Secu
150 ans après le premier appel téléphonique, la voix est devenue une surface d’attaque stratégique
Par La rédaction, publié le 24 mars 2026
Connectée aux API, aux outils métiers et aux moteurs d’IA conversationnelle, la voix ne transporte plus seulement de l’information : elle authentifie, déclenche et orchestre des actions dans le système d’information. Dans ce basculement, l’usurpation, le spoofing et l’absence de gouvernance Zero Trust transforment la téléphonie en angle mort critique de la cybersécurité.
Par Thomas Villefroy, Systems & Network Engineer chez Dstny France Entreprises
Le 10 mars 1876, Alexander Graham Bell passait le premier appel téléphonique de l’histoire. À l’époque, la technologie reposait sur une évidence : lorsqu’un téléphone sonnait, l’interlocuteur était présumé légitime.
Cent cinquante ans plus tard, ce modèle implicite de confiance est devenu obsolète.
La voix n’est plus un simple canal de communication : elle est devenue une interface directe avec le système d’information. Et pourtant, elle reste largement sous-intégrée dans les stratégies de cybersécurité.
De la conversation à l’orchestration logicielle
Dans l’entreprise contemporaine, un appel n’est plus une simple conversation : il est connecté. Il peut ouvrir un ticket dans un outil ITSM, déclencher une intervention terrain, accéder à un CRM, initier un processus automatisé, interagir avec des bases de données via API.
La téléphonie agit désormais comme une couche d’orchestration. Elle ne transporte plus seulement de l’information : elle déclenche des actions. Or, dès lors qu’un canal est capable d’initier une action métier, il devient, par définition, un point d’accès critique au SI qui doit être sécurisé avec la même rigueur qu’un accès applicatif.
Une surface d’attaque encore sous-estimée
La plupart des organisations ont investi massivement dans la sécurité des endpoints, la protection des emails ou encore l’authentification des accès applicatifs.
Mais la voix reste souvent traitée comme un flux secondaire. Cette erreur d’architecture est exploitée par le spoofing (usurpation de numéro) et l’ingénierie sociale, qui capitalisent sur la confiance historique accordée à la conversation vocale.
Le risque est démultiplié par la fragmentation des usages :
* Mobilité accrue : 75 % de la main-d’œuvre mondiale est mobile et 62 % des collaborateurs utilisent plusieurs appareils (source : Gitnox)
* Shadow IT & Shadow Voice : selon Osterman Research, 97 % des applications cloud utilisées en entreprise ne sont pas officiellement autorisées. Dans cet environnement distribué, les flux vocaux circulent sur des architectures interconnectées et souvent mal gouvernées, créant une surface d’exposition invisible mais bien réelle.
L’IA conversationnelle : un catalyseur de risques
Qualification automatique, routage intelligent, déclenchement de process… L’intégration de l’IA renforce la puissance opérationnelle mais augmente drastiquement la criticité des échanges.
Les technologies de synthèse vocale permettent des usurpations de plus en plus sophistiquées, c’est pourquoi un numéro affiché ne peut plus constituer une preuve d’identité.
La voix doit désormais être intégrée aux mécanismes d’IAM (Identity and Access Management) au même titre qu’un identifiant applicatif. Chaque interaction doit être authentifiée de manière renforcée, traçable et auditée comme n’importe quelle requête système, et gouvernée via un contrôle strict des interconnexions API.
Intégrer la voix dans une logique Zero Trust
La plupart des stratégies de cybersécurité reposent aujourd’hui sur un principe clair : ne faire confiance à aucun accès par défaut. Pourtant, la conversation téléphonique continue souvent d’échapper à cette logique.
Si un appel peut initier une action métier, il doit être traité comme une requête authentifiée. Cela implique :
* des mécanismes d’authentification renforcée des interlocuteurs,
* une gouvernance des interconnexions API vocales,
* une traçabilité systématique des interactions,
* un cloisonnement strict des environnements d’intelligence artificielle,
* une intégration explicite de la téléphonie dans les politiques Zero Trust.
La sécurisation ne peut plus porter uniquement sur les données stockées. Elle doit porter sur l’interaction elle-même.
150 ans après Bell : de la transmission à la résilience
En 1876, la question était : “peut-on transmettre la voix ?”.
En 2026, la question devient : “peut-on garantir l’intégrité, l’authenticité et la traçabilité de l’interaction ?”.
Cent cinquante ans après Bell, le téléphone n’est plus un appareil : il est devenu une véritable infrastructure logicielle interconnectée.
La voix est aujourd’hui l’un des rares canaux métiers critiques encore largement traités comme un outil de confort. Sauf que dans les faits, elle ne l’est plus. Et si elle n’est pas intégrée pleinement aux architectures de sécurité, elle risque de devenir le maillon faible d’un système pourtant renforcé ailleurs.
À LIRE AUSSI :
À LIRE AUSSI :
