Comment fonctionne le phishing
Le phishing repose sur un mécanisme simple : l’attaquant se fait passer pour quelqu’un en qui vous avez confiance. Banque, fournisseur, administration, collègue, réseau social. Le message crée un sentiment d’urgence ou de peur pour court-circuiter votre réflexion.
Le schéma d’une attaque de phishing suit presque toujours les mêmes étapes :
-
Préparation : l’attaquant choisit sa cible et crée une copie crédible d’un site web ou d’un email officiel. Il enregistre un nom de domaine trompeur (impots-gouv.fr au lieu de impots.gouv.fr) ou compromet un compte email légitime.
-
Envoi : le message est envoyé par email, SMS (smishing), téléphone (vishing) ou QR code (quishing). Il contient un lien piégé, une pièce jointe malveillante ou une demande directe d’action.
-
Interception : la victime clique, entre ses identifiants sur le faux site ou ouvre la pièce jointe. L’attaquant récupère les données en temps réel.
-
Exploitation : les identifiants volés servent à accéder aux comptes professionnels, lancer un ransomware, exfiltrer des données ou demander des virements frauduleux.
Les techniques de phishing les plus courantes en France
Email de phishing classique
Le plus répandu. L’attaquant envoie un email imitant un service connu : Ameli, impots.gouv.fr, La Banque Postale, Chronopost, Microsoft 365. Le message contient un lien vers une fausse page de connexion identique à l’originale.
En entreprise, les thèmes les plus utilisés :
- Notification de votre banque (“virement suspect sur votre compte professionnel”)
- Demande de mise à jour de vos identifiants Microsoft 365 ou Google Workspace
- Fausse facture d’un fournisseur avec un RIB modifié
- Message de la “direction” demandant un virement urgent (fraude au président)
Phishing ciblé (spear phishing)
L’attaquant prend le temps de collecter des informations sur sa cible : poste, collègues, projets en cours (via LinkedIn, site web de l’entreprise, réseaux sociaux). Le message est rédigé sur mesure, ce qui le rend beaucoup plus difficile à détecter.
En savoir plus : Spear phishing
Phishing par SMS et téléphone
Les SMS frauduleux (smishing) et les appels téléphoniques (vishing) exploitent la confiance accordée au canal mobile. Avec l’IA générative, les deepfakes vocaux permettent désormais de reproduire la voix d’un dirigeant à partir de quelques secondes d’enregistrement.
En savoir plus : Smishing | Vishing
Exemples concrets en France
Le phishing n’est pas une menace théorique. Voici des incidents vérifiés qui ont touché des organisations françaises :
Viamedis et Almerys (février 2024) : des identifiants de professionnels de santé compromis par phishing ont permis l’accès aux données de 33 millions d’assurés français. Numéros de sécurité sociale, noms, dates de naissance et informations d’assurance exposés.
France Travail (mars 2024) : des comptes d’agents habilités ont été compromis, permettant l’extraction des données personnelles de 43 millions de demandeurs d’emploi. La CNIL a spécifiquement alerté sur le risque de phishing secondaire exploitant ces données volées.
Hôpital de Corbeil-Essonnes (2022) : un ransomware déployé après un phishing a paralysé l’établissement pendant des semaines. Les attaquants ont exigé 10 millions de dollars de rançon. L’hôpital a dû fonctionner en mode dégradé, reportant des interventions chirurgicales.
Ces trois incidents illustrent un schéma récurrent : le phishing est le point d’entrée, pas la finalité. L’email frauduleux ouvre la porte au vol de données, au ransomware ou à la fraude financière.
Les chiffres du phishing en France
- 91 % des cyberattaques commencent par un email de phishing — Verizon Data Breach Investigations Report 2024
- 74 % des entreprises françaises ont subi au moins une tentative de phishing en 2025 — Baromètre du CESIN, 10e édition
- 60 000 € : coût médian d’une attaque réussie pour une PME de moins de 250 salariés — Rapport Hiscox Cyber Readiness 2024
- 2,8 % : taux de clic moyen sur les simulations de phishing en entreprise — KnowBe4 Phishing By Industry Benchmarking Report 2024
- 72 heures : délai légal pour notifier la CNIL en cas de fuite de données consécutive à un phishing — Article 33 du RGPD
Comment protéger votre entreprise
1. Protection technique du domaine email
Configurez les trois protocoles d’authentification email pour empêcher l’usurpation de votre domaine :
- SPF : déclarez les serveurs autorisés à envoyer des emails pour votre domaine
- DKIM : signez cryptographiquement vos emails sortants
- DMARC : indiquez aux serveurs destinataires de rejeter les emails non authentifiés
Testez la configuration de votre domaine en 30 secondes avec notre vérificateur de sécurité email.
2. Sensibilisation continue des équipes
Un e-learning annuel ne change pas les comportements. Les entreprises qui réduisent leur taux de clic phishing mettent en place un programme continu :
- Simulations de phishing régulières (mensuelles ou bimestrielles) avec des scénarios réalistes adaptés à votre secteur
- Micro-apprentissage au moment du clic : l’employé qui tombe dans la simulation reçoit immédiatement une explication de ce qu’il aurait dû repérer
- Valorisation positive : féliciter les employés qui signalent les tentatives, pas seulement sanctionner ceux qui cliquent
3. Processus organisationnels
La technique et la sensibilisation ne suffisent pas sans des processus clairs :
- Double validation pour tout virement supérieur à un seuil défini (ex : 5 000 €)
- Procédure de vérification des changements de RIB fournisseur par un canal différent (téléphone au numéro connu, pas celui du email)
- Procédure de signalement accessible : un bouton “signaler un email suspect” dans Outlook ou Gmail, et un circuit de traitement rapide
- Plan de réponse à incident testé : qui fait quoi dans la première heure après un clic sur un phishing
Les formes de phishing à connaître
Le phishing prend de nombreuses formes. Chacune exploite un canal différent mais repose sur le même principe d’ingénierie sociale :
| Forme | Canal | Particularité |
|---|---|---|
| Phishing email | Le plus courant, cible en masse | |
| Spear phishing | Email ciblé | Personnalisé, très efficace |
| Whaling | Email dirigeant | Cible les cadres supérieurs |
| BEC | Email compromis | Utilise un vrai compte email piraté |
| Smishing | SMS | Taux d’ouverture de 98 % |
| Vishing | Téléphone | Deepfakes vocaux en hausse |
| Quishing | QR code | Contourne les filtres email |
Questions fréquentes
Qu'est-ce que le phishing exactement ?
Le phishing (ou hameçonnage) est une attaque par ingénierie sociale. L'attaquant envoie un message frauduleux qui imite une source de confiance (banque, fournisseur, collègue, administration) pour pousser la victime à cliquer sur un lien piégé, ouvrir une pièce jointe malveillante ou communiquer des informations confidentielles.
Quels sont les signes d'un email de phishing ?
Les indicateurs les plus fiables : une adresse d'expéditeur qui ne correspond pas au domaine officiel, un sentiment d'urgence artificiel (compte bloqué, facture impayée), des fautes dans le domaine (amaz0n.fr, impots-gouv.fr), une demande inhabituelle (changement de RIB, envoi de codes d'accès), et des liens dont l'URL réelle diffère du texte affiché.
Que faire si un employé a cliqué sur un lien de phishing ?
Agir dans l'heure : 1) Changer immédiatement le mot de passe du compte concerné. 2) Activer le MFA si ce n'est pas déjà fait. 3) Prévenir le service IT ou le prestataire informatique. 4) Vérifier les connexions récentes et les règles de transfert email. 5) Si des données sensibles sont concernées, notifier la CNIL sous 72h (obligation RGPD).
Comment protéger son entreprise contre le phishing ?
Trois piliers : la protection technique (SPF, DKIM, DMARC sur votre domaine + filtrage email), la sensibilisation continue (simulations de phishing régulières, pas juste un e-learning annuel), et les processus organisationnels (double validation des virements, procédure de vérification des changements de RIB).
Quelle est la différence entre phishing et spear phishing ?
Le phishing classique est envoyé en masse à des milliers de destinataires avec un message générique. Le spear phishing cible une personne précise avec un message personnalisé utilisant des informations réelles (nom, poste, projets en cours). Le spear phishing est plus rare mais beaucoup plus efficace et dangereux.