Les pertes liées aux incidents de sécurité dans l’écosystème Web3 ont atteint 482 millions de dollars au premier trimestre 2026, dont 63 % — soit environ 306 millions — imputables au phishing et à l’ingénierie sociale, selon un rapport de la plateforme Hacken relayé par la presse indonésienne. Parallèlement, Microsoft Threat Intelligence enregistre une augmentation de 146 % du volume des attaques par QR phishing entre janvier et mars, passant de 7,6 à 18,7 millions de tentatives. Ces chiffres dessinent un basculement : les cybercriminels ciblent désormais moins les failles des systèmes que la vulnérabilité des utilisateurs, en s’appuyant sur des messages de plus en plus sophistiqués, parfois générés par intelligence artificielle, pour usurper l’identité de services clients ou d’institutions officielles.

Ce phénomène ne se limite pas aux cryptoactifs. En Iran, la police cybernétique met en garde contre une prolifération de SMS frauduleux imitant des organismes publics — justice, subventions, cartes de carburant — et incitant au téléchargement de logiciels malveillants qui prennent le contrôle des comptes bancaires et des messageries. Les thèmes s’adaptent à l’actualité, comme les paris liés à la Coupe du monde de football, et les escrocs exploitent la confiance des victimes pour étendre l’arnaque à leurs contacts. Les autorités iraniennes rappellent que les banques ne bloquent pas les comptes sans décision judiciaire et que les URL suspectes, notamment en .shop, .biz ou .xyz, doivent alerter.

Face à cette menace diffuse, l’Union européenne a choisi la voie réglementaire. La vice-présidente exécutive de la Commission chargée de la souveraineté technologique, Henna Virkkunen, a détaillé à Milan, lors de la World Tech Conference, les deux piliers du paquet sur la souveraineté numérique : une loi sur le développement de l’intelligence artificielle et du cloud, et un « Chips Act 2.0 ». Le Cyber Resilience Act, entré en vigueur en septembre 2026 pour ses obligations documentaires, impose aux fabricants d’objets connectés une sécurité dès la conception, des mises à jour sur cinq ans et un signalement des incidents sous 72 heures, sous peine d’amendes pouvant atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial. Pour les services cloud utilisés par les gouvernements dans les secteurs sensibles — défense, sécurité, forces de l’ordre —, Bruxelles exige désormais un niveau élevé de souveraineté et une évaluation des risques, afin d’éviter toute dépendance susceptible d’activer un « coupe-circuit » sur des infrastructures critiques.

Du côté des industriels, cette contrainte est présentée comme un avantage compétitif structurel. Présent au MWC IoT Summit de Shanghai, le fournisseur de solutions eSIM Kigen a souligné que la conformité au Cyber Resilience Act, dont le coût moyen est estimé à 100 000 euros par ligne de produit, devient une condition d’accès au marché européen pour plus de 90 % des objets connectés. L’entreprise, qui a elle-même corrigé en 72 heures une vulnérabilité critique dans ses infrastructures et partagé le correctif sans restriction, plaide pour une sécurité administrée à distance et interopérable à l’échelle mondiale. La prochaine échéance à surveiller est la clôture, le 23 juillet, de la consultation publique sur les lignes directrices définissant les cas d’usage à haut risque de l’IA, qui précisera le champ d’application de la législation européenne sur l’intelligence artificielle.