Chez Computis, nous accompagnons chaque semaine des PME, des institutions publiques, des communes et des administrations suisses face à une réalité qui s’est brutalement accélérée ces dix-huit derniers mois : les e-mails de phishing que nous interceptons ou simulons ne ressemblent plus aux vieilles arnaques bancaires truffées de fautes d’orthographe. Ils ressemblent exactement à un e-mail de votre DRH, de votre direction financière, ou de l’Office fédéral des assurances sociales.

Ce changement de nature n’est pas cosmétique. Il est structurel. Et il change fondamentalement la réponse que vous devez lui apporter.

L'IA n'a pas seulement amélioré les attaques — elle a supprimé les indices qui permettaient de les repérer.

L’IA au service des attaquants : la menace qui s’est industrialisée

Pendant des années, le phishing était limité par les capacités humaines des attaquants : rédiger des centaines d’e-mails convaincants prenait du temps, et les erreurs trahissaient l’arnaque. Ce temps est révolu.

L’intelligence artificielle a rendu les attaques de phishing plus rapides, plus convaincantes et plus faciles à déployer à grande échelle. Les campagnes modernes utilisent l’automatisation et l’analyse de données pour créer des messages d’apparence légitime et adapter leurs tactiques en temps réel, améliorant continuellement leur taux de réussite.

Concrètement, un attaquant peut aujourd’hui demander à un modèle de langage d’analyser votre site web, votre page LinkedIn, les publications de votre équipe dirigeante — et générer en quelques secondes un e-mail personnalisé, sans faute, dans le bon registre, avec le bon objet. Ces campagnes générées par IA ont éliminé les indicateurs traditionnels de communication frauduleuse — mauvaise grammaire, fautes d’orthographe évidentes — rendant la détection bien plus difficile, tant pour les utilisateurs que pour les outils de sécurité.

Le résultat ? Plus de 95 % des professionnels de la cybersécurité estiment que le contenu généré par l’IA rend la détection du phishing sensiblement plus difficile. Ce n’est pas une alerte marginale : c’est le nouveau plancher.

Les filtres ne voient plus ce qu’ils cherchaient

La réponse traditionnelle au phishing a longtemps été technologique : passerelles e-mail sécurisées, règles DMARC/SPF/DKIM, filtres anti-spam. Ces outils restent nécessaires. Mais ils sont conçus pour détecter des signaux que l’IA attaquante a précisément appris à effacer.

Les outils de détection IA analysent les comportements des expéditeurs, la structure des messages et les activités suspectes sur les liens pour identifier des anomalies que les filtres traditionnels ne voient pas. Mais cette course technologique a une limite claire : le rapport 2025 de KnowBe4 sur le phishing par industrie révèle une augmentation de 47 % des attaques qui contournent les défenses natives de Microsoft et les passerelles e-mail sécurisées.

Près d’une attaque sur deux passe. Et ce qui attend de l’autre côté, c’est un collaborateur — fatigué, pressé, conditionné à répondre vite. C’est précisément là que les attaquants dirigent leurs efforts.

Le vrai vecteur d’attaque, c’est l’humain

C’est le paradoxe inconfortable de notre époque : plus les outils progressent, plus l’humain devient la cible prioritaire. De nombreuses attaques reposent sur une interaction humaine. Même les messages de phishing les plus sophistiqués nécessitent qu’un collaborateur clique sur un lien, ouvre une pièce jointe ou partage des informations — ce qui fait des employés la cible principale des attaquants.

Les cyberattaques exploitent la façon dont les collaborateurs communiquent au travail : en se faisant passer pour des collègues, en créant un sentiment d’urgence, ou en imitant des demandes parfaitement légitimes. Ce ne sont pas des failles techniques. Ce sont des failles humaines, et aucun firewall ne les comble.

Pour une PME romande, une commune vaudoise ou une institution publique cantonale, la conséquence est directe : un seul clic sur un lien malveillant peut compromettre des données sensibles, paralyser un système de gestion ou déclencher une procédure de rançon. La taille de la structure ne protège pas — elle conditionne simplement la forme du prétexte utilisé par l’attaquant.

