Darktrace a annoncé une mise à jour majeure de Darktrace / EMAIL™, sa plateforme de sécurité des courriels basée sur l’intelligence artificielle, visant à dépasser le simple filtre antispam et à lutter contre les cyberattaques qui ne se limitent plus à la boîte de réception, mais qui se déplacent entre e-mails, identités, SaaS et outils de collaboration.

Basée à Cambridge (Royaume-Uni), la société affirme que ces avancées sont conçues pour contrer des campagnes d’ingénierie sociale de plus en plus subtiles, protéger la réputation des marques dans le canal email et réduire la charge de travail des équipes de sécurité dans des environnements multi-outils.

17 % de menaces invisibles pour le SEG… mais détectées par l’IA

Selon des données internes de Darktrace, même dans des organisations utilisant déjà des passerelles d’e-mail sécurisées (Secure Email Gateways, SEG) et d’autres couches classiques, 17 % des courriels malveillants réussissent à passer ces filtres et parviennent à l’utilisateur. C’est précisément dans cette faille que se positionne la solution basée sur l’IA de Darktrace.

Plutôt que de s’appuyer uniquement sur des signatures, des listes noires ou de simples indicateurs de malware, Darktrace / EMAIL™ utilise une IA d’auto-apprentissage qui modélise la communication normale au sein de l’organisation et pour chaque utilisateur : qui parle à qui, aux horaires, avec quel ton, quels types de pièces jointes sont usuels…

Grâce à ce contexte, la plateforme peut détecter des courriels apparemment ordinaires (par exemple, des demandes de changement de coordonnées bancaires, des instructions de paiement ou des impersonations de fournisseurs) qui présentent de petites variations dans l’expéditeur, le langage ou le moment de l’envoi. Ces attaques d’ingénierie sociale, sans payload évident, échappent souvent aux solutions traditionnelles.

Email bombing et attaques “cross-channel” : de l’inbox à Teams et au téléphone

Une autre tendance croissante selon Darktrace est le email bombing : des campagnes saturant la boîte mail avec des milliers de messages anodins pour créer un bruit de fond, détourner l’attention et ouvrir la voie à des attaques via d’autres canaux. Entre avril et juillet 2025, la société a enregistré une augmentation de 100 fois du volume de ce type d’e-mails, passant de 200 000 à plus de 20 millions de messages observés chez ses clients.

Ce patron est généralement le même : après avoir inondé la boîte de réception, l’attaquant contacte via Teams, téléphone ou autre canal, en se faisant passer pour un support IT ou un fournisseur “aidant” à résoudre le problème, obtenant ainsi un accès ou des informations sensibles.

Pour contrer ces attaques multidomaine, Darktrace a intégré une connexion renforcée entre Darktrace / EMAIL™ et Darktrace / IDENTITY™. Si un comportement suspect est détecté — comme un bombardement de courriels —, le système augmente automatiquement la sensibilité du compte concerné et renforce la surveillance des tentatives d’accès ou des mouvements anormaux liés à cette identité.

Cette logique s’étend aussi aux applications métier comme Salesforce, où Darktrace peut évaluer et agir sur des tickets issus de courriels potentiellement malveillants, permettant une réponse plus coordonnée entre email, identités et SaaS.

Par ailleurs, la société combine désormais ses analyses comportementales avec une intelligence des menaces traditionnelle (avis antivirus, flux d’informations structurés), enrichissant ses alertes de davantage de contexte pour accélérer la prise de décision dans le SOC.

Protéger la “confiance sortante” : BIMI, DMARC et DLP sans étiquettes

La menace n’entre pas toujours : de nombreuses brèches surviennent lorsque le problème sort de l’organisation. Darktrace cite l’exemple du pic de phishing exploitant le Black Friday, avec une augmentation de 1 317 % des attaques liées à cette campagne en novembre.

Dans ce contexte, la société a renforcé la protection du courrier sortant et de l’identité de marque :

• Prise en charge complète de BIMI dans Darktrace / EMAIL – DMARC
  Les organisations peuvent afficher leur logo vérifié dans la boîte de réception du destinataire, rendant leurs communications légitimes plus visibles. La plateforme peut également détecter et signaler les courriels entrants tentant de usurper cette marque, en croisant authentification (DMARC/BIMI) et signaux comportementaux.
• DLP comportemental sans étiquettes
  Darktrace rappelle que l’erreur humaine reste un facteur clé dans de nombreuses fuites internes ; ainsi, 72 % des actions des utilisateurs en incidents internes concernent l’envoi erroné ou la mauvaise gestion d’informations.
  Pour réduire ce risque, la société a développé la première DLP “sans-étiquettes” dans le courrier : un modèle de langage spécifique au domaine qui identifie automatiquement plus de 35 catégories de données personnelles et sensibles (PII et PHI) dans les courriels et pièces jointes (données personnelles, financières, santé, etc.)
  Au lieu de dépendre de politiques statiques ou d’étiquettes manuelles, le système apprend la gestion de chaque utilisateur concernant les données sensibles et intervient en cas de déviation, comme un destinataire inhabituel ou un contexte incohérent pour certaines données.

L’objectif est double : assurer qui semble envoyer le courriel (protection de la marque) et ce que l’on envoie réellement (protection des données), renforçant ainsi la confiance dans les communications sortantes.

Intégrations pour le SOC : moins de friction, plus de contexte

Consciente que les équipes de sécurité gèrent déjà un écosystème complexe d’outils, Darktrace a ajouté des intégrations destinées à réduire la friction :

• Connexion directe à Jira et ServiceNow
  Les incidents ou signalements d’utilisateurs peuvent être automatiquement transformés en tickets dans ces plateformes, respectant le flux interne et facilitant la traçabilité et la clôture.
• Analyse dans un sandbox intégré à la console
  Les analystes peuvent envoyer atttachés ou URLs dans un environnement isolé depuis l’interface Darktrace, observer leur comportement et valider rapidement si cela constitue une menace.

Ces évolutions complètent des intégrations déjà existantes, comme la connexion avec Microsoft Defender for Office 365 (gestion centralisée des quarantaines) et l’Agent d’analyse d’email pour Microsoft Security Copilot, permettant d’interroger en langage naturel le contexte de Darktrace / EMAIL lors d’enquêtes dans Copilot.

Reconnaissance sur le marché et stratégie “AI-native”

Darktrace insiste sur le fait que cette approche “AI-native” a été saluée par le marché : Darktrace / EMAIL™ a été désigné comme Leader dans le Gartner Magic Quadrant 2025 pour les plateformes de sécurité des e-mails et comme Customers’ Choice dans Gartner Peer Insights dans cette catégorie, avec des milliers de clients utilisant la solution comme couche principale ou complémentaire dans leur stratégie de protection des courriels.

Avec ces nouvelles capacités, la société vise à positionner Darktrace / EMAIL™ non seulement comme un simple filtre, mais comme une pièce maîtresse dans la détection et la réponse multidomaine, capable d’unir signaux d’e-mails, d’identités et de SaaS pour arrêter les attaques modernes avant qu’elles ne sautent d’un canal à l’autre… et avant que la confiance —dans la marque et la boîte mail— ne soit compromise.

Source : darktrace