Qu'est-ce que le phishing ou hameçonnage ?

Le phishing, ou hameçonnage, est une escroquerie en ligne courante qui consiste à usurper l’identité d’une entité de confiance (banque, fournisseur, administration…) afin de tromper la victime et lui dérober des informations sensibles.

Le phishing représente aujourd’hui l’un des principaux vecteurs d’attaque sur Internet. La technique est utilisée à grande échelle par les cybercriminels du monde entier. Au 1ᵉʳ trimestre 2025, l’Anti-Phishing Working Group a ainsi observé 1 003 924 attaques de phishing, soit la plus forte volumétrie trimestrielle depuis fin 2023.

Cela confirme que l’hameçonnage reste un mode d’intrusion privilégié des attaquants : le rapport Verizon DBIR 2025 a montré que le phishing constituait le point d’accès initial dans 15 % des compromissions de données analysées, sans compter que de nombreux vols d’identifiants (22 % des cas) découlent eux-mêmes d’une attaque de phishing réussie.

Autrement dit, piéger un utilisateur par hameçonnage permet souvent au pirate de s’infiltrer dans le système d’information et de faciliter d’autres attaques plus approfondies. Les entreprises comme les particuliers sont donc directement menacés par ce type d’attaques par e-mail ou messages piégés, d’autant que les campagnes d’hameçonnage se professionnalisent et se multiplient à un rythme soutenu.

Quels sont les différents types d’attaques de phishing ?

Le phishing peut prendre plusieurs formes selon le vecteur de communication utilisé ou la cible visée :

Phishing par e-mail

L’email d’hameçonnage est le plus répandu. La grande majorité des campagnes d’hameçonnage transitent par courriel. Le pirate envoie un mail frauduleux qui imite l’apparence d’une entreprise légitime (logo, en-tête, ton professionnel) afin de paraître crédible. Il peut vous demander de « mettre à jour vos informations de compte » via un lien, de « vérifier un paiement » ou de « télécharger un document important ». 

En réalité, le lien dirige vers un site imitant l’officiel mais conçu pour voler vos identifiants, ou la pièce jointe contient un logiciel malveillant. Les attaques par e-mail peuvent être massives (envoyées à des milliers de personnes) ou ciblées sur une organisation spécifique.

Par exemple, une IA peut créer un message professionnel proposant une fausse carte-cadeau, sans fautes ni maladresses, et imitant parfaitement le ton d’un service légitime.

Smishing (phishing par SMS)

Ici, l’attaquant envoie un SMS suspect sur votre téléphone. Le message usurpe souvent un service connu (banque, opérateur mobile, livraison…) et contient un lien court vers un site frauduleux. Par exemple, « Votre compte bancaire a été bloqué, cliquez ici pour le débloquer » ou « Colis en attente, veuillez régler 1€ via ce lien ». 

Le SMS peut provenir d’un numéro de portable banal ou d’un expéditeur se faisant passer pour « InfoBANK » par exemple. 

Vishing (phishing vocal par appel téléphonique)

Le phishing par appel téléphonique, ou vishing, consiste à appeler la victime en se faisant passer pour un agent de support, un technicien ou un conseiller bancaire. L’escroc use de ruse et d’usurpation d’identité (parfois le numéro affiché peut imiter celui de votre banque) pour vous extorquer des informations sensibles.

Par exemple, il prétend appeler du service fraude de votre banque et vous demande de confirmer un code reçu par SMS ou de fournir vos identifiants pour « vérification ». En réalité, il cherche à contourner votre authentification multifactorielle ou à réaliser une opération frauduleuse sur votre compte.

Ce type d’appel frauduleux est en hausse d’environ 30 % des entreprises ont signalé des tentatives de vishing récemment.

Spear-phishing (hameçonnage ciblé) :

Il s’agit d’un phishing ciblé sur une personne ou une organisation spécifique. Au lieu d’un message générique, l’attaquant personnalise son contenu avec des informations précises sur vous (nom, poste, relation professionnelle…) afin de gagner votre confiance. Ce type d’attaque ciblée peut viser par exemple un cadre supérieur.

On parle alors parfois de whaling (harponnage de « gros poisson ») ou de fraude au président lorsqu’un fraudeur se fait passer pour le PDG et ordonne un virement urgent. Le spear-phishing est souvent plus difficile à détecter car le message semble cohérent avec votre contexte. Par exemple, vous pourriez recevoir un mail prétendument envoyé par un collègue ou un partenaire connu, avec un objet en lien avec un projet en cours, mais contenant une pièce jointe malveillante ou un lien piégé.

Quishing (phishing par QR code)

Les QR codes sont ces images carrées à scanner avec un smartphone. Désormais, les pirates les utilisent aussi pour le phishing. Un QR code peut être placé sur une affiche ou envoyé par mail, renvoyant la victime vers un site web frauduleux. Cette technique appelée quishing a gagné en popularité (+25 % d’attaques en un an), car elle permet parfois de contourner les filtres de sécurité (le code dissimule le lien malveillant). 

Par exemple, un email peut vous dire « Pour des raisons de sécurité, veuillez scanner ce QR code pour vérifier votre compte ». En le scannant, vous ouvrez une page piégée. Traitez un QR code comme un lien : avec méfiance si vous ne connaissez pas la source. Des millions de courriers de phishing intégrant des QR codes sont désormais envoyés chaque jour.

Phishing via les réseaux sociaux ou messageries

Les escrocs opèrent aussi sur Facebook, WhatsApp, LinkedIn, etc. Ils peuvent vous envoyer un message privé en prétendant être un ami, un contact pro ou un support technique, et incitent à cliquer sur un lien. 

Par exemple, un message Messenger « Bonjour, regarde cette photo de toi ! » accompagné d’un lien (vers un site qui vous vole vos identifiants Facebook), ou un message LinkedIn d’un recruteur factice qui propose de télécharger une offre d’emploi piégée. Ces attaques multi-canaux se multiplient (environ 40 % des campagnes de phishing exploitent désormais d’autres canaux qu’email).

Comment reconnaître une tentative d’hameçonnage ?

Apprendre à repérer les signaux d’alerte d’un phishing est essentiel pour ne pas tomber dans le piège. Un message frauduleux peut parfois être très ressemblant à un vrai, mais en examinant attentivement quelques éléments, on peut souvent déceler l’arnaque. Voici les principaux indices qui doivent vous mettre la puce à l’oreille :

Expéditeur et adresse email étranges

Vérifiez toujours l’adresse email de l’expéditeur. Souvent, le nom affiché peut paraître légitime, mais l’adresse réelle est bizarre ou n’appartient pas au domaine officiel de l’organisation. Si l’adresse ne correspond pas exactement à l’entité revendiquée, ou contient des fautes/spécificités inhabituelles, c’est probablement un mail frauduleux. De même, méfiez-vous des SMS envoyés depuis des numéros courts inconnus ou des adresses email no-reply suspectes.

Objet ou contenu trop alléchant ou alarmiste

Les phishings cherchent à provoquer une réaction immédiate. Un objet de message du type « URGENT : Problème sur votre compte » ou « Vous avez gagné un remboursement ! » est conçu pour vous affoler ou vous appâter. De même, le corps du message contient souvent des formules pressantes (« action immédiate requise », « dernière chance ») ou des promesses incroyables (cadeau gratuit, gain inattendu). Soyez vigilant : une offre trop belle pour être vraie ou une menace de perte d’accès inattendue sont des classiques du phishing pour vous pousser à cliquer sans réfléchir.

Message non personnalisé ou maladroit

Un email officiel qui commence par « Cher client » sans mentionner votre nom, ou un SMS de banque qui ne cite pas vos références, c’est louche. Les faux messages envoyés en masse sont généralement génériques. De nombreuses fautes d’orthographe ou de grammaire, un style inhabituel, des phrases traduites approximativement sont autant de signes d’une tentative d’hameçonnage (même si les attaquants s’améliorent sur ce point avec le temps). Un français approximatif dans un message censé venir d’une entreprise française doit vous alerter.

