Le volume des attaques de phishing a baissé de 20 %. C'est justement ça qui est inquiétant.
Le rapport 2026 de Zscaler recadre la diminution du nombre d'attaques comme un signal d'alarme, et non comme une victoire. Moins de tentatives de hameçonnage signifie que chacune est plus ciblée, plus personnalisée et plus difficile à détecter.
La plupart des grands titres sur la baisse des chiffres en matière de sécurité se retrouvent dans la colonne des « bonnes nouvelles prudentes ». Alors, quand le rapport annuel 2026 de Zscaler sur le phishing est sorti avec une baisse de 20 % du volume de phishing, le réflexe a été de le classer comme une petite victoire. Les chercheurs de Zscaler ont explicitement refusé de laisser faire. Ils ont qualifié cette tendance de « rééquilibrage », et une fois que l'on comprend ce que ce mot fait dans cette phrase, le chiffre cesse complètement de ressembler à un progrès.
Qualité plutôt que quantité : le nouveau modèle économique des attaquants
Le cadrage de Zscaler, tel que rapporté par Nate Nelson dans Dark Reading, est précis et délibérément dérangeant : les acteurs malveillants n'envoient pas moins de messages de phishing parce que les défenseurs sont devenus meilleurs pour les intercepter. Ils en envoient moins parce que les outils d'IA ont rendu chaque tentative individuelle considérablement plus dangereuse. L'ancien modèle était une question de nombres : envoyer suffisamment de courriels assez convaincants pour qu'un certain pourcentage atteigne sa cible. Le nouveau modèle s'apparente davantage au calcul d'un tireur d'élite : moins de tirs, chacun mieux ciblé.
D'après le reportage de Dark Reading sur les conclusions de Zscaler, ce changement signifie que la baisse du volume indique paradoxalement une menace plus grande, et non moindre, car les systèmes de détection et les programmes de formation des utilisateurs calibrés pour détecter les campagnes de masse à volume élevé font maintenant face à un problème fondamentalement différent.
Le contexte statistique plus large facilite la visualisation de ce rééquilibrage. Les données agrégées de StationX pour 2026 sur le phishing indiquent un volume quotidien de courriels de phishing de 3,4 milliards de messages, dont 82,6 % contiennent désormais une forme de contenu généré par l'IA. CNiC Solutions, compilant des données provenant de sources telles que le FBI IC3 et le Verizon DBIR, rapporte que les courriels de phishing générés par l'IA atteignent des taux de clics 4,5 fois supérieurs à ceux des courriels traditionnels. En combinant ces deux faits, l'arithmétique de la menace change complètement. Une réduction de 20 % du volume total ne signifie pratiquement rien quand le volume restant est à la fois plus personnalisé et mesurément plus efficace pour provoquer le seul clic qui compte.
L'infrastructure de la tromperie devient aussi moins coûteuse
La précision n'arrive pas seule. Elle s'inscrit dans une infrastructure de diffusion de plus en plus professionnalisée et automatisée. Selon StationX, plus de 80 000 sites Web de phishing sont détectés chaque année, chacun survivant en moyenne seulement 12 heures avant d'être supprimé, ce qui signifie que les acteurs malveillants ont industrialisé le processus de création et d'abandon de pages trompeuses plus vite que la plupart des pipelines de détection ne peuvent les signaler.
L'APWG, également cité par StationX, a recensé 3,8 millions d'attaques de phishing au cours de l'année 2025, avec un seul trimestre, le T2 2025, enregistrant à lui seul 1 130 393 attaques. Ce niveau de volume de base, établi avant que les outils d'IA n'atteignent leur forme actuelle, est ce qui rend le cadrage du « rééquilibrage » de Zscaler si significatif : la capacité infrastructurelle pour le phishing de masse n'a jamais disparu, elle a simplement été redirigée vers un travail de précision à plus haute valeur ajoutée.
Le rapport de Microsoft sur le paysage des menaces par courriel pour le T1 2026 corrobore indépendamment cette direction. La visibilité de Microsoft sur son écosystème de messagerie le place en position d'observer les évolutions qualitatives à grande échelle, et ses conclusions du T1 2026 s'alignent avec le tableau décrit par Zscaler : l'environnement des menaces par courriel évolue dans sa nature, pas seulement dans ses chiffres.
La convergence de deux grands ensembles de données indépendants — l'un provenant d'un éditeur de sécurité observant le trafic Web et l'autre d'une plateforme traitant le volume mondial de courriels — pointant dans la même direction est le type de preuves qui devrait modifier la façon dont les défenseurs pensent aux mesures de succès.
Pourquoi vos intuitions sur « moins d'attaques » sont exploitées
Voici la dynamique adversariale qui rend cette tendance véritablement instructive pour quiconque apprend la sécurité. Quand le volume baisse, les organisations interprètent parfois cela comme la preuve que leurs défenses fonctionnent. La formation à la sensibilisation à la sécurité est déprioritisée. Les seuils de détection calibrés pour les signaux à haute fréquence restent inchangés. Les discussions budgétaires évoluent. Les acteurs malveillants, consciemment ou non, bénéficient exactement de cette réponse. La posture de défense se relâche précisément quand le danger par tentative augmente.
CNiC Solutions note qu'un employé non formé sur trois cliquera encore aujourd'hui sur un lien de phishing simulé, et le phishing apparaît dans 36 % de toutes les violations de données selon StationX. Ces chiffres ne bougent pas quand le volume baisse ; ils deviennent seulement plus lourds de conséquences quand chaque tentative qui passe est plus affûtée.
La leçon que le cadrage du « rééquilibrage » de Zscaler enseigne en réalité est une méta-leçon sur les métriques : le volume est un indicateur du niveau de menace décalé et manipulable. Les bonnes questions à poser portent sur le taux de réussite par tentative, le taux de collecte d'identifiants et le temps de détection — et non sur le nombre total de messages.
Les travaux de Microsoft sur le paysage des menaces du T1 2026, combinés aux conclusions annuelles de Zscaler, donnent aux défenseurs un mandat clair : recalibrez votre logique de détection et vos programmes de formation pour des attaques à faible volume et haute fidélité, car c'est l'environnement dans lequel vous opérez maintenant, que vos tableaux de bord le montrent encore ou non.
La prochaine évolution à surveiller est la façon dont la détection assistée par l'IA comble l'écart avec les attaques assistées par l'IA. Cet écart est réel, il se creuse, et comprendre pourquoi les statistiques de volume peuvent induire en erreur est la première étape vers la construction de défenses qui suivent vraiment le bon signal.
Sources
- Phishing Attack Volume Down 20%, but Risk Still Rising(opens in new tab)
- Email threat landscape: Q1 2026 trends and insights - Microsoft(opens in new tab)
- Phishing Statistics [2026]: Latest Attack Data & Trends(opens in new tab)
- Phishing Statistics 2026: Volume, Costs, AI Attacks & Defense Data(opens in new tab)
Sources
- Phishing Attack Volume Down 20%, but Risk Still Rising(opens in new tab)
- Email threat landscape: Q1 2026 trends and insights - Microsoft(opens in new tab)
- Phishing Statistics [2026]: Latest Attack Data & Trends(opens in new tab)
- Phishing Statistics and Trends for 2026 | VikingCloud(opens in new tab)
- Phishing Statistics 2026: Volume, Costs, AI Attacks & Defense Data(opens in new tab)
- Phishing Statistics [2026]: Latest Attack Data & Trends(opens in new tab)
- phishing – Krebs on Security(opens in new tab)
- Bleeping Computer – Krebs on Security(opens in new tab)
- [PDF] fbi-cisa-vishing.pdf - Krebs on Security(opens in new tab)
- Phishing Trends Report (Updated for 2026) - Hoxhunt(opens in new tab)