Répondre à l’IA par l’IA : la stratégie HRM nouvelle génération

Face à des attaques qui s’adaptent en permanence, les défenses statiques — formation annuelle, règles fixes, campagnes de sensibilisation génériques — ne suffisent plus. La formation classique à la sensibilisation peine à combattre des attaques d’ingénierie sociale hautement convaincantes. Les équipes sécurité sont débordées, les utilisateurs désengagés, et les organisations peinent à mesurer des résultats tangibles de leurs programmes de formation.

C’est pour répondre à cette réalité que KnowBe4 a développé AIDA — Artificial Intelligence Defense Agents — une suite d’agents IA qui automatise et personnalise la gestion du risque humain de façon continue. AIDA apprend et s’adapte en permanence aux besoins spécifiques de votre organisation, créant une formation personnalisée, adaptative et réellement efficace — qui change les comportements, pas seulement les scores de quiz.

Concrètement, trois agents travaillent en parallèle :

L’agent de formation automatisé analyse l’historique d’apprentissage, le poste, le score de risque et les comportements de chaque utilisateur à partir de 316 indicateurs répartis sur 7 domaines de connaissance, pour attribuer automatiquement les contenus les plus pertinents — quelle que soit la position ou la localisation du collaborateur.

L’agent de génération de templates exploite l’IA générative pour créer des simulations de phishing très réalistes, basées sur les vecteurs d’attaque actuels, avec des indicateurs d’ingénierie sociale fondés sur le cadre NIST Phish Scale.Ce sont les mêmes méthodes que les attaquants — retournées contre eux.

L’agent de rappel de connaissances délivre des micro-formations à des intervalles optimaux déterminés par l’analyse comportementale, pour que les bons réflexes soient réellement ancrés dans le quotidien des équipes — pas seulement mémorisés le temps d’un module.

L’analyse Computis : ce que cela change selon votre contexte

En Suisse, la question n’est pas uniquement sécuritaire — elle est aussi réglementaire. La nLPD impose une responsabilité accrue à toute organisation qui traite des données personnelles. Une violation causée par un clic sur un e-mail de phishing peut rapidement devenir une obligation de notification aux autorités, avec les conséquences réputationnelles et financières qui s’ensuivent.

Cette réalité concerne des profils très différents, et c’est précisément ce que nous observons sur le terrain :

Les PME — souvent bien équipées en outils, mais avec des équipes IT limitées. Une approche adaptative de la sécurité e-mail aide à réduire le risque humain en renforçant les bons réflexes et en signalant les comportements potentiellement dangereux. Sans programme structuré, chaque nouvel employé est une porte potentiellement ouverte.

Les institutions publiques et administrations — offices cantonaux, services fédéraux, établissements de soins — gèrent des données citoyennes hautement sensibles et sont soumises à des obligations de continuité de service strictes. Une attaque réussie ne touche pas seulement l’organisation : elle affecte directement les citoyens. Et les acteurs malveillants le savent.

Les communes — souvent sous-dimensionnées en ressources IT, elles représentent pourtant des cibles de choix. Un seul collaborateur communal trompé par un faux e-mail de l’AFC ou du SECO peut ouvrir une brèche dans des systèmes qui gèrent l’état civil, les finances publiques ou les données sociales.

Ce que nous constatons dans tous ces contextes : les modèles de détection IA s’améliorent en permanence en analysant de nouvelles tentatives et les patterns d’attaque évolutifs — mais la protection efficace contre le phishing ne se limite pas à bloquer les e-mails malveillants. Elle passe aussi par la façon dont les collaborateurs reconnaissent, signalent et réagissent aux messages suspects. L’outil le plus sophistiqué ne vaut rien si personne ne l’utilise correctement.

Notre conviction chez Computis : faire de vos collaborateurs une ligne de défense active — pas un maillon faible passif — est le seul investissement à effet durable.

Ce qu’il faut retenir

L’IA ne disparaîtra pas des arsenaux des attaquants. Elle va s’affiner, se diversifier, et cibler des contextes toujours plus précis. Dans cette course en avant, la seule variable sur laquelle vous avez un contrôle durable, c’est le comportement de vos équipes.

Lutter contre le phishing dopé à l’IA exige des stratégies en couches combinant des outils de sécurité IA et des défenses centrées sur l’humain. Aucune de ces deux dimensions ne peut fonctionner seule. Ensemble, elles forment la seule défense réellement robuste.

Former, simuler, mesurer, corriger. En continu. Avec des données réelles. C’est la seule stratégie qui transforme votre maillon le plus vulnérable en première ligne de défense.

Prêt à mesurer la vulnérabilité réelle de votre équipe ?

Lancez votre test phishing gratuit — les résultats en 24 heures.

Avant que les cybercriminels ne testent vos collaborateurs pour de vrai, découvrez votre Phish-prone Percentage™ grâce à notre test de phishing gratuit et sans engagement, propulsé par KnowBe4.

Voici comment cela fonctionne :

• Démarrez immédiatement jusqu’à 100 utilisateurs — aucun contact préalable, aucune installation requise.

• Choisissez parmi plus de 20 langues (français inclus) et personnalisez le template selon votre environnement : faux e-mail urgent de votre direction, reset de mot de passe, facture impayée.

• Sélectionnez la page de destination après clic : une page pédagogique expliquant les signaux d’alerte manqués, ou une page neutre discrète.

• En 24 heures, recevez un rapport PDF détaillé : votre Phish-prone % global, des graphiques clairs, et une comparaison avec les benchmarks de votre secteur et de la Suisse romande.

Ces chiffres concrets — souvent plus élevés que prévu — constituent un levier puissant pour obtenir un budget formation ou outils auprès de votre direction.

Pourquoi choisir Computis pour ce test ?

En tant que partenaire certifié KnowBe4 en Suisse romande, nous allons plus loin qu’un simple rapport :

• Interprétation personnalisée des résultats et plan d’action adapté à votre taille, votre secteur et votre contexte — PME, institution publique ou commune.

• Transition fluide vers des campagnes récurrentes, des formations sur mesure et des protections renforcées.

• Conformité nLPD et RGPD garantie — test anonyme au niveau individuel dans la version gratuite.

Cliquez ici pour démarrer votre test phishing gratuit

Test Phishing Security Gratuit

Ou préférez-vous une prise en main guidée ?

Contactez-nous directement :

📞 +41 21 804 69 00
ou via
💻 notre formulaire de contact

Ne laissez pas les cybercriminels tester vos collaborateurs en premier. Obtenez vos résultats concrets et bâtissez une stratégie gagnante – commencez maintenant.

FAQ — Questions fréquentes

Q1 : L’IA change-t-elle vraiment quelque chose si nos filtres sont à jour ? Oui, fondamentalement. Les filtres détectent des signatures connues. L’IA attaquante génère des contenus inédits à chaque campagne, sans signature reconnaissable. En 2025, près d’une attaque sur deux contourne les défenses natives des grandes plateformes e-mail.

Q2 : Nos collaborateurs sont déjà sensibilisés — est-ce suffisant ? Une sensibilisation ponctuelle réduit le risque, mais ne le supprime pas. Les approches modernes — simulations régulières calées sur les techniques IA actuelles, micro-learning contextualisé, signalement facilité — sont significativement plus efficaces pour réduire le risque réel et durablement.

Q3 : AIDA de KnowBe4, c’est pour les grandes entreprises uniquement ? Non. La plateforme s’adapte à partir de quelques dizaines d’utilisateurs. Chez Computis, nous la déployons aussi bien dans des PME de 20 collaborateurs que dans des administrations cantonales. Le dimensionnement est adapté à chaque structure.

Q4 : Combien de temps faut-il pour mettre en place une stratégie HRM chez Computis ? Pour une PME, notre méthodologie permet une mise en place opérationnelle en 4 à 6 semaines, avec un retour sur investissement mesurable dès le premier trimestre — notamment via la réduction du Phish-prone Percentage observé en simulation.

Q5 : Le test phishing gratuit est-il conforme à la protection des données suisse ? Oui. Dans sa version gratuite, le test est anonyme au niveau individuel. Aucune donnée personnelle n’est transmise à des tiers, et le processus est conforme aux exigences de la nLPD.