Liens URL douteux

Si l’URL complète ne correspond pas exactement au site officiel annoncé, ou contient des erreurs subtiles, c’est un lien frauduleux qui mènera vers un site contrefait. Parfois un caractère ou une extension de domaine (.net au lieu de .fr) diffère. De plus, la présence du cadenas HTTPS n’est plus un gage absolu : environ 80 % des sites de phishing utilisent désormais le HTTPS pour paraître légitimes. Un site peut donc afficher le cadenas tout en étant malveillant, si le certificat a été obtenu par l’attaquant. Restez donc attentif à l’URL elle-même.

Pièce jointe inattendue

Méfiez-vous des fichiers joints provenant d’un expéditeur inconnu (ou même d’un connu si vous ne l’attendiez pas). Les attachements malveillants sont un vecteur courant d’infection par malware. Un fichier Word ou PDF qui vous demande « d’activer les macros », une archive (.zip) protégée par un mot de passe donné dans le mail, ou tout fichier exécutable (.exe, .bat) sont très suspects.

N’ouvrez jamais une pièce jointe dont vous n’êtes pas sûr. En cas de doute, faites la vérifier par votre service informatique avec un antivirus à jour. Un simple clic pourrait suffire à installer un virus informatique qui compromettrait votre système.

Demande d’informations confidentielles

Alertez-vous immédiatement si un message vous réclame des données personnelles sensibles (mots de passe, code de vérification, numéro de carte bancaire, numéro de sécurité sociale…). 

Aucune entité légitime ne vous demandera jamais de communiquer vos codes d’accès ou informations bancaires par email ou SMS. Les banques, administrations et services sérieux procèdent via des canaux sécurisés (espace client officiel, téléphone sur initiative de votre part, rendez-vous en personne). Si on vous demande ce type d’information par écrit, c’est quasiment toujours une tentative d’escroquerie. Ne fournissez rien et signalez le message.

Quels peuvent être les impacts d’une attaque de phishing ou hameçonnage sur votre structure ?

Une attaque de phishing réussie peut avoir des conséquences graves pour une entreprise (et pour un particulier également). Les impacts se mesurent en pertes financières, en compromission de données, mais aussi en atteinte à la réputation et en stress organisationnel.

Pertes financières directes

L’objectif final des pirates est souvent l’argent. S’ils parviennent à récupérer vos identifiants bancaires ou à faire réaliser un virement frauduleux, les sommes envolées peuvent être importantes. 

En 2024, 64 % des entreprises ont rapporté avoir été visées par un BEC, avec une perte financière moyenne de 150 000 $ par incident Ce type d’escroquerie par phishing ciblé peut vider les comptes en banque ou causer des préjudices financiers énormes en un seul clic. 

Même pour des particuliers, se faire dérober ses identifiants de paiement peut conduire à des prélèvements frauduleux et des comptes vidés. Outre le vol d’argent, il faut aussi considérer le coût de la remise en état après coup : enquêtes, consultants en sécurité, renforcement des mesures, etc., qui représentent des dépenses importantes non prévues.

Compromission de données et dégâts indirects

Au-delà de l’argent, un phishing peut conduire à une violation de données sensibles. Si un employé divulgue par mégarde ses mots de passe, les attaquants peuvent accéder aux systèmes de l’entreprise et voler des données confidentielles (fichiers clients, projets, secrets industriels). 

Ces données peuvent être revendues sur le dark web ou utilisées pour faire du chantage. L’exposition de données personnelles de clients peut entraîner des sanctions réglementaires (RGPD) et entamer la confiance des partenaires. L’usurpation d’accès permet aux intrus de se déplacer latéralement dans le réseau, d’installer d’autres malware ou de préparer une attaque plus destructrice. 

On observe d’ailleurs une convergence du phishing avec les ransomwares : de plus en plus de campagnes d’hameçonnage servent à déployer un rançongiciel une fois que le pirate a obtenu une première brèche. Plus de la moitié des infections par ransomware (54 %) seraient causées à l’origine par du phishing qui a permis aux criminels d’entrer dans le système.

