Skip to content
Glossaire

Whaling

Le whaling est une forme de spear phishing qui cible spécifiquement les dirigeants d'entreprise (PDG, DAF, DG) en exploitant leur autorité décisionnelle et leur accès direct aux fonds. Le terme 'whaling' (chasse à la baleine) désigne le fait de viser les 'gros poissons' d'une organisation.

11 min de lecture Thomas Ferreira

Comment fonctionne le whaling

Le whaling est une variante de spear phishing qui se distingue par sa cible : les dirigeants et cadres supérieurs d’une organisation. Là où le spear phishing classique peut viser un comptable, un DRH ou un développeur, le whaling cible exclusivement le sommet de la hiérarchie — PDG, DG, DAF, directeurs de BU, membres du conseil d’administration.

La mécanique de l’attaque

L’attaquant commence par une phase de reconnaissance approfondie sur sa cible dirigeante. Les sources sont abondantes pour un CEO :

  • Registres légaux : Societe.com, Infogreffe, BODACC — nom du dirigeant, date de nomination, chiffre d’affaires, associés
  • Presse économique : interviews, communiqués de presse, annonces de levées de fonds ou d’acquisitions
  • LinkedIn : publications, déplacements, conférences, réseau de contacts directs
  • Site web de l’entreprise : organigramme, page “équipe”, biographies des dirigeants
  • Réseaux sociaux personnels : voyages, événements, centres d’intérêt

À partir de ces informations, l’attaquant construit un message qui parle le langage du dirigeant. Le prétexte est adapté au contexte business réel : une acquisition en cours, un contrôle fiscal, un litige avec un fournisseur, une due diligence confidentielle.

Différence avec le spear phishing et la fraude au président

La confusion est fréquente entre ces trois termes. Pour clarifier :

  • Le spear phishing cible un employé identifié, quel que soit son niveau hiérarchique. L’objectif peut être des identifiants, un malware ou un virement.
  • Le whaling est un spear phishing qui cible un dirigeant. La cible est la personne qui a le pouvoir.
  • La fraude au président (BEC) est une attaque où l’escroc se fait passer pour le dirigeant auprès d’un subordonné. Le dirigeant est l’identité usurpée, pas la cible.

Le whaling attaque les dirigeants directement. Le BEC utilise leur identité pour attaquer d’autres personnes. Dans les deux cas, c’est le pouvoir décisionnel du dirigeant qui est exploité — mais le vecteur est inversé.

Pourquoi les dirigeants sont ciblés

Accès direct aux décisions financières

Un PDG ou un DAF peut autoriser un virement de plusieurs millions d’euros sans passer par les circuits de validation habituels. Quand un comptable reçoit une demande suspecte, il peut en référer à son supérieur. Quand le PDG reçoit la même demande, il n’a personne au-dessus de lui pour la vérifier — et il est habitué à prendre des décisions rapides sous pression.

Informations publiques abondantes

Les dirigeants sont, par nature, les personnes les plus visibles d’une entreprise. Chaque interview, chaque post LinkedIn, chaque conférence fournit du matériel exploitable. L’attaquant sait quels dossiers sont en cours, quels partenaires sont impliqués, quel ton utilise le dirigeant dans ses échanges.

Un PDG de PME qui annonce une levée de fonds sur LinkedIn signale aux attaquants que l’entreprise a de la trésorerie et que des transactions avec des cabinets d’avocats ou des banques sont en cours — le prétexte idéal pour un email de whaling.

Moins de formation cybersécurité

Paradoxalement, les dirigeants sont souvent les moins formés de l’entreprise aux risques cyber. Leur emploi du temps ne leur permet pas de suivre les sessions de sensibilisation. Ils délèguent le sujet au RSSI ou au DSI. Et les simulations de phishing classiques — un faux email de colis DHL — ne correspondent pas aux scénarios qu’ils rencontrent. Un PDG ne clique pas sur un lien de faux colis. En revanche, un email d’un avocat concernant un contentieux confidentiel peut le piéger.

Sentiment d’immunité

Beaucoup de dirigeants estiment que ces attaques visent “les employés” et qu’eux-mêmes ne se feraient pas avoir. Cette confiance est précisément ce que les attaquants exploitent. L’ingénierie sociale fonctionne d’autant mieux que la cible est convaincue de ne pas pouvoir être manipulée.

Exemples concrets

Pathé — 19,2 millions d’euros (2018)

Le cas Pathé reste l’un des plus documentés en Europe. Des attaquants ont usurpé l’identité du PDG du groupe Pathé par email et ont convaincu le directeur de la filiale néerlandaise de transférer 19,2 millions d’euros en plusieurs virements successifs. Le prétexte : une acquisition confidentielle nécessitant des fonds immédiats. Chaque email insistait sur le secret absolu et l’urgence, empêchant toute vérification interne. La fraude a été découverte plusieurs semaines plus tard, après que les fonds avaient été dispersés sur des comptes à l’étranger.

FACC (Autriche) — 42 millions d’euros (2016)

L’équipementier aéronautique autrichien FACC a perdu 42 millions d’euros dans une attaque de whaling. Le département financier a transféré les fonds sur la base d’emails frauduleux se faisant passer pour le PDG, dans le cadre d’un prétendu projet d’acquisition. L’affaire a coûté leur poste au PDG Walter Stephan et au DAF de l’entreprise — les deux ont été licenciés pour manquement aux processus de contrôle interne.

Crelan Bank (Belgique) — 70 millions d’euros (2016)

La banque belge Crelan a subi une fraude de 70 millions d’euros par usurpation d’identité dirigeante. L’attaque a ciblé la filiale de la banque en exploitant la communication interne entre le siège et les succursales. La fraude n’a été détectée que lors d’un audit interne. C’est l’un des montants les plus élevés jamais enregistrés pour ce type d’attaque en Europe.

Ubiquiti Networks — 46,7 millions de dollars (2015)

Le fabricant américain d’équipements réseau Ubiquiti Networks a révélé dans un dépôt auprès de la SEC avoir perdu 46,7 millions de dollars suite à des emails frauduleux ciblant le département financier de sa filiale de Hong Kong. Les attaquants se faisaient passer pour des cadres dirigeants du groupe. L’entreprise a réussi à récupérer environ 15 millions de dollars grâce à une action rapide auprès des banques.

Ferrari — tentative déjouée (2024)

Un cadre de Ferrari a reçu des messages WhatsApp du “PDG” Benedetto Vigna, suivi d’un appel vocal deepfake. La voix était convaincante, mais le cadre a posé une question personnelle que seul le vrai PDG pouvait connaître. L’attaquant a raccroché. Ce cas est devenu une référence : la seule défense qui a fonctionné est une question de vérification humaine, pas la technologie.

Les chiffres

Les données montrent que le whaling et les attaques ciblant les dirigeants représentent une menace financière disproportionnée par rapport à leur volume :

  • Le FBI IC3 a enregistré 55 milliards de dollars de pertes liées au BEC/whaling entre 2013 et 2023 dans le monde, faisant de cette catégorie la plus coûteuse de la cybercriminalité
  • Selon le Verizon DBIR 2024, le pretexting (catégorie incluant le whaling) représente 24,5 % des incidents d’ingénierie sociale, avec un montant médian de perte de 50 000 dollars par incident
  • Le baromètre CESIN 2024 rapporte que 74 % des entreprises françaises considèrent le phishing (dont le whaling) comme le vecteur d’attaque principal
  • D’après une étude Proofpoint 2024, les cadres supérieurs représentent moins de 4 % des effectifs mais sont impliqués dans 27 % des attaques de spear phishing ciblé les plus dommageables
  • Le rapport Abnormal Security de 2024 note une augmentation de 71 % des attaques par usurpation d’identité de dirigeant entre 2022 et 2024

Le coût moyen par incident de whaling dépasse de 5 à 10 fois celui d’une attaque de phishing classique. La raison : le montant du virement demandé est calibré sur le pouvoir décisionnel de la cible, et un dirigeant peut autoriser des sommes que n’importe quel autre employé devrait faire valider.

Comment protéger vos dirigeants

La protection contre le whaling ne se résume pas à ajouter un filtre email. Elle nécessite des mesures spécifiques au profil dirigeant, parce que les scénarios d’attaque, les montants en jeu et les vecteurs sont différents du phishing classique.

Programmes de simulation dédiés aux dirigeants

Les simulations de phishing standard — faux email de livraison, alerte de sécurité Microsoft — ne correspondent pas aux attaques que reçoivent les dirigeants. Un programme de simulation efficace pour le top management doit inclure :

  • Des scénarios réalistes : email d’un avocat d’affaires, demande d’un auditeur, communication d’un investisseur, relance d’un cabinet de due diligence
  • Des canaux multiples : email, mais aussi WhatsApp, SMS, appel téléphonique (vishing)
  • Un debriefing individuel : pas une formation en groupe avec 50 autres employés. Le dirigeant reçoit un retour en tête-à-tête, adapté à son profil de risque
  • Une fréquence trimestrielle : le turnover des techniques d’attaque impose de renouveler les scénarios régulièrement

Processus de double validation financière

Aucun virement ne devrait pouvoir être exécuté sur la base d’un seul canal de communication, quel que soit le demandeur :

  • Seuil de validation : tout virement supérieur à un montant défini (ex : 10 000 €) exige une double signature, même si le PDG est l’initiateur
  • Mot de passe oral : convenir d’un code secret entre le dirigeant et le DAF pour valider les demandes financières urgentes. Ce code change régulièrement et ne transite jamais par email
  • Callback systématique : pour toute demande inhabituelle, rappeler au numéro enregistré dans l’annuaire interne — jamais au numéro indiqué dans l’email ou le SMS

Réduction de l’exposition publique

Les dirigeants alimentent involontairement les attaquants. Quelques mesures concrètes :

  • Organigrammes en ligne : limiter les informations publiques. Pas besoin de publier le nom complet du DAF et son adresse email directe sur le site corporate
  • Déplacements en temps réel : ne pas publier sur LinkedIn “En route pour le MWC Barcelone” — un attaquant sait alors que le PDG est injoignable et peut lancer un email de whaling pendant son absence
  • Conférences et interviews : chaque prise de parole publique fournit du matériel pour un deepfake vocal. Ce n’est pas une raison pour cesser de communiquer, mais pour en être conscient

Protection technique ciblée

  • Alertes d’usurpation : configurer Microsoft 365 ou Google Workspace pour signaler tout email externe utilisant le nom d’un dirigeant comme nom d’affichage
  • DMARC en mode reject sur le domaine de l’entreprise pour empêcher l’usurpation directe
  • Surveillance de domaines similaires : alerter sur l’enregistrement de domaines proches (noph1.sh, nophi-sh.com, nophish.fr)
  • Accès conditionnel renforcé : MFA résistant au phishing (clés FIDO2) pour les comptes dirigeants, avec alertes sur toute connexion depuis un nouvel appareil ou un nouveau pays

Whaling et deepfakes

L’intelligence artificielle a transformé le whaling. Les deepfakes vocaux et vidéo ajoutent une couche de crédibilité qui rend les techniques de vérification traditionnelles obsolètes.

Le clone vocal au service du whaling

Un attaquant n’a besoin que de 3 à 5 secondes d’audio pour créer un clone vocal exploitable. Pour un dirigeant, les sources ne manquent pas : keynotes, podcasts, interviews télévisées, messages vocaux LinkedIn. Le clone permet ensuite d’appeler directement le DAF avec la voix du PDG pour confirmer un email de whaling envoyé quelques minutes avant.

Le cas Ferrari (2024) illustre le mécanisme : messages WhatsApp suivis d’un appel deepfake avec la voix du PDG Benedetto Vigna. L’attaquant avait reconstruit un scénario complet — seule une question personnelle a permis de déjouer la tentative.

La visioconférence truquée

Le cas Arup en 2024 a montré que les deepfakes vidéo en temps réel sont opérationnels. Un employé a participé à une visioconférence avec ce qu’il pensait être le directeur financier et plusieurs collègues — tous des deepfakes. Résultat : 25 millions de dollars transférés. Pour un dirigeant ciblé, la même technique peut être utilisée en simulant un conseil d’administration extraordinaire ou un appel avec un investisseur.

Pourquoi les dirigeants sont particulièrement vulnérables aux deepfakes

Les dirigeants ont une empreinte médiatique large : interventions filmées, photos haute résolution, voix enregistrée dans de multiples contextes. Ce matériel est exactement ce dont les algorithmes de clonage ont besoin.

De plus, un dirigeant est habitué à recevoir des appels de personnes qu’il connaît peu (avocats, banquiers, investisseurs). Il ne peut pas vérifier chaque voix par familiarité. Et la pression de ne pas “manquer une opportunité” ou de “ne pas froisser un partenaire” joue en faveur de l’attaquant.

Se défendre

Face aux deepfakes, les défenses techniques de détection sont encore immatures. La protection repose sur des processus humains :

  • Mot de passe oral convenu entre dirigeants et DAF : l’IA peut cloner une voix, pas deviner un code secret
  • Question de vérification personnelle et imprévisible (le réflexe qui a sauvé Ferrari)
  • Politique de non-exécution immédiate : aucune décision financière prise pendant un appel. L’appel sert à informer, la validation se fait dans le système financier avec double signature
  • Sensibilisation par démonstration : cloner la voix du PDG (avec son accord) et la diffuser en comité de direction. L’effet est immédiat — quand le DAF entend “son patron” dire une phrase qu’il n’a jamais prononcée, le réflexe de vérification se déclenche

Le whaling assisté par deepfake est la menace la plus coûteuse pour les entreprises en 2026. La seule parade : des processus de vérification que la technologie ne peut pas contourner.

Questions fréquentes

Qu'est-ce que le whaling en cybersécurité ?

Le whaling est une attaque de phishing ultra-ciblée qui vise les dirigeants d'entreprise : PDG, DG, DAF, membres du comité de direction. L'attaquant personnalise un message crédible en utilisant des informations publiques sur le dirigeant (interviews, publications LinkedIn, communiqués de presse) pour obtenir un virement frauduleux, des données sensibles ou un accès au système d'information.

Quelle est la différence entre whaling et spear phishing ?

Le spear phishing cible n'importe quel employé identifié dans l'entreprise (comptable, RH, développeur). Le whaling ne cible que les cadres dirigeants — ceux qui ont le pouvoir de signer des virements, accéder aux données stratégiques ou contourner les processus internes sans validation. Le whaling exploite spécifiquement l'autorité hiérarchique et la pression décisionnelle propres au top management.

Pourquoi les PDG sont-ils des cibles privilégiées ?

Trois raisons : les dirigeants ont un accès direct aux fonds et aux décisions financières sans validation externe. Leurs informations personnelles et professionnelles sont largement publiques (profils LinkedIn, articles de presse, conférences). Et ils reçoivent souvent moins de formation en cybersécurité que les équipes opérationnelles, car leur agenda ne le permet pas.

Comment protéger les dirigeants contre le whaling ?

Quatre axes : des simulations de whaling spécifiques au profil dirigeant (pas les mêmes scénarios que pour les autres employés), des processus de double validation pour tout virement supérieur à un seuil défini, un mot de passe oral convenu entre le dirigeant et le DAF pour les demandes sensibles, et une réduction de l'exposition publique des informations exploitables (organigrammes, déplacements en temps réel).

Le whaling peut-il utiliser des deepfakes ?

Oui, et c'est une tendance en forte hausse. Les attaquants clonent la voix d'un dirigeant à partir d'extraits de conférences ou de vidéos LinkedIn pour appeler directement un DAF ou un comptable. Le cas Ferrari en 2024 a montré un appel deepfake imitant la voix du PDG Benedetto Vigna. La combinaison email + appel deepfake rend le whaling très difficile à détecter sans processus de vérification formel.

Testez la sécurité email de votre entreprise

Notre outil gratuit analyse votre domaine et vous donne un score de protection contre le phishing en 30 secondes.

Tester mon domaine Voir tout le glossaire