par semaine — et la majorité le font avec un compte personnel, ce qui aggrave le risque de fuite.
  • En cas de départ de l'employé qui utilisait l'outil, l'entreprise perd l'accès aux données qui s'y trouvent.

La solution n'est pas d'interdire — c'est rarement réaliste — mais de parler à son dirigeant. Si vous utilisez un outil parce que la solution officielle est inadaptée ou manquante, signalez-le. Le dirigeant peut alors choisir : valider l'outil avec encadrement, fournir une alternative officielle, ou décider que le risque n'est pas acceptable. Sans information, il ne peut rien décider.

Le navigateur — vecteur de risques sous-estimé

Le navigateur web est l'application la plus utilisée d'un poste de travail. Il est aussi le principal point d'entrée des risques modernes. Trois vecteurs à comprendre simplement :

  • Le phishing arrive dans le navigateur — la majorité des liens piégés se cliquent dans une page web. Vérifiez l'adresse réelle en passant la souris sur un lien avant de cliquer. Méfiez-vous des pages qui imitent un site connu (banque, fournisseur, courriel) avec une adresse légèrement différente.
  • Les extensions installées voient tout — chaque extension a accès au contenu des pages que vous visitez (formulaires, mots de passe, messages). Une extension légitime peut être rachetée par un tiers et basculer en malveillante du jour au lendemain. Faites le ménage régulièrement : ne gardez que les extensions vraiment utiles.
  • Les fonctions d'intelligence artificielle intégrées aux navigateurs récents (Copilot dans Edge, Gemini dans Chrome, Leo dans Brave, agents dans Perplexity Comet ou Genspark) envoient le contenu des pages au cloud du fournisseur pour analyse. Sur un poste pro qui ouvre des dossiers clients ou des courriels confidentiels, c'est une fuite continue de données. Désactivez ce qui ne vous sert pas — c'est une vérification de quelques minutes dans les paramètres.

Si vous êtes connecté à votre compte personnel dans le navigateur sur un poste pro, votre historique de navigation, vos mots de passe et vos onglets sont synchronisés avec votre fournisseur (Google, Microsoft, Mozilla, Apple). Décidez consciemment ce que vous voulez partager ou utilisez un profil navigateur distinct pour le pro.

Quelques chiffres récents pour situer le contexte

Trois données contextuelles, sources et années précisées pour transparence :

  • 24 % des organisations canadiennes ont été victimes d'un rançongiciel dans les douze derniers mois (CIRA 2025 Cybersecurity Survey, publié octobre 2025).
  • Environ 15 % des employés accèdent à des plateformes d'intelligence artificielle générative depuis un poste corporatif au moins deux fois par semaine (Verizon DBIR 2025).
  • Forte hausse rapportée des incidents de vishing par deepfake au deuxième trimestre 2025 (source secondaire Daily Security Review citant CyberCheck Labs — chiffre précis à considérer avec prudence, tendance confirmée par les sources d'industrie).

Pièges à éviter

  • Croire qu'on est trop petit pour être ciblé — les attaques automatisées par IA balaient des millions d'adresses ; la taille de l'entreprise n'est plus un filtre. Une PME peut être ciblée par un attaquant qui n'a même pas pris la peine de la connaître.
  • Agir vite sous urgence sans vérifier — c'est exactement ce que l'attaquant veut. Un retard de cinq minutes pour confirmer par un canal indépendant n'a jamais causé de catastrophe ; agir sans vérifier, oui.
  • Ne pas signaler à l'employeur — par peur d'avoir l'air d'avoir failli, par méconnaissance du processus. Sans signalement, l'entreprise ne peut pas savoir si d'autres employés sont visés par la même attaque ni renforcer ses défenses.
  • Compter uniquement sur la vigilance individuelle — la fatigue, l'urgence, le contexte personnel finissent par faire baisser la garde de tout le monde. Les méthodes techniques (double authentification, gestionnaire de mots de passe, double validation des transferts) absorbent les moments où la vigilance flanche.
  • Faire confiance à un appel uniquement parce que la voix correspond — la voix n'est plus un facteur d'authentification fiable depuis l'arrivée des deepfakes vocaux grand public. Toujours rappeler ou demander confirmation écrite.

En résumé

Le phishing est mieux écrit en 2026, le deepfake vocal devient courant, le shadow IT s'amplifie avec l'arrivée des outils d'intelligence artificielle dans le quotidien. Trois grands réflexes neutralisent la majorité de ces pièges : rappeler par un canal indépendant quand c'est urgent et inhabituel, convenir d'un mot-code interne pour les demandes financières sensibles, signaler au dirigeant les outils qu'on utilise hors du circuit officiel. Pas besoin d'expertise technique — ce sont des habitudes, pas des compétences.

Passer à la suite de la formation

Vous avez vu les pièges. Le module 6 referme la boucle : continuer à apprendre par vous-même, et faire remonter votre cartographie au dirigeant pour qu'elle serve à toute l'équipe.

← Retour à la formation Planifier la formation