Les dégâts deviennent alors exponentiels : chiffre d’affaires bloqué, rançon éventuellement demandée, coûts de restauration des systèmes, etc. En 2024, le coût moyen d’une fuite de données suite à une attaque de phishing était estimé à 4,88 millions de dollars pour une organisation. Cela englobe la réponse à l’incident, la remise en service, les pertes d’exploitation et l’impact sur la réputation. Ce chiffre illustre à quel point un simple clic peut engendrer des coûts colossaux.

Atteinte à la réputation et confiance

Si l’attaque devient publique (ce qui est probable en cas de fuite de données clients), l’image de l’entreprise en pâtit. Les clients se sentent trahis, les partenaires doutent de la fiabilité de vos systèmes, et il faut souvent des années pour reconstruire la confiance perdue.

Une campagne de phishing où l’attaquant se fait passer pour votre société afin d’escroquer des tiers peut également ternir votre nom malgré vous. De plus, les hackers peuvent utiliser les accès volés pour commettre des actes malveillants en se faisant passer pour vous (envoyer du spam depuis un compte email compromis, publier de faux messages au nom de la société), ce qui peut causer un préjudice d’image durable.

Stress et impact psychologique sur les équipes

En interne, subir une attaque de phishing crée un climat de stress et de suspicion. L’employé qui a cliqué sur le lien piégé peut se sentir coupable et perdre confiance en lui. Ses collègues réalisent que l’attaque aurait pu toucher n’importe qui, ce qui génère de l’inquiétude : « Et si je me faisais avoir la prochaine fois ? ».

La sérénité au travail peut en prendre un coup, surtout si l’entreprise ne réagit pas de manière adéquate. Lorsque des données personnelles de clients ou collaborateurs sont compromises, cela peut porter atteinte à la vie privée et au moral de chacun. Il n’est pas rare de voir une panique initiale à l’annonce de l’attaque, suivie d’une période de méfiance généralisée où chaque email est perçu comme une menace potentielle.

Cet aspect humain est à prendre au sérieux : la cybermalveillance affecte des personnes bien réelles derrière les écrans, et le phishing joue justement sur les émotions (la peur, la panique, la cupidité) pour réussir. En sensibilisant et en formant régulièrement vos équipes, vous pouvez toutefois transformer cette peur en vigilance constructive…

Tableau récapitulatif des impacts potentiel d’une attaque d’hameçonnage

Quelles sont les motivations des cybercriminels derrière le phishing ?

Pourquoi les pirates informatiques recourent-ils autant au phishing ? Essentiellement parce que cette méthode offre un fort retour sur investissement criminel pour un effort relativement faible. Voici les principales motivations des hackers lorsqu’ils orchestrent des campagnes d’hameçonnage :

Vol de données personnelles et revente

Les données volées constituent une véritable monnaie d’échange sur le dark web. Les informations privées que vous communiquez (numéros de carte bancaire, identifiants de comptes, numéros de sécurité sociale, adresses, etc.) peuvent être revendues à d’autres malfaiteurs. 

Un lot de milliers d’adresses email avec leurs mots de passe ou des bases de données clients piratées se monnayent très bien dans les forums clandestins. Ces données peuvent ensuite servir à d’autres arnaques en ligne, usurpations ou tentatives de fraude à grande échelle. En volant des mots de passe, les cybercriminels peuvent aussi accéder à vos autres comptes si vous les réutilisez, et ainsi agrandir encore leur butin. Vos données personnelles sont en somme des avoirs précieux qu’ils peuvent exploiter ou vendre pour en tirer profit.

Usurpation d’identité et fraudes

Les informations récoltées via phishing peuvent permettre une usurpation d’identité. Avec vos données d’identité ou vos accès, un criminel peut ouvrir des lignes de crédit à votre nom, contracter des prêts, ou se faire passer pour vous auprès d’autres victimes.

L’usurpation peut servir à monter des escroqueries complexes comme la fraude au président : en se faisant passer pour un dirigeant, l’escroc ordonne un virement important au service comptable. Le phishing par clone est une autre méthode : le pirate reproduit un email légitime déjà envoyé (par exemple une facture régulière) en changeant juste le RIB ou un lien de paiement pour détourner l’argent. L’usurpation d’identité peut aussi viser les particuliers (ouvrir une ligne téléphonique, usurper votre profil sur un réseau social pour arnaquer vos amis, etc.).

Extorsion et ransomwares

Derrière certaines attaques de phishing se cache une volonté d’extorsion. Un hacker peut voler des données confidentielles (mails internes compromettants, données clients sensibles) puis menacer l’entreprise de les divulguer publiquement si une rançon n’est pas payée c’est le principe du chantage numérique. 

De même, les campagnes de phishing sont fréquemment utilisées pour déployer des rançongiciels : on envoie un mail piégé, un employé clique, et le malware chiffre tous les fichiers de l’entreprise en réclamant une rançon. Ce type d’attaque double (exfiltration de données + chiffrement) est de plus en plus courant. 

L’extorsion peut également cibler des particuliers : on a vu des campagnes de phishing prétendant détenir des vidéos intimes de la victime obtenues via son ordinateur et demandant de payer pour ne pas les diffuser (alors même qu’aucune vidéo n’existe. C’est de l’intimidation basée sur des données partiellement vraies). L’objectif reste d’obtenir de l’argent via la peur et la contrainte.

Sabotage ou atteinte à la réputation

Plus rares sont les motivations non financières, mais elles existent. Certains groupes peuvent utiliser le phishing dans une optique de sabotage (par exemple des hacktivistes, des concurrents malveillants ou des États-nations cherchant à espionner). En volant des données et en les publiant, ils peuvent affaiblir la réputation d’une entreprise ou d’une institution. 

Une campagne d’hameçonnage réussie peut ainsi servir à divulguer des informations confidentielles pour semer la défiance ou nuire stratégiquement à la cible. Ce fut le cas dans quelques affaires médiatisées où des emails internes volés via phishing ont été publiés pour décrédibiliser une organisation. Si cette motivation est moins répandue que la recherche du gain financier, ses conséquences n’en sont pas moins destructrices pour la victime qui subit une crise de réputation.

Vol d’argent et informations bancaires

Bien sûr, l’attrait le plus évident reste le vol d’argent. Les identifiants de comptes bancaires, de cartes de crédit ou d’accès à PayPal sont parmi les données les plus recherchées. Une fois en possession de vos informations bancaires, l’escroc peut effectuer des achats en ligne, des virements vers l’étranger ou revendre ces accès à des réseaux criminels spécialisés. Il peut aussi utiliser votre carte pour de la fraude (jusqu’à ce que vous fassiez opposition). 

Dans certains cas, le phishing vise directement à vous faire effectuer vous-même un paiement vers le cybercriminel : c’est l’arnaque au faux support technique par exemple, où un message vous fait croire à un virus sur votre ordinateur et vous incite à appeler un faux assistance qui vous fera payer pour un service inexistant. L’escroquerie en ligne prend ici la forme d’une facture légitime mais c’est une arnaque pure et simple. En outre, comme mentionné, les accès bancaires volés peuvent être vendus à d’autres criminels, ce qui alimente un véritable marché noir des identifiants volés.

En septembre 2025, Microsoft a démantelé un réseau de phishing industriel nommé Raccoon0365. Ce service, opéré depuis le Nigeria via un canal Telegram privé d’environ 850 abonnés, proposait à ses clients de lancer des campagnes d’hameçonnage à grande échelle en usurpant l’image de Microsoft pour voler des identifiants. L’opération a permis de saisir 338 sites web utilisés par cette plateforme et a révélé que plus de 5 000 comptes Microsoft avaient été compromis via ce service en quelques mois. Les opérateurs de Raccoon0365 auraient empoché plus de 100 000 $ en crypto-monnaie grâce à ce business criminel florissant.

Que faire en cas de phishing ou d’hameçonnage ?

Malgré toute votre vigilance, il peut arriver que vous receviez un message qui vous paraît suspect, ou pire, que vous ayez cliqué sur un lien frauduleux avant de réaliser qu’il s’agissait d’un phishing. Pas de panique : voici les bons réflexes à adopter immédiatement en cas de tentative d’hameçonnage avérée ou supposée :

Ne pas répondre ni cliquer dans le doute

Si vous suspectez un mail/SMS d’être frauduleux, ne cliquez sur aucun lien, n’ouvrez pas les pièces jointes et ne répondez pas aux sollicitations. Tant que vous n’avez pas agi, vous n’avez pas compromis vos informations. Prenez le temps de réfléchir et de vérifier (par les moyens décrits ci-dessous) avant d’interagir davantage avec le message. Supprimer le message immédiatement peut sembler tentant, mais conservez-le encore un moment car il peut servir de preuve.

Vérifier la légitimité via une source officielle

Contactez directement l’entité supposée émettrice du message par un moyen indépendant. Si vous recevez un email de votre “banque” vous demandant quelque chose de suspect, appelez le numéro officiel de votre agence ou connectez-vous en tapant vous-même l’adresse de votre banque dans le navigateur pour voir si une notification vous y attend.

Souvent, une simple vérification auprès de l’organisme réel permet de confirmer qu’il s’agissait d’un phishing (puisque la banque vous dira que non, votre compte n’a aucun problème).

Isoler l’ordinateur si vous avez cliqué

Si par malchance vous avez cliqué sur un lien douteux ou téléchargé une pièce jointe avant de réaliser la fraude, déconnectez votre appareil du réseau (Wi-Fi/ethernet) pour éviter une propagation potentielle du malware. Ne saisissez plus aucun mot de passe tant que vous n’avez pas clarifié la situation, car un keylogger pourrait les enregistrer. Ensuite, exécutez une analyse complète avec un antivirus à jour afin de détecter et supprimer toute éventuelle infection. Si un logiciel malveillant est détecté, suivez les instructions de mise en quarantaine/suppression. 

Modifier d’urgence les mots de passe compromis

Si vous avez, par inadvertance, entré vos identifiants sur un site de phishing (par exemple vos codes de messagerie ou d’espace client), il faut considérer que ces mots de passe sont compromis. Changez-les sans tarder depuis le site officiel légitime ou l’application dédiée, et activez l’authentification multifactorielle si ce n’est pas déjà fait (pour empêcher le pirate d’utiliser vos identifiants seuls). Assurez-vous de changer également tous les autres comptes où vous auriez réutilisé ce même mot de passe, car les attaquants essayent souvent les identifiants volés sur d’autres services (“credential stuffing”). Utilisez de préférence un mot de passe unique et fort par compte, idéalement géré par un coffre-fort de mots de passe.

Faire opposition et surveiller ses comptes

Si vous avez transmis des informations bancaires (numéro de carte, IBAN…) ou si vous constatez des mouvements suspects sur vos comptes suite à un phishing, contactez immédiatement votre banque. Faites opposition sur la carte compromise pour éviter des débits frauduleux. 

Expliquez la situation à votre conseiller afin de surveiller d’éventuelles transactions non autorisées. En parallèle, surveillez de près vos relevés bancaires dans les semaines qui suivent. Parfois les fraudeurs attendent un peu que l’alerte retombe avant d’utiliser les données, donc restez vigilant sur la durée. Si de l’argent a déjà été volé, déposez une plainte pour faire valoir vos droits auprès de la banque et des assurances.

Conserver les preuves de l’attaque

Ne supprimez pas immédiatement le message frauduleux, même s’il vous dégoûte. Sauvegardez-le (email) ou faites des captures d’écran (SMS de phishing, pages web) car ces éléments pourront servir de preuve pour d’éventuelles démarches (plainte, signalement). 

Notez la date et l’heure de réception, l’adresse de l’expéditeur, le contenu du message et l’URL du site frauduleux le cas échéant. Chaque détail peut être utile aux enquêteurs pour remonter la piste des escrocs. En entreprise, centralisez ces informations et transmettez-les à votre équipe sécurité ou prestataire cyber.

Signaler l’attaque aux autorités compétentes

Signaler une tentative de phishing permet de bloquer plus rapidement les campagnes en cours et de protéger d’autres victimes potentielles.

• En France, vous pouvez déclarer un mail ou un site frauduleux directement sur le site de l’état : Signalement.gouv
• La plateforme phishing-initiative.fr, projet associatif soutenu par l’État, collecte et transmet également les URL de phishing pour les faire bloquer.
  
• Vous pouvez transférer les emails frauduleux à l’adresse internationale dédiée : reportphishing@apwg.org.
  
• Pour les SMS frauduleux, transférez-les gratuitement au 33700 (service officiel de signalement des spams vocaux et SMS).

Si vos données personnelles ont été compromises ou si vous avez subi une perte financière, déposez plainte en gendarmerie ou au commissariat. Ce dépôt est indispensable pour engager une enquête, obtenir un éventuel remboursement bancaire et faire valoir vos droits en justice.

Chaque signalement contribue à la lutte collective contre la cybermalveillance et peut aider à remonter jusqu’aux auteurs.

Se faire accompagner et sensibiliser ses équipes

En cas de phishing, n’agissez pas seul. Si vous êtes une entreprise, contactez votre prestataire cybersécurité ou l’ANSSI / CERT-FR en cas d’incident grave, afin d’être guidé dans la réponse.

Les particuliers et les PME peuvent obtenir une assistance personnalisée via Cybermalveillance.gouv.fr, qui propose des fiches pratiques et met en relation avec des spécialistes proches de chez vous.

Vous pouvez aussi appeler le numéro gratuit Info Escroqueries au 0 805 805 817, qui informe sur les démarches à suivre après une cyberattaque.

Après l’incident, transformez l’expérience en apprentissage collectif : diffusez l’exemple du mail frauduleux en interne, renforcez la sensibilisation au phishing et encouragez la remontée immédiate de tout message suspect à la DSI. Soutenez les collaborateurs touchés, car la victime n’est pas responsable, seul l’attaquant l’est.

Comment se protéger du phishing de manière proactive ?

La prévention du phishing repose sur une stratégie à plusieurs niveaux visant à sécuriser les systèmes tout en éduquant les utilisateurs. Voici quelques axes clés pour renforcer votre protection contre le phishing :

Renforcer la sécurité des emails et filtrer les spams

Équipez-vous d’un bon filtrage anti-phishing au niveau de la messagerie. Des solutions de sécurité email avancées permettent de détecter les liens frauduleux, de bloquer les pièces jointes malicieuses et de filtrer les expéditeurs usurpés.

Utilisez les standards d’authentification des emails (DMARC, SPF, DKIM) pour limiter l’usurpation de domaine de votre organisation, ce qui protège vos clients et employés des faux messages à votre nom.

Un filtre antispam performant supprimera déjà une grande partie des tentatives avant qu’elles n’atteignent les utilisateurs, mais gardez en tête qu’aucun filtre n’est infaillible à 100 %. Les attaquants innovent sans cesse pour déjouer les filtres (emails légitimes compromis, envoi depuis de nouvelles adresses, utilisation d’images ou de fichiers HTML pour camoufler le contenu malveillant, etc.).

Mettre à jour et protéger les postes de travail

En maintenant un environnement à jour, vous éliminez ces vulnérabilités exploitables. Les suites de sécurité modernes proposent souvent une analyse des emails et sites web en temps réel : elles peuvent alerter l’utilisateur s’il clique sur un lien menant vers un site malveillant connu, ou bloquer l’exécution d’une charge virale.

Sur les smartphones et tablettes, ne négligez pas non plus les mises à jour iOS/Android et méfiez-vous du téléchargement d’applications depuis des sources non officielles. Ces bonnes pratiques réduisent la surface d’attaque exploitable par un phishing.

Déployer l’authentification multifactorielle (MFA) partout

La MFA, ou authentification à deux facteurs, ajoute une couche de sécurité pour l’accès aux comptes : en plus du mot de passe, un second facteur (code temporaire, empreinte digitale, clé physique…) est requis. Ainsi, même si un mot de passe est volé via phishing, le compte reste difficile à compromettre sans le second facteur. Il est donc vivement recommandé d’activer la MFA sur tous les comptes critiques (messagerie, VPN, outils cloud, réseaux sociaux…).

De nombreux services proposent l’option via une appli d’authentification (Google Authenticator, Microsoft Authenticator…) ou par SMS (moins sécurisé, mais mieux que rien). Privilégiez les méthodes sans SMS si possible (application ou clé U2F) car des attaquants astucieux peuvent parfois contourner le SMS (attaques SIM swap ou demandes insistantes de code). Certes, on a vu des cas où la MFA elle-même a été contournée (phishing qui demande aussi le code OTP en temps réel, vol de cookies de session après authentification réussie, etc.), mais cela demande une certaine sophistication.

Dans la très grande majorité des cas, la MFA bloque net l’attaquant opportuniste. C’est donc une mesure de protection des informations et des comptes indispensable aujourd’hui.

Établir des procédures internes claires 

Mettez en place des politiques de sécurité concernant les communications et transactions sensibles. Par exemple, définissez qu’aucune demande de paiement urgente ne sera jamais faite uniquement par email sans validation verbale ; ou qu’aucun changement de RIB fournisseur ne sera entériné sans une confirmation par téléphone.

Instituez la règle de la vérification par un second canal pour toute requête sortant de l’ordinaire. Si vos employés savent qu’une demande d’informations confidentielles par email est anormale par politique interne, ils seront plus enclins à la repérer.

Prévoyez un plan de réponse en cas de phishing : à qui le signaler, quelles actions immédiates prendre (déconnecter le poste, etc.), qui contacter (RSSI, DSI, prestataire). Plus vos procédures seront rodées, plus votre réaction sera prompte et efficace le jour J, ce qui limite l’impact. Faites régulièrement des exercices de mise en situation (par exemple : « que ferions-nous si le comptable payait une fausse facture ? ») pour identifier les failles organisationnelles et les combler.

Surveiller les fuites d’identifiants et activités suspectes

Mettez en place une veille de sécurité pour détecter tôt les signes d’attaque. Ainsi, si un employé s’est fait phisher son mot de passe, vous le saurez rapidement et pourrez imposer un changement global. De même, implémentez des alertes sur les connexions suspectes (tentative de login depuis un pays inhabituel, en dehors des horaires de bureau, etc.) et sur les comportements anormaux (envoi soudain d’un grand nombre de fichiers en externe par un compte, qui pourrait indiquer une exfiltration).

Un SIEM ou des outils de détection des menaces peuvent centraliser ces logs et vous alerter. Une étude a montré qu’endiguer une brèche en moins de 200 jours permet d’économiser en moyenne 1,2 million de dollars par rapport à une détection plus tardive.

Segmentation et sauvegardes pour limiter les dégâts

Partez du principe qu’aucune défense n’est absolue à 100 %. Préparez-vous au scénario où, malgré tout, un phishing réussit. Pour cela, segmentez vos réseaux et vos droits d’accès : qu’un compte compromis ne puisse pas tout ouvrir dans le SI.

Mettez en œuvre le principe du moindre privilège pour que l’attaque ne se propage pas comme une traînée de poudre. Surtout, effectuez régulièrement des sauvegardes de vos données critiques, hors-ligne de préférence. En cas de ransomware déployé via phishing, des backups sains et récents seront votre bouée de sauvetage pour restaurer l’activité sans payer de rançon. Testez vos plans de reprise d’activité afin d’être capables de rebondir vite. En combinant outils techniques et vigilance humaine, vous réduisez fortement les risques liés au phishing. Aucun dispositif n’est infaillible seul, mais la superposition de filtres de sécurité, de formations régulières et de procédures internes limite les attaques les plus sophistiquées.

La solution U-CYBER 360° vous aide à protéger votre entreprise et à piloter cette approche de manière centralisée. Grâce à son cockpit, vous visualisez vos vulnérabilités en temps réel, suivez un CyberScore clair et accédez à des recommandations pratiques pour réagir rapidement.