Phishing : comment reconnaître et se protéger des attaques
Guide complet sur le phishing (hameçonnage) : types d'attaques, techniques de reconnaissance, cadre juridique, réaction en cas d'attaque, outils de protection et conseils pour les entreprises et dirigeants.
Qu'est-ce que le phishing ?
Le phishing (ou hameçonnage en français) est une technique de cyberattaque par ingénierie sociale qui consiste à usurper l'identité d'un tiers de confiance (banque, administration, fournisseur, collègue) pour inciter la victime à communiquer des informations sensibles : identifiants de connexion, coordonnées bancaires, données personnelles.
Le principe est simple : l'attaquant envoie un message (e-mail, SMS, appel téléphonique) qui imite parfaitement une communication légitime et contient un lien vers un faux site web ou une pièce jointe malveillante. La victime, pensant interagir avec un interlocuteur de confiance, transmet volontairement ses informations.
🎣 Étymologie
Les différents types de phishing
Le phishing se décline en plusieurs variantes, chacune exploitant un canal de communication ou une cible différents :
- 1
📧 Phishing par e-mail (classique)
La forme la plus répandue. Un e-mail imitant une banque, un opérateur télécom, les impôts ou un fournisseur demande de « vérifier » ses identifiants via un lien frauduleux. L'e-mail peut contenir des pièces jointes infectées (malware, ransomware).
- 2
🎯 Spear phishing (harponnage)
Attaque ciblée visant une personne précise. L'attaquant a préalablement collecté des informations (LinkedIn, site web, réseaux sociaux) pour personnaliser son message et le rendre crédible. Très utilisé contre les dirigeants et cadres financiers.
- 3
🐋 Whaling (chasse à la baleine)
Variante du spear phishing ciblant spécifiquement les dirigeants (PDG, DAF, DG). Le message imite un interlocuteur de haut niveau (avocat, régulateur, partenaire stratégique) pour obtenir des virements importants ou des données critiques.
- 4
📱 Smishing (SMS phishing)
Phishing par SMS. Messages imitant la banque, la Poste, Ameli, les impôts… avec un lien court menant vers un site frauduleux. En forte augmentation depuis 2020 (« Votre colis est en attente », « Carte Vitale à renouveler »).
- 5
📞 Vishing (voice phishing)
Phishing par téléphone. L'attaquant appelle en se faisant passer pour un conseiller bancaire, un agent des impôts ou un support technique et incite la victime à communiquer ses codes ou à effectuer des opérations bancaires.
- 6
👥 Clone phishing
L'attaquant intercepte un e-mail légitime déjà envoyé, le copie intégralement en remplaçant les liens ou pièces jointes par des versions malveillantes, puis le renvoie en se faisant passer pour l'expéditeur original.
Comment reconnaître une attaque
Malgré leur sophistication croissante, les tentatives de phishing présentent des signaux d'alerte identifiables :
Adresse e-mail suspecte
L'adresse de l'expéditeur ne correspond pas au domaine officiel : « service@banque-france-securite.com » au lieu de « @banque-de-france.fr ». Vérifiez toujours l'adresse complète, pas seulement le nom affiché.
Urgence artificielle
« Action requise dans les 24h », « Votre compte sera suspendu ». Le phishing crée une pression temporelle pour empêcher la réflexion. Aucun organisme légitime ne menace de bloquer votre compte par e-mail.
Liens suspects
Survolez le lien (sans cliquer) : l'URL affichée diffère de l'URL réelle. Caractères spéciaux, sous-domaines trompeurs (« impots.gouv.fr.xyz.com »), protocole HTTP au lieu de HTTPS.
Pièces jointes inattendues
Fichiers .exe, .zip, .docm (macros), .js, .scr envoyés sans contexte. Même un fichier PDF peut contenir un lien malveillant. N'ouvrez jamais une pièce jointe inattendue.
Erreurs et incohérences
Fautes d'orthographe, formulations inhabituelles, logos flous, mise en page approximative. Attention : avec l'IA, ce signal est de moins en moins fiable.
Demande de données sensibles
Aucune banque, administration ou fournisseur légitime ne demande vos identifiants, mots de passe ou numéros de carte bancaire par e-mail ou SMS. Jamais.
Le phishing en entreprise
Les entreprises sont des cibles privilégiées du phishing car les gains potentiels sont bien supérieurs. Voici les attaques les plus fréquentes en milieu professionnel :
Business Email Compromise (BEC)
L'attaquant compromet ou usurpe la boîte e-mail d'un dirigeant ou d'un fournisseur pour ordonner des virements frauduleux. Pertes moyennes par attaque réussie : 125 000 € selon le FBI.
Arnaque au président (FOVI)
Variante du BEC : l'attaquant se fait passer pour le PDG et ordonne un virement urgent au service comptabilité. Exploite la hiérarchie et le respect de l'autorité.
Compromission de la chaîne d'approvisionnement
L'attaquant intercepte les échanges avec un fournisseur réel et substitue ses propres coordonnées bancaires. La facture est authentique, seul le RIB est frauduleux.
Phishing interne (lateral phishing)
Après avoir compromis un compte e-mail interne, l'attaquant envoie des e-mails de phishing depuis ce compte légitime vers d'autres collaborateurs. Taux de réussite très élevé.
Ransomware via phishing
Un e-mail de phishing contient une pièce jointe ou un lien qui installe un ransomware. Les données de l'entreprise sont chiffrées et une rançon est exigée (souvent en cryptomonnaie).
Chiffres clés et statistiques
3,4 Mds
d'e-mails de phishing envoyés chaque jour dans le monde
90 %
des cyberattaques commencent par un phishing
36 %
des violations de données impliquent du phishing (Verizon 2024)
14,8 s
temps médian avant qu'un utilisateur clique sur un lien de phishing
📈 Tendances France (ANSSI / Cybermalveillance.gouv.fr)
• +400 % d'augmentation des attaques par SMS (smishing) entre 2020 et 2024
• Les TPE/PME sont les cibles principales : 43 % des entreprises victimes comptent moins de 50 salariés
• Coût moyen d'une attaque de phishing réussie pour une PME : 25 000 à 100 000 €
Cadre juridique et sanctions
Le phishing n'est pas une infraction autonome en droit français. Il est sanctionné à travers plusieurs qualifications pénales cumulables :
| Qualification | Article | Peine |
|---|---|---|
| Escroquerie | 313-1 C. pén. | 5 ans / 375 000 € |
| Collecte frauduleuse de données personnelles | 226-18 C. pén. | 5 ans / 300 000 € |
| Accès frauduleux à un système informatique | 323-1 C. pén. | 3 ans / 100 000 € |
| Usurpation d'identité numérique | 226-4-1 C. pén. | 1 an / 15 000 € |
| Contrefaçon de marque (logo usurpé) | L. 713-2 CPI | 4 ans / 400 000 € |
| Faux et usage de faux | 441-1 C. pén. | 3 ans / 45 000 € |
| Blanchiment (réemploi des fonds) | 324-1 C. pén. | 5 ans / 375 000 € |
Comment réagir si vous êtes victime
- 1
Ne paniquez pas, agissez vite
Déconnectez-vous immédiatement du site frauduleux. Ne communiquez plus aucune information. Si vous avez cliqué sur un lien suspect depuis un ordinateur professionnel, déconnectez-le du réseau (Wi-Fi et câble).
- 2
Changez vos mots de passe
Modifiez immédiatement le mot de passe du compte compromis ET de tous les comptes utilisant le même mot de passe. Activez l'authentification à deux facteurs (2FA) partout où c'est possible.
- 3
Contactez votre banque
Si vous avez communiqué des données bancaires, appelez votre banque pour faire opposition et signaler la fraude. Demandez le blocage des transactions suspectes. Le délai de 24 heures est crucial pour un rappel de fonds.
- 4
Signalez l'attaque
Transférez l'e-mail frauduleux à signal-spam@signal-spam.fr. Signalez le site sur phishing-initiative.fr. Pour les SMS, transférez au 33700. Déposez plainte en ligne sur la plateforme THESEE.
- 5
Alertez votre entreprise
Prévenez immédiatement votre service informatique et votre direction. L'attaque peut viser d'autres collaborateurs. Le RSSI (responsable de la sécurité) doit être informé pour contenir l'incident.
- 6
Conservez les preuves
Capturez des screenshots de l'e-mail, du site frauduleux, des URL. Conservez les en-têtes techniques de l'e-mail. Ces éléments seront indispensables pour le dépôt de plainte et l'enquête.
Se protéger efficacement
Protection humaine
• Exercices de simulation de phishing (campagnes test)
• Procédure de signalement simple et rapide (bouton dédié dans la messagerie)
• Culture de la vérification : contre-appel systématique pour tout changement de RIB
• Charte informatique à jour, signée par tous les collaborateurs
Protection technique
• Filtrage anti-phishing avancé sur la messagerie (SPF, DKIM, DMARC)
• Gestionnaire de mots de passe pour éviter la réutilisation
• Mises à jour automatiques de tous les logiciels et systèmes
• Sauvegardes régulières et testées (protection anti-ransomware)
Outils et solutions techniques
| Catégorie | Outils | Usage |
|---|---|---|
| Filtrage e-mail | Microsoft Defender, Proofpoint, Barracuda, Vade | Détection et blocage automatique des e-mails de phishing avant qu'ils n'atteignent la boîte de réception. |
| Simulation de phishing | KnowBe4, Gophish, Cofense, Mailinblack | Campagnes de test internes pour mesurer la vigilance des collaborateurs et adapter la formation. |
| Gestionnaire de mots de passe | Bitwarden, 1Password, Dashlane, KeePass | Mots de passe uniques et complexes pour chaque service. Ne saisit les identifiants que sur les URLs légitimes. |
| MFA / 2FA | Google Authenticator, Authy, YubiKey, clés FIDO2 | Second facteur d'authentification rendant le vol de mot de passe insuffisant pour accéder au compte. |
| DNS sécurisé | Cloudflare 1.1.1.1, Quad9, NextDNS | Blocage des domaines malveillants connus au niveau DNS, avant même que le site ne se charge. |
| Signalement | Signal Spam, Phishing Initiative, PHAROS, THESEE | Plateformes officielles pour signaler les tentatives et déposer plainte en ligne. |
Nos conseils pour les dirigeants
Sécurisez vos processus financiers avec un expert
Nos experts-comptables vous accompagnent dans la mise en place de processus de validation sécurisés, la détection des anomalies comptables et la prévention des fraudes. La rigueur comptable est votre meilleur bouclier.