Forts d’une industrialisation des cyberattaques et d’une exploitation de l’Intelligence Artificielle (IA) à grande échelle, les cybercriminels ont aujourd’hui des capacités offensives inédites. Usurpation d’identité, création de faux profils numériques, contournement des systèmes d’authentification, vol de certificats : les différentes briques qui composent l’identité numérique sont devenues des cibles à part entière.

Face à ce phénomène, comment garantir que l’authentification numérique ne puisse être falsifiée ou usurpée ? Comment assurer des services de confiance face à des attaques de plus en plus automatisées ? Et jusqu’où peut-on renforcer l’authentification sans détériorer l’expérience client que plébiscite la majorité des utilisateurs ?

Après avoir traité des enjeux de la souveraineté numérique, Fabrice Aresu, notre CEO apporte son analyse sur la sécurité des services de confiance.

Des campagnes de masse aux fraudes ciblées, l’évolution des cyberattaques

En passant de campagnes de masse aux attaques ciblées, les cyberattaques ont changé d’échelle et de nature. Un changement rendu possible par l’émergence de nouvelles plateformes prêtes à l’emploi telles que le « phishing as a service » (PhaaS).

Moyennant un abonnement, les cybercriminels accèdent à des kits complets incluant modèles d’e-mails et de SMS, pages de connexion factices, infrastructures d’envoi, tableaux de suivi des victimes et des mises à jour régulières pour échapper aux mécanismes de détection.

Autrement dit, le savoir-faire technique n’est plus une barrière : un individu peu expérimenté peut lancer en quelques clics une campagne massive et sophistiquée, en recyclant sans cesse ses leurres pour contourner les antivirus et filtres anti-spam. Basées sur le principe de spray-and-pray (attaque massive non personnalisée), ces campagnes sont lancées le plus souvent par opportunisme.

Pour les particuliers, cette industrialisation se traduit par des millions de messages quotidiens cherchant à soutirer identifiants et coordonnées bancaires, souvent appuyés par des sites miroirs ou de faux centres d’assistance. Du côté des entreprises, les cybercriminels privilégient désormais le spearphishing : des campagnes conçues pour tromper des collaborateurs ciblés, à partir d’informations publiques comme un organigramme ou un événement interne, le tout automatisé à l’aide de l’IA.

Comme le rappelle Fabrice Aresu : « Il y a une industrialisation des procédés. Le phénomène est tel qu’on observe désormais des campagnes de phishing dont le volume double tous les six mois. » Face à cette tendance, il faut alors durcir les environnements numériques par une amélioration continue des processus d’authentification dans les transactions en ligne, mais aussi par un travail de fond sur l’humain par la sensibilisation et la formation continue aux cybermenaces.

L’Intelligence Artificielle, à la fois moteur des fraudes et rempart de sécurité

Les progrès constants des algorithmes de génération d’images et de vidéos par les modèles IA rendent de plus en plus difficile la distinction entre le vrai et le faux. Ainsi de nombreux services en ligne permettent de produire de faux documents administratifs, de reproduire des visages générés par deepfake de personne connue ou inconnue ou encore d’usurper la voix d’un collaborateur de l’entreprise.

Cette nouvelle tendance s’explique par la facilité d’utilisation de ces procédés : les outils d’IA sont désormais accessibles au plus grand nombre, souvent gratuits ou disponibles sous forme d’abonnement. Récemment, un chercheur polonais a démontré la facilité avec laquelle il est possible de générer un faux passeport à l’aide d’un outil d’IA accessible en ligne. Une facilité d’accès qui se retrouve désormais dans des cas réels : deux touristes français de 28 et 26 ans ont tenté d’escroquer un hôtel en Espagne en présentant une fausse facture acquittée générée à l’aide de ces outils. Si cette escroquerie a pu être déjouée, il est probable que beaucoup d’autres passent inaperçues.

Toutefois, si l’IA facilite la création de fausses identités et d’attaques sophistiquées, elle est aussi un outil puissant pour renforcer la sécurité. Il ne faut donc pas réduire l’Intelligence Artificielle à une source de menace : elle fait aussi partie de la réponse face à ces nouvelles fraudes.

« Une tentative récente d’ouvrir des comptes bancaires avec un faux passeport italien a été stoppée grâce à nos algorithmes d’Intelligence Artificielle : l'IA a repéré l’anomalie, prouvant que la technologie peut se révéler être une alliée précieuse » rappelle Fabrice Aresu. L’adoption rapide de l’IA fait ainsi évoluer en permanence le rapport de forces : chaque nouvelle avancée technologique engendre simultanément des usages légitimes et malveillants.

Un arbitrage délicat entre sécurité et expérience utilisateur

Si les cybermenaces sont bien réelles et ne cessent de monter en intensité, les attentes du côté des utilisateurs finaux créent un paradoxe parfois difficile à gérer. Selon le Thales Digital Trust Index 2025, plus de 75 % des usagers plébiscitent l’authentification sans mot de passe, attirés par la rapidité des parcours biométriques ou la simplicité d’un usage exclusivement mobile.

Pourtant dans la même étude 64 % des consommateurs déclarent que leur confiance envers une marque augmenterait significativement si celle-ci adoptait des technologies innovantes ou avancées renforçant la protection des données. Autrement dit, les utilisateurs exigent à la fois une expérience sans friction et des garanties de sécurité. Ce double impératif illustre toute la complexité de l'arbitrage actuel : comment concilier expérience utilisateur et sécurité des données ?

Mais cette recherche d’équilibre se heurte à une autre réalité : les cybercriminels exploitent justement cette quête de simplicité pour multiplier les attaques sur les mécanismes d’authentification eux-mêmes. Les attaques de push bombing, qui consistent à saturer l’utilisateur de demandes d’authentification jusqu’à provoquer une validation par épuisement en sont un exemple. Parallèlement, les codes temporaires à usage unique (OTP) sont de plus en plus contournés.

Face à cette pression, certaines banques ont assumé un choix clair : introduire de la friction volontaire dans les parcours. Notifications supplémentaires, délais imposés, écrans de confirmation détaillés… autant de garde-fous qui ralentissent l’expérience, mais qui renforcent la vigilance de l’utilisateur. Comme le résume notre CEO : « cette légère régression de l’expérience utilisateur est assumée : retirer un seul facteur reviendrait à ouvrir une brèche majeure ».

Face à cette tendance, nous apportons une réponse concrète : en tant que tiers de confiance qualifié, nous délivrons des identités numériques certifiées, orchestrons des parcours d'authentification qui ne dégradent pas l’expérience utilisateur, et surveillons en continu les signaux de fraude afin de bloquer les attaques.

Sécuriser les services de confiance de demain

La généralisation des usages numériques place la cybersécurité au cœur de chaque interaction : ouverture de compte, signature électronique, connexion à un service en ligne. Dans ce contexte, les identités numériques et les mécanismes d’authentification deviennent des cibles prioritaires pour les cybercriminels dont les méthodes évoluent sans cesse.

Pour Fabrice Aresu, la réponse ne peut pas être statique : elle doit anticiper en permanence les nouvelles formes d’attaques. « Notre rôle est d’être toujours un pas en avance. Anticiper les menaces, ne pas attendre qu’elles se concrétisent, et offrir des services de confiance qui garantissent à la fois sécurité et fluidité. »

Ainsi nous confirmons notre vision : faire des services de confiance non pas une simple couche de protection, mais un levier essentiel de confiance numérique dans un environnement en constante mutation.