Skip to content
Glossaire

Spear phishing

Le spear phishing est une attaque de phishing ciblée où l'attaquant personnalise son message en utilisant des informations spécifiques sur la victime (nom, poste, projets en cours) pour le rendre plus crédible. Contrairement au phishing de masse, il vise une personne ou un groupe restreint.

5 min de lecture Thomas Ferreira

Comment fonctionne le spear phishing

Le spear phishing suit un processus en quatre phases qui le distingue fondamentalement du phishing de masse :

Phase 1 : Reconnaissance

L’attaquant investit du temps pour collecter des informations sur sa cible. Les sources sont souvent publiques :

  • LinkedIn : poste exact, ancienneté, collègues directs, publications récentes, changements de poste
  • Site web de l’entreprise : organigramme, noms des dirigeants, communiqués de presse, partenaires
  • Registres publics : Societe.com (dirigeants, chiffre d’affaires), BODACC (modifications statutaires), annonces légales
  • Réseaux sociaux : Facebook, Instagram (voyages, événements, centres d’intérêt)
  • Fuites de données antérieures : adresses email, mots de passe, numéros de téléphone disponibles sur les forums

Phase 2 : Construction du prétexte

À partir de ces informations, l’attaquant construit un scénario crédible. Exemples réels observés en France :

  • Un email du “DRH” demandant au comptable de mettre à jour les coordonnées bancaires d’un salarié
  • Un message du “PDG” envoyé pendant un déplacement professionnel (repéré sur LinkedIn) demandant un virement urgent
  • Un email d’un “fournisseur” mentionnant un contrat réel avec un nouveau RIB pour le prochain règlement
  • Un message d’un “candidat” au service RH avec un CV en pièce jointe contenant un malware

Phase 3 : Envoi ciblé

Le message est envoyé à une ou quelques personnes. L’attaquant utilise :

  • Un domaine très proche de l’original (thomasferreira@noph1.sh au lieu de nophi.sh)
  • Un compte email compromis d’un vrai contact (le plus dangereux)
  • Le display name d’un supérieur hiérarchique avec une adresse Gmail

Phase 4 : Exploitation

Si la victime mord, l’attaquant :

  • Récupère les identifiants pour accéder aux systèmes internes
  • Installe un accès persistant pour surveiller les échanges
  • Lance un virement frauduleux via BEC
  • Déploie un ransomware sur le réseau

Exemples de spear phishing en entreprise

L’arnaque au changement de RIB

C’est la forme la plus coûteuse en France. L’attaquant surveille les échanges entre une entreprise et son fournisseur (parfois après avoir compromis la boîte email du fournisseur). Au moment d’un règlement, il envoie un email depuis le compte du fournisseur — ou un domaine quasi identique — demandant de régler sur un nouveau RIB.

Le message est parfaitement contextuel : il mentionne le bon numéro de facture, le bon montant, le bon interlocuteur. La comptable n’a aucune raison de soupçonner une fraude.

Pertes moyennes : 50 000 à 300 000 euros par incident. Certaines entreprises françaises ont perdu plus d’un million d’euros sur une seule opération.

L’usurpation de dirigeant en déplacement

L’attaquant repère sur LinkedIn que le PDG est en déplacement (publication, conférence, salon professionnel). Il envoie un email au DAF depuis une adresse proche :

“Jean-Pierre, je suis en réunion chez [client]. J’ai besoin que tu fasses un virement de 87 000 € ce matin au cabinet [nom] pour le dossier dont on a parlé. C’est urgent, je t’envoie les coordonnées. Ne m’appelle pas, je suis en pleine négo.”

Le contexte est vérifié (le PDG est bien en déplacement), le montant est plausible, et la demande de ne pas appeler empêche la vérification.

Le faux email RH avec malware

L’attaquant envoie un email au service RH en se faisant passer pour un candidat. Le CV en pièce jointe est un document Word avec une macro malveillante, ou un fichier .exe renommé en .pdf. Une fois ouvert, le malware s’installe et donne un accès au réseau de l’entreprise.

Pourquoi les filtres anti-spam ne suffisent pas

Les solutions de filtrage email classiques détectent bien le phishing de masse : les mêmes messages envoyés à des milliers de destinataires sont rapidement identifiés et bloqués.

Le spear phishing contourne ces filtres car :

  • Volume faible : un seul email envoyé, pas de pattern détectable
  • Pas de liens malveillants connus : le lien de phishing est souvent fraîchement créé
  • Contenu personnalisé : pas de texte générique détectable par les règles anti-spam
  • Domaine légitime : si l’attaquant utilise un compte compromis, l’email vient d’un vrai domaine avec SPF/DKIM valides

C’est pourquoi la protection contre le spear phishing repose avant tout sur les humains, pas seulement sur la technologie.

Comment protéger votre entreprise

Sensibilisation ciblée

Les populations les plus visées par le spear phishing en entreprise :

  1. Direction générale (PDG, DG) — cibles de whaling
  2. Direction financière (DAF, comptabilité) — cibles de fraude au virement
  3. Ressources humaines — cibles d’attaques par CV/candidature piégés
  4. Service achats — cibles d’arnaque fournisseur
  5. Assistants de direction — accès aux agendas et contacts des dirigeants

Ces profils doivent recevoir des simulations de phishing spécifiquement adaptées à leur rôle, pas les mêmes campagnes génériques que le reste de l’entreprise.

Processus de vérification

  • Règle systématique : tout changement de coordonnées bancaires d’un fournisseur doit être vérifié par téléphone au numéro habituel (pas celui du email)
  • Double signature pour les virements au-dessus d’un seuil
  • Procédure d’escalade pour les demandes “urgentes et confidentielles” de la direction
  • Politique de publication LinkedIn : sensibiliser les dirigeants sur le risque de publier leurs déplacements en temps réel

Protection technique complémentaire

  • DMARC en mode reject sur votre domaine pour empêcher l’usurpation
  • Alertes sur les connexions inhabituelles (nouveau pays, nouvel appareil) sur Microsoft 365 ou Google Workspace
  • Vérification des règles de transfert email : un attaquant qui compromet un compte crée souvent une règle de transfert automatique pour surveiller les échanges

Spear phishing et IA : ce qui change en 2026

L’IA générative rend le spear phishing plus accessible et plus dangereux :

  • Rédaction automatisée : ChatGPT et ses équivalents peuvent rédiger des emails de spear phishing personnalisés en quelques secondes, dans un français parfait, en imitant le ton d’un interlocuteur
  • Collecte d’informations : des outils automatisés agrègent les informations publiques sur une cible pour construire le profil de reconnaissance
  • Deepfakes vocaux : un appel téléphonique avec la voix clonée du PDG renforce la crédibilité d’un email de spear phishing reçu juste avant
  • Traduction : les barrières linguistiques disparaissent. Des groupes d’attaquants non francophones ciblent désormais les entreprises françaises avec des emails impeccables

La conséquence : le volume de spear phishing augmente et la qualité de chaque attaque s’améliore. Les entreprises qui comptent uniquement sur la vigilance “naturelle” de leurs employés prennent un risque croissant.

Questions fréquentes

Quelle est la différence entre phishing et spear phishing ?

Le phishing classique envoie le même message générique à des milliers de personnes (ex : 'Votre compte bancaire est bloqué'). Le spear phishing cible une personne précise avec un message construit à partir d'informations réelles : son nom, son poste, un projet en cours, le nom de son responsable. Le taux de réussite du spear phishing est 10 fois supérieur.

Comment les attaquants collectent-ils les informations pour du spear phishing ?

LinkedIn est la source principale : poste, entreprise, collègues, publications récentes. Le site web de l'entreprise (organigramme, communiqués), les réseaux sociaux personnels, les fuites de données précédentes et les informations publiques (Societe.com, BODACC) complètent le profil. En 5 minutes sur LinkedIn, un attaquant a assez d'informations pour un spear phishing crédible.

Pourquoi le spear phishing est-il si efficace ?

Parce qu'il exploite la confiance contextuelle. Quand vous recevez un email qui mentionne un projet réel, vient apparemment de votre directeur et utilise le bon ton, votre cerveau le traite comme légitime. Les biais cognitifs (autorité, urgence, preuve sociale) font le reste. Les filtres email classiques ont aussi plus de mal à détecter ces messages car ils ne contiennent pas de signaux de spam évidents.

Les PME sont-elles ciblées par le spear phishing ?

Oui, et de plus en plus. Les PME sont des cibles rentables : moins de protections techniques, moins de sensibilisation, et souvent un accès direct aux décideurs. Un attaquant qui vise le comptable d'une PME de 50 personnes peut obtenir un virement frauduleux en une seule tentative, sans avoir à contourner les multiples couches de sécurité d'un grand groupe.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire