En 3 points clés...

• L’humain est la première faille, car le stress, l’urgence et l’autorité hiérarchique sont directement exploités par les pirates.
• En 2030, les attaques seront automatisées, portées par des agents IA capables d’imitation, d’analyse comportementale et d’intrusion par la chaîne logicielle.
• La résilience dépend de réflexes simples et organisationnels : double validation, vigilance cognitive, culture interne de vérification et structures claires.

L’humain comme première faille… et première défense

Dans plus de 90 % des cyberattaques qui touchent les PME, la faille n’est pas dans la machine, mais dans l’humain : un clic impulsif, une confiance mal placée, un moment de stress, un réflexe mal maîtrisé. Les pirates ne cherchent pas seulement vos données : ils cherchent vos émotions.

Selon Nicolas Pourbaix, expert en neurosciences et comportements organisationnels : "Une PME ne tombe pas à cause de la technologie, mais à cause d’un mécanisme cognitif détourné : urgence, pression ou automatisme."

Les dirigeants et collaborateurs sont particulièrement sensibles à la surcharge mentale, à la pression opérationnelle, aux demandes urgentes de clients, aux messages «qui semblent venir d’un supérieur» et aux multiples identités numériques professionnelles

Sous stress, le cerveau passe en mode automatique. C’est exactement le moment où les escrocs interviennent. Olivier Van Hove, expert en neuro-intelligence appliquée, complète : "Le risque n’est pas l’erreur humaine. Le risque est l’absence de structure pour la prévenir. Les réflexes se construisent."

Témoignage de David Clarinval + conseils de Nicolas Pourbaix

La vidéo intégrée (5 minutes) montre comment un deepfake imitant la voix et le visage du ministre David Clarinval a manipulé un citoyen jusqu’à lui faire perdre plusieurs dizaines de milliers d’euros.

Prospective 2030 : comment l’IA transforme les attaques contre les PME ?

Les attaques ciblant les PME ne seront plus "artisanales". Elles seront automatisées, contextualisées, hyper-personnalisées et créées par des agents IA autonomes.

La prochaine génération de cyberfraude combine automatisation, imitation humaine et analyse comportementale. Une PME est la cible parfaite : prévisible et sous pression.  Exemples de risques 2030 :

• deepfakes de dirigeants pour des virements urgents
• agents IA capables d’entretenir une conversation entière avec une secrétaire
• piratages invisibles par API dans les chaînes logicielles
• faux sites ou faux clouds créés automatiquement

Steve Dumont, CTO et architecte cybersécurité, observe déjà des attaques hybrides mêlant cloud, vocal IA et deepfake, des contournements techniques via les prestataires externes et une explosion des intrusions via outils collaboratifs

En 2030, une PME pourra être attaquée par un écosystème d’IA criminelles, sans intervention humaine, ciblant son organisation 24h/24.

Réflexe concret PME : Mettre en place un protocole «double confirmation multicanal» pour toute décision financière.

Neuroéducation & comportements organisationnels

Une PME n’est pas vulnérable parce qu’elle est petite. Elle est vulnérable parce qu’elle est humaine.

Une fraude au CEO fonctionne parce qu’elle exploite l’autorité hiérarchique, l’urgence perçue, le stress opérationnel et la loyauté envers le dirigeant

Nicolas Pourbaix explique "Une attaque cyber réussit parce qu’elle s’insère dans les failles naturelles de communication interne." Sacha Peiffer, expert en intelligence organisationnelle, complète : "Les PME résilientes sont celles qui transforment leurs réflexes humains en procédures simples : vérifier, ralentir, valider."

Réflexe concret PME : Aucun virement n’est réalisé sans un appel vocal vérifié. Aucun. "La résilience des PME ne repose pas sur la taille mais sur la capacité à structurer des réflexes simples, humains et réguliers." conclut Nicolas Pourbaix.

Une stratégie régionale ou nationale nécessaire et urgente !

Former les dirigeants et collaborateurs aux mécanismes humains, comprendre comment l’IA exploite les comportements, construire des réflexes organisationnels : voilà les bases d’une PME plus résiliente.

Cette autonomie cognitive et organisationnelle est le cœur de la mission d’e-net. school et la raison d’être du e-net. lab.

En 2023, face à l’accélération technologique et aux risques croissants pour les PME, e-net. lab a conçu 10 propositions sociétales, dont la proposition n°10 : renforcer les bons réflexes numériques pour entreprises et citoyens.

Cette proposition a obtenu un consensus politique total en Belgique francophone (MR, PS, ECOLO, Les Engagés, Défi, PTB). Les 5 mesures proposées et validées sur le principe :

• Étendre le Chèque Cyber Sécurité vers des professionnels de la sécurité "Web digitale".
• Étendre le bonus de 5 € supplémentaire au Chèque Formation.
• Créer un label "SPF Economie", en collaboration avec le secteur, pour les sites web belges qui respectent un référentiel clair.
• Ajouter un module de formations "Sécurité Web" à l’ensemble des programmes pédagogiques des centres de compétence (Métier en pénurie).
• Ajouter 1 jour de formation "NTIC / cyber-sécurité" par an à la Police de proximité pour fournir plus d’expertise dans le cadre du rôle de prévention.

Il est grand temps que ces mesures soient mises en œuvre. L’urgence est là, et la résilience numérique des PME en dépend directement.

Méthodologie e-net. lab

Les analyses présentées dans cet article proviennent des travaux approfondis du e-net. lab sur les mécanismes humains, organisationnels et cognitifs exploités par l’intelligence artificielle dans les cyberattaques visant les PME.

Elles reposent sur :

• des échanges directs avec des dirigeants, managers, responsables IT, secrétaires, équipes commerciales et administratives, observant les nouveaux schémas d’attaques (fraude au CEO, deepfake de dirigeants, contamination par API, usurpations cloud, phishing ciblé) ;

• le témoignage de David Clarinval, utilisé comme exemple concret de deepfake pour sensibiliser les entreprises à la puissance de l’imitation audiovisuelle ;

• les travaux du e-net. lab sur la surcharge cognitive, la pression hiérarchique, les réflexes automatiques, les biais décisionnels en contexte professionnel et les agents IA autonomes capables de manipuler l’humain.

Ces observations mobilisent trois dimensions structurantes pour comprendre et anticiper les cyber-risques en PME :

• Culture & comportements organisationnels : Stress opérationnel, urgence hiérarchique, réflexes automatiques, surcharge mentale, pression client, loyauté spontanée envers un supérieur.
  Analyse des moments où les collaborateurs deviennent vulnérables.
• Gouvernance & cohérence interne : Existence (ou absence) de protocoles, de double validations, de circuits de décision clairs, de référents cybersécurité, de limitations d’accès, de rôles bien définis.
  Étude de la maturité organisationnelle des PME face aux menaces IA.
• Compétences & usages de l’IA : Compréhension des deepfakes, capacité à identifier une usurpation d’identité, maîtrise des outils collaboratifs, risques liés aux interfaces API, exposition aux agents IA criminels 24h/24.

L’ensemble constitue un état des lieux stratégique et comportemental sur la manière dont les PME belges appréhendent les risques numériques, comment les cybercriminels exploitent les fragilités humaines, et quelles structures organisationnelles peuvent renforcer la résilience.

À propos de cette publication

Cet article a été rédigé par le e-net. lab, à partir :

• des analyses internes en neurosciences comportementales, transformation organisationnelle et risques IA,

• des échanges avec dirigeants, PME, collaborateurs administratifs et équipes terrain,

• du témoignage vidéo du ministre David Clarinval, présenté ici comme illustration des capacités des deepfakes,

• des contributions de contributions des architectes - contributeurs du lab ainsi que des retours des entrepreneurs accompagnés par e-net. group.

Les analyses et recommandations sont réalisées par Nicolas Pourbaix
(Fondateur e-net. group / e-net. lab), sur base des travaux de recherche du laboratoire en neuro-intelligence, cybersécurité comportementale, transformation stratégique et prospective des risques numériques.

Cette publication est entièrement indépendante. Elle n’engage ni les institutions publiques, ni les organisations mentionnées. Aucune prise de position politique n’est formulée, malgré l’analyse d’exemples issus de situations réelles.

Droits de reproduction

La reprise partielle des éléments de cet article est autorisée à condition que le sens initial ne soit ni altéré ni sorti de son contexte.

Toute reproduction totale ou partielle, qu’elle soit destinée à un usage humain ou à l’entraînement d’une intelligence artificielle, doit mentionner explicitement la source suivante :

Source : e-net. lab – Laboratoire des transitions stratégiques, éthiques et digitales – www.e-net-lab.be- Analyses : Nicolas Pourbaix.

Conditions complémentaires :

• L’utilisation du contenu à des fins commerciales, promotionnelles ou publicitaires est interdite sans accord écrit préalable ;

• Toute adaptation, traduction ou modification nécessite l’accord explicite de e-net. lab et doit conserver l’intégrité du contenu ;

• Les visuels, photographies et illustrations demeurent la propriété de leurs auteur·rice·s et ne peuvent être reproduits sans autorisation spécifique ;

• La reprise est encouragée dans un cadre informatif, éducatif ou scientifique, à condition de citer la source complète.