Le phishing reste la technique d'attaque la plus utilisée par les cybercriminels. Simple, peu coûteuse, redoutablement efficace. Un employé qui clique sur le mauvais lien peut compromettre l'ensemble de votre système d'information en quelques minutes.
Qu'est-ce que le phishing exactement ?
Le phishing (ou hameçonnage) consiste à usurper l'identité d'un tiers de confiance — votre banque, l'Urssaf, Microsoft, un collègue — pour vous inciter à réaliser une action : cliquer sur un lien, entrer vos identifiants, télécharger un fichier, virer de l'argent.
Les variantes les plus courantes :
- Email phishing : le plus fréquent. Un email qui imite parfaitement une communication officielle.
- Spear phishing : ciblé sur une personne précise, avec des infos personnalisées (votre prénom, votre entreprise, un projet en cours).
- Smishing : par SMS. De plus en plus fréquent avec la fausse notification de colis.
- Vishing : par téléphone. Un "technicien Microsoft" qui vous appelle pour un "problème urgent".
Les 5 signaux d'alerte à repérer
1. L'urgence artificielle
"Votre compte sera suspendu dans 24h", "Action requise immédiatement", "Dernière chance"... Le sentiment d'urgence est le premier levier du phishing. Il court-circuite le raisonnement critique.
2. L'adresse expéditeur suspecte
L'affichage peut montrer "Microsoft Support" mais l'adresse réelle peut être support@microsoft-helpdesk-secure.com. Vérifiez toujours l'adresse complète, pas juste le nom affiché.
3. Les liens qui ne correspondent pas
Passez la souris sur le lien (sans cliquer) et regardez l'URL en bas de votre écran. microsoft.com et microsoft.secure-login.ru n'ont rien à voir.
4. Les demandes inhabituelles
Votre direction financière ne vous demande jamais de faire un virement urgent par email sans validation téléphonique. Si c'est inhabituel, c'est suspect.
5. Les fautes et incohérences visuelles
La qualité des faux emails a drastiquement augmenté avec l'IA. Mais les détails trahissent encore : logo légèrement pixelisé, formule de politesse bizarre, traduction approximative.
Comment protéger votre entreprise
La formation, première ligne de défense
90% des incidents de sécurité impliquent une erreur humaine. Former vos équipes à reconnaître les tentatives de phishing est l'investissement avec le meilleur retour.
Organisez des simulations régulières : envoyez de faux emails de phishing à vos employés et mesurez le taux de clics. Pas pour punir, pour former.
L'authentification à deux facteurs (2FA)
Même si un attaquant récupère votre mot de passe, il ne peut pas accéder à votre compte sans le second facteur (code SMS, application d'authentification). Activez le 2FA partout où c'est possible.
Le filtrage email
Un bon antispam avec analyse des liens et pièces jointes bloque une grande partie des tentatives avant même qu'elles arrivent dans les boîtes. Microsoft 365 Defender, Google Workspace Security ou une solution dédiée (Proofpoint, Mimecast) s'occupent de ça.
Le principe du moindre privilège
Un employé du service marketing n'a pas besoin d'accéder aux données comptables. Limiter les droits limite les dégâts en cas de compromission.
Le protocole de vérification
Pour tout virement ou action sensible demandée par email, imposez une vérification par un second canal (appel téléphonique, vérification directe). Simple, efficace, aucun coût technique.
Que faire si vous êtes victime d'une attaque ?
- Coupez la machine du réseau immédiatement pour limiter la propagation.
- Ne payez pas si c'est un ransomware — ça ne garantit rien et ça finance les attaquants.
- Prévenez votre responsable informatique ou votre prestataire.
- Changez tous vos mots de passe depuis un appareil sain.
- Déposez plainte à la gendarmerie ou la police — c'est utile pour les assurances.
- Notifiez la CNIL si des données personnelles sont compromises (obligation légale sous 72h).
La cybersécurité n'est pas une option réservée aux grandes entreprises. Une PME avec 10 employés est une cible aussi intéressante qu'une multinationale — souvent plus facile à attaquer. Prendre le sujet au sérieux maintenant coûte bien moins cher qu'une gestion de crise après incident.