En novembre 2025, dans l’Est de la France, un responsable financier reçoit un e-mail de sa direction. Ton familier, contexte précis, aucune faute. Il effectue le virement. L’e-mail avait été généré en quelques secondes par un LLM entraîné sur les communications publiques de l’entreprise. Le CERT-FR documente ce type d’incident comme une tendance lourde, pas comme un cas isolé. Ce qui a changé depuis 2022, ce n’est pas le nombre d’attaques — c’est leur niveau de crédibilité. L’IA générative a rendu le phishing chirurgical, automatisable à grande échelle, et accessible à des attaquants sans compétences techniques avancées.