5 milliards d’emails analysés par an : comment le Lab IA Mailinblack anticipe les attaques

La cybersécurité a beau évoluer en permanence, une réalité reste stable : l’email demeure l’un des premiers vecteurs d’attaque. Et il devient chaque année plus difficile à protéger, parce que les menaces changent de forme, de rythme et de sophistication souvent amplifiées par l’IA. 

Chez Mailinblack, nous avons fait un choix clair : construire une protection email qui ne repose pas sur un “moteur magique”, mais sur un écosystème d’innovation et un Lab IA capable de transformer la recherche en mécanismes de protection concrets, mesurables… et déployables à grande échelle. 

Notre promesse est simple : anticiper les menaces de demain et bâtir une cybersécurité de confiance, où la performance ne se fait jamais au détriment de la fiabilité, de l’expérience utilisateur, ou de la protection des données. 

Pourquoi le Lab IA existe : passer de la réaction à l’anticipation 

Les systèmes traditionnels savent bien bloquer les attaques déjà connues. Le problème, c’est tout le reste : 

• les zero-day qui n’existent pas encore dans les bases de signatures, 
• les attaques discrètes qui se cachent derrière des messages “légitimes”, 
• les campagnes plus personnalisées, automatisées et sophistiquées, parfois générées ou amplifiées par l’IA. 

C’est précisément la mission du Lab IA : concevoir et développer des modèles capables d’identifier, anticiper et contrer ces nouvelles formes d’attaque et de spam. 

Pour y arriver, le Lab explore des approches avancées de machine learning, d’analyse sémantique et de détection comportementale, avec un objectif opérationnel : augmenter en continu la capacité de détection, sans créer de bruit inutile. 

Un lab relié au produit : l’innovation utile, pas théorique 

Le Lab IA ne travaille pas “à côté” de l’équipe produit. Il travaille avec le produit, dans une logique bidirectionnelle : 

• Exploration & innovation : le Lab propose de nouveaux mécanismes d’analyse et de protection à intégrer dans la plateforme. 
• Amélioration continue : les équipes produit sollicitent le Lab pour renforcer des fonctionnalités existantes ou explorer de nouvelles pistes. 

Cette collaboration ne concerne pas que la protection email. Elle permet aussi d’améliorer des capacités de sensibilisation, comme la personnalisation de simulations d’attaque : rendre les campagnes plus réalistes et plus efficaces en s’appuyant sur l’analyse de facteurs humains (ex. biais cognitifs), tout en respectant des contraintes strictes de sécurité et de confidentialité. 

Ce qui compte, au final, c’est le résultat côté utilisateur : une protection plus précise, plus réactive, plus intelligente et une expérience qui reste fluide. 

Le quotidien du Lab : une équipe pluridisciplinaire, une méthode très “terrain” 

On imagine parfois l’IA comme une discipline de laboratoire. Dans la cybersécurité email, c’est l’inverse : tout part du terrain. 

Chaque matin : lire les signaux d’attaque comme un langage

La journée commence par l’analyse des IOAs (Indicators of Attack) détectés par nos systèmes internes. 

Les Threat Analysts examinent ces signaux, valident les règles de détection, puis les testent automatiquement en mode observation pour mesurer leur efficacité.

En parallèle, la Cyber Threat Intelligence (CTI) enrichit l’analyse : corrélation, identification de campagnes similaires, extension de la couverture de détection. 

Une fois les menaces identifiées et bloquées, l’équipe se concentre sur la suite : anticiper. 

L’étape clé : Threat Analysts + Data Scientists, même combat

C’est là que la collaboration prend toute sa valeur : heuristiques, modèles statistiques, machine learning, NLP… l’équipe explore plusieurs approches pour détecter des envois plus subtils ou émergents. 

Exemple concret (très parlant) : le spam est contextuel. 

Un email promotionnel sur des canapés peut être du spam pour un comptable… et une information utile pour un architecte d’intérieur. Or, cette information métier n’est pas disponible. L’enjeu : inférer du contexte à partir des signaux observables, tout en respectant des contraintes strictes de sécurité et de protection des données. 

Ce type de sujet ne se résout pas avec “un modèle”, mais avec : 

• l’expertise cyber (mécaniques d’attaque, stratégies de contournement), 
• l’expertise data/IA (signaux pertinents, modélisation à grande échelle), 
• et une méthode d’expérimentation rigoureuse. 

De l’idée à la prod : une chaîne industrielle (et des contraintes temps réel) 

Chaque nouvelle brique de détection suit une démarche structurée : 

1. Identifier une piste

Sources possibles : 

• nouveaux IOAs internes, 
• Threat Intelligence externe, 
• red teaming (simulations internes), 
• retours terrain clients/partenaires. 

2. Formuler une hypothèse de détection

• tâche (classification, anomalie, pattern…), 
• méthode (heuristique ou ML), 
• périmètre temporel, 
• typologie de messages. 

3. Expérimenter sur des données récentes et représentatives

Avec une logique progressive : certains mécanismes passent d’abord en mode observation (pas de décision automatique), pour mesurer leur comportement en conditions réelles. 

4. Industrialiser (vite… mais proprement)

• Les heuristiques : déploiement automatisé via LabEngine, capable de mettre en production de nouvelles règles en quelques secondes. 
• Les modèles IA : passage en production plus exigeant, car l’environnement est extrêmement contraint :  
• latence ~200 ms par email, 
• 10 millions d’emails analysés chaque jour. 

Chaque nouveau modèle implique donc un travail d’architecture et d’ingénierie avec dev, infra et DevOps, pour tenir la promesse clé en cybersécurité : le temps compte. Chaque minute gagnée réduit la fenêtre d’action des attaquants. 

La tension permanente : détecter mieux, sans casser l’usage 

En protection email, on arbitre en continu entre trois objectifs parfois contradictoires : 

• performance de détection 
• limitation des faux positifs 
• expérience utilisateur 

Certaines attaques sont “faciles” : malwares, campagnes massives, phishing évident. 

D’autres sont redoutables : attaques très ciblées, faible volume, expéditeur légitime, aucun lien, aucune pièce jointe uniquement de la manipulation psychologique. Là, les indicateurs techniques classiques sont insuffisants. 

Et, en miroir, le spam peut être subjectif. 

C’est pour cela que nos systèmes combinent moteurs experts, règles heuristiques et modèles d’IA, et sont réentraînés / ré-alimentés en continu pour suivre l’évolution des menaces. 

Chaque jour, ces mécanismes bloquent plus de 500 000 emails malveillants ou indésirables, et nos systèmes de recherche et de détection automatique traitent également 1 million de mails pour bloquer en moyenne +10 000 mails de cyberattaques supplémentaires. 

Derrière ces chiffres : un travail quotidien d’ajustement, d’analyse des résultats, d’amélioration de la qualité de tri pour protéger fort, sans perturber l’usage légitime. 

Le concret : les modèles et briques qui protègent réellement 

Nos briques d’IA analysent chaque jour des millions de messages pour détecter signaux faibles, activités suspectes et menaces émergentes. 

FAID — Fast AI Daemon

Un modèle de deep learning entraîné sur des dizaines de millions d’emails malveillants anonymisés.

Il analyse : 

• en-têtes techniques, 
• signaux expéditeur, 
• contenu en langage naturel, 
• propriétés structurelles. 

Objectif : identifier rapidement des patterns de spam ou d’activité malveillante, même quand les attaques évoluent pour contourner les règles traditionnelles. 

TITAN — Textual Interpretation for Threat Assessment Network

Un modèle deep learning basé sur Transformers et mécanismes d’attention. 

Il comprend le message “dans son ensemble” et pondère dynamiquement les éléments les plus significatifs. 

TITAN analyse notamment : 

• habitudes de réception des destinataires,
• caractéristiques textuelles et structurelles. 

Résultats notables : 

• ~15% des emails en attente bloqués, 
• ~50% des actions de blacklisting anticipées grâce à la détection prédictive de campagnes émergentes. 

SecureLink

Un modèle de machine learning dédié à la détection d’URLs de phishing. 

Il vise la détection précoce parfois avant l’apparition dans les feeds de Threat Intelligence premium. 

Avec ~78% de précision en détection précoce, SecureLink permet d’anticiper des campagnes et de protéger en amont. 

Il est réentraîné régulièrement pour intégrer de nouveaux signaux et suivre l’évolution des techniques d’attaque. 

Comment tout ça se traduit dans Protect : des briques IA en couches 

Côté produit, cette expertise se matérialise dans une chaîne de protection claire : 

• Analyse multi-signaux (authentification + réputation) : anomalies dès la réception 
• Anti-spam & scoring intelligent : tri, réduction des grey mails, précision 
• Anti-spearphishing : usurpation d’identité, incohérences expéditeur 
• Antivirus multi-moteurs : analyse emails + pièces jointes 
• Blocage prédictif : détection comportementale des emails atypiques 
• Secure Link : analyse des liens au moment du clic via Deep Learning 

L’approche est volontairement “système” : aucune brique ne suffit seule, c’est leur complémentarité qui apporte robustesse, précision et vitesse. 

Hors IA : quand l’intelligence humaine renforce la sécurité

C’est un point important : une stratégie “safe” ne repose pas uniquement sur l’automatisation. 

Deux mécanismes essentiels ne sont pas de l’IA et doivent rester visibles comme tels : 

• Demande d’authentification : barrière humaine pour vérifier des expéditeurs inconnus et réduire les erreurs 
• Bannière d’avertissement BEC : alerte visuelle sur les signaux faibles typiques de l’usurpation 

Cette complémentarité est volontaire : la meilleure sécurité, c’est celle qui réduit le risque sans déplacer la charge sur l’utilisateur, tout en l’aidant à repérer les situations à risque. 

L’équipe : qui fait quoi dans le Lab (et pourquoi ça compte) 

Le Lab ne se résume pas à des “data scientists”. La fiabilité vient justement de l’organisation : 

• Data Engineers : garantissent disponibilité, fiabilité et qualité de la donnée à grande échelle (pipelines, perf, mise en prod, exploitation). Sans eux, pas de modèles robustes en production. 
• Threat Analysts : transforment la Threat Intelligence en détection opérationnelle (IOAs, rules, intégration feeds, ajustements continus). 
• Data Scientists : détectent les signaux faibles (stats, NLP, profiling, ML), développent heuristiques et modèles, travaillent sur la réduction des faux positifs. 
• Data Analysts : font le lien entre donnée, produit et décision (performance, observabilité, insights, transparence / explicabilité). 

C’est cette chaîne complète qui rend l’IA “sérieuse” : pas un prototype, mais un système mesuré, observé, amélioré, et maintenu dans le temps. 

Conclusion : une cybersécurité fiable, souveraine, et pensée pour le réel 

Le Lab IA Mailinblack n’a pas pour vocation de “faire de l’IA”. 

Il a pour vocation à avoir un impact très concret sur nos produits. Protéger nos utilisateurs avec une approche data-driven, industrialisée, et compatible avec les exigences du terrain : temps réel, volumes massifs, précision, et respect strict des contraintes de sécurité et de protection des données. 

Et c’est aussi ce qui rend l’ensemble “safe” : une innovation encadrée par une méthode, une observabilité, une progression contrôlée (mode observation), et une complémentarité assumée entre intelligence artificielle et intelligence humaine.