Les offensives ne visent plus des infrastructures abstraites. Elles ciblent des situations concrètes, validations tardives, consultations sur mobile, travail de nuit, déplacements professionnels. Selon le Baromètre Cyber 2026 de Mailinblack, 3 % des courriels analysés sont malveillants et chaque utilisateur reçoit en moyenne 23 attaques par an. Ce volume permanent crée une fatigue attentionnelle mesurable. Pour les DSI et RSSI, cela impose d’aligner filtrage, simulations d’attaque et formation sur les rythmes métiers effectifs, et non sur un modèle théorique de poste de travail.
Sur l’exercice étudié, 54,9 millions de courriels ont été classés comme malveillants, tandis que soixante-quatorze groupes de rançongiciel sont restés actifs. Le mécanisme dominant repose sur des messages crédibles, personnalisés et souvent enrichis par IA, combinant urgence, autorité et curiosité. Les attaquants synchronisent leurs envois avec les heures de connexion. La part relative d’attaques triple le week-end, et la nocivité augmente la nuit lorsque les courriels légitimes diminuent. Pour les équipes sécurité, cela signifie qu’une protection limitée aux heures ouvrées laisse mécaniquement des plages entières sans couverture opérationnelle.
Chaque métier expose une temporalité différente
Cette synchronisation invalide une approche purement périmétrique de la sécurité. Lorsque les messages frauduleux imitent parfaitement les formats RH, financiers ou commerciaux, les filtres syntaxiques perdent en efficacité, d’autant que l’IA améliore la crédibilité linguistique des campagnes. Mailinblack observe ainsi que 24,8 % du trafic reste constitué de courriels indésirables, créant un bruit de fond permanent qui masque les signaux faibles. Pour les équipes SOC, cela impose de compléter la protection technique par une détection comportementale et par des simulations déclenchées sur les créneaux de fatigue réelle, faute de quoi une partie significative des tentatives d’hameçonnage traverse les dispositifs sans déclencher d’alerte exploitable.Les fonctions support reçoivent en moyenne 1 210 courriels par an, dont 186 malveillants , principalement sous forme de CV, documents RH et faux RIB. Chez les utilisateurs ayant réalisé moins de cinq simulations, le taux de clic atteint 11,8 % et le taux de remplissage de formulaires frauduleux 9,6 %. Après formation, ce taux recule de 33 %. Le mécanisme repose sur la répétition de scénarios réalistes qui transforme des réflexes ponctuels en habitudes durables. Opérationnellement, cela réduit l’exposition aux rançongiciels véhiculés par pièces jointes.
Les équipes commerciales concentrent le flux le plus élevé, avec 2 468 courriels annuels dont 372 malveillants, et une sur-exposition au spearphishing. Le biais dominant reste la curiosité couplée à la réactivité métier. L’ouverture, le clic puis parfois le remplissage s’enchaînent rapidement, notamment sur les fraudes au RIB et faux bons de commande. Pour les DSI, cela impose une politique stricte sur les liens de paiement, des parcours de formation courts orientés mobilité et une gestion centralisée des accès multi-outils.
Des formations courtes, contextualisées et imposées
Dans la santé et le secteur public, l’agent de terrain reçoit environ 715 courriels par an, dont 108 malveillants. Ce profil reçoit davantage de rançongiciels que d’hameçonnage et réalise deux fois plus de conversions lorsqu’il clique sur un rançongiciel. Le biais d’autorité domine, activé par de faux messages institutionnels et des documents RH piégés. Malgré une baisse mesurable des clics après sensibilisation, la faiblesse persistante des mots de passe et le partage d’accès maintiennent un niveau de risque élevé, ce qui rend indispensables des formations courtes, contextualisées et imposées.Les dirigeants et membres de COMEX reçoivent en moyenne plus de 2 200 courriels par an, avec une forte prévalence des attaques de type Business Email Compromise. Le risque ne provient pas d’un comportement laxiste, mais de décisions prises sous pression tard le soir, souvent sur mobile ou tablette. Après formation ciblée, le taux de remplissage de formulaires frauduleux est divisé par dix. Une heure consacrée aux scénarios de validation financière et de délégation d’accès sécurise directement des dizaines de décisions sensibles.
Les biais cognitifs deviennent une surface d’attaque
Le rapport identifie quatre leviers systématiquement exploités, la curiosité, l’urgence, l’autorité et l’appât du gain. Présenter un document comme confidentiel, évoquer une suspension de compte ou imiter une consigne hiérarchique déclenche des actions impulsives. Techniquement, ces mécanismes court-circuitent les contrôles rationnels. Pour les RSSI, intégrer la psychologie des utilisateur dans les modèles de menace devient aussi critique que la surveillance du réseau.Mailinblack mesure une augmentation relative de la nocivité des attaques la nuit et le week-end, périodes durant lesquelles le volume de courriels légitimes chute tandis que les campagnes malveillantes persistent. Ce décalage mécanique améliore la visibilité des messages frauduleux et accroît leur probabilité de clic, en particulier chez les profils mobiles et les équipes en rotation. Pour les DSI et RSSI, cette réalité impose de considérer les pauses, les déplacements et les horaires décalés comme des surfaces d’attaque opérationnelles, ce qui nécessite une protection messagerie continue, des simulations déclenchées hors heures ouvrées et un renforcement des contrôles sur mobile.
Former les utilisateurs et sécuriser les accès
Mailinblack observe une corrélation directe entre entraînement en situation réelle et baisse des comportements à risque. Chez les populations les plus exposées, la répétition de scénarios réalistes réduit significativement le clic et le remplissage de formulaires frauduleux. Parallèlement, seize milliards d’identifiants ont été exposés en 2025 via des fuites successives et des maliciels de type infostealer, une partie provenant encore du stockage quasi en clair dans les navigateurs. L’adoption d’un coffre-fort chiffré et du MFA réduit immédiatement l’impact d’un clic raté, pour un coût marginal comparé à un arrêt d’activité ou à des sanctions RGPD ou NIS2.Le baromètre articule l’analyse autour d’un triptyque exposition, comportement, cyberculture, travaillé par la réduction du bruit de messagerie, par des simulations contextualisées, par la formation continue et par la sécurisation des accès. Cette approche repose sur des données d’usage réelles. « Nous ne construisons pas des produits pour un utilisateur moyen, parce qu’il n’existe pas. Nos IA apprennent à prendre des décisions adaptées à chaque utilisateur en fonction de ses particularités », explique Justine de Ubeda, Head of Product.
Sachant que les technologies de sécurité des entreprise évolue constamment, les attaquants se tournent vers des mécanismes psychologiques pour exploiter les vulnérabilités humaines plutôt que machines. Ils ne cherchent plus seulement des failles techniques, mais s’insèrent dans la temporalité et les habitudes pour passer inaperçus. Leurs attaques épousent l’organisation du travail faisant de la cybersécurité une discipline d’ingénierie des usages, car ce ne sont pas les systèmes qui cliquent, mais le commercial en déplacement, l’agent hospitalier sous pression, le RH débordé et le dirigeant pressé.
