Le phishing : comment ça marche et comment s’en protéger
Le phishing est aujourd’hui l’une des principales portes d’entrée des cyberattaques contre les entreprises françaises. Derrière ce mot anglais se cache une mécanique redoutablement efficace : l’attaquant n’a pas besoin de « pirater » votre système informatique au sens technique du terme. Il lui suffit de vous tromper. Comprendre comment fonctionne concrètement une attaque de phishing, étape par étape, c’est déjà se donner les moyens de la déjouer. C’est précisément l’objet de cet article — pour aller plus loin sur les variantes et les tendances, consultez notre guide complet phishing et hameçonnage.
Qu’est-ce que le phishing, au fond ?
Le terme « phishing » est une déformation du mot anglais fishing (pêcher) : l’attaquant jette un appât et attend que la victime morde. En français, l’Académie recommande le terme hameçonnage, mais les deux désignent la même réalité. L’objectif est toujours identique : amener une personne à divulguer volontairement des informations confidentielles — identifiants, mots de passe, coordonnées bancaires, données clients — en lui faisant croire qu’elle interagit avec une entité légitime (sa banque, un opérateur, un partenaire commercial, un collègue).
Ce qui rend le phishing particulièrement dangereux, c’est qu’il exploite la psychologie humaine, pas une faille logicielle. Aucun antivirus ne peut bloquer une erreur de jugement — d’où l’importance de former les collaborateurs et de comprendre le mécanisme de l’intérieur.
Étape 1 — La préparation de l’appât
Toute attaque de phishing commence par une phase de reconnaissance et de préparation. L’attaquant choisit d’abord sa cible : une entreprise, un secteur, parfois une personne précise (on parle alors de spear phishing). Il collecte des informations publiques — site web de l’entreprise, noms des dirigeants sur LinkedIn, adresses e-mail professionnelles, logos et chartes graphiques.
Il rédige ensuite le message d’appât. Ce message imite le ton et le style d’un organisme de confiance : la Direction Générale des Finances Publiques, un grand opérateur de téléphonie, votre banque, ou même le PDG de votre propre société. Le contenu joue sur des leviers psychologiques précis :
| Levier psychologique | Exemple de formulation utilisée |
|---|---|
| Urgence | « Votre compte sera suspendu dans 24 h si vous ne confirmez pas… » |
| Autorité | « Message de votre service des impôts — régularisation requise » |
| Gain / récompense | « Vous avez un remboursement de 47,80 € en attente » |
| Peur / menace | « Activité inhabituelle détectée sur votre compte — agissez maintenant » |
| Confiance relationnelle | « Bonjour [Prénom], suite à notre échange de la semaine dernière… » |
Le saviez-vous ? Les attaquants consacrent parfois plusieurs semaines à analyser une cible avant d’envoyer un seul e-mail. Dans les attaques sophistiquées de spear phishing, le message mentionne le prénom du destinataire, son poste, son manager ou un projet en cours — des détails qui rendent la tentative presque impossible à distinguer d’un vrai e-mail professionnel.
Étape 2 — L’usurpation d’identité visuelle et technique
L’appât ne vaut rien sans une usurpation crédible. À ce stade, l’attaquant construit l’illusion de légitimité sur deux plans.
Sur le plan visuel : le logo, les couleurs, la police, le pied de page de l’e-mail sont copiés à l’identique depuis les vraies communications de l’organisme imité. Un e-mail imitant votre banque sera quasi indiscernable de l’original pour un œil non averti.
Sur le plan technique : l’adresse d’expédition est manipulée. Techniques courantes : le spoofing (falsification de l’en-tête « From »), l’utilisation d’un domaine typosquatté très proche du vrai (ameli-sante.fr au lieu de ameli.fr, creditagricol.com au lieu de credit-agricole.fr), ou la création d’un sous-domaine trompeur (client.banque-securite-verification.com). Ces domaines sont enregistrés quelques jours avant l’envoi, spécifiquement pour l’attaque.
Étape 3 — La page piège (fausse page de connexion)
Le message contient un lien cliquable — ou un bouton d’action — qui redirige la victime vers une page Web frauduleuse. Cette page est l’élément central du dispositif : elle reproduit à l’identique l’interface de connexion de la banque, du service administratif ou de l’outil professionnel imité.
L’adresse URL de cette page est conçue pour paraître rassurante au premier coup d’œil : elle peut contenir le nom de la marque usurpée, et dispose parfois d’un certificat SSL valide (le fameux cadenas et le « https »). Ce détail surprend souvent : oui, une page de phishing peut afficher « https ». Le certificat SSL garantit uniquement que la connexion est chiffrée en transit — pas que le site est honnête ni légitime.
⚠ Attention — Le cadenas HTTPS ne signifie pas que le site est sûr. Il signifie uniquement que vos données sont chiffrées en transit. Un site de phishing peut très bien arborer ce cadenas tout en volant vos identifiants dès que vous les saisissez. Vérifiez toujours le nom de domaine complet, pas seulement la présence du cadenas.
Étape 4 — La collecte et l’exploitation des données volées
La victime, convaincue d’être sur le vrai site, saisit ses identifiants, son mot de passe, son numéro de carte bancaire ou tout autre donnée demandée. Ces informations sont transmises en temps réel vers un serveur contrôlé par l’attaquant, souvent hébergé dans un pays où la coopération judiciaire est difficile.
Deux scénarios d’exploitation s’enchaînent alors. Le premier est l’exploitation immédiate : l’attaquant se connecte instantanément au vrai compte de la victime avec les identifiants volés, réalise un virement, passe une commande frauduleuse, ou exfiltre des données clients. Dans les attaques contre des entreprises, ce délai peut être inférieur à quelques minutes après la saisie.
Le second scénario est la revente sur des marchés clandestins : les données collectées sont agrégées et revendues à d’autres cybercriminels. Un lot d’identifiants d’entreprise — adresse e-mail professionnelle, mot de passe d’un ERP ou d’un accès VPN — peut atteindre des prix élevés, car il ouvre la porte à des attaques de plus grande ampleur comme un ransomware ou une fraude au virement bancaire international.
À retenir : Le phishing n’est souvent que la première étape d’une attaque plus large. Les identifiants volés aujourd’hui peuvent servir à déclencher un ransomware plusieurs semaines plus tard, une fois que l’attaquant a cartographié votre réseau en silence. La rapidité de réaction après un incident est donc déterminante.
Comment reconnaître un e-mail de phishing ?
Maintenant que vous connaissez le mécanisme, voici les signaux d’alerte concrets à repérer avant tout clic :
| Élément à vérifier | Bon réflexe |
|---|---|
| Adresse d’expédition | Cliquer sur le nom de l’expéditeur pour voir la vraie adresse e-mail — pas seulement le nom affiché |
| URL du lien | Survoler le lien sans cliquer pour voir l’adresse réelle en bas de l’écran |
| Ton urgent ou menaçant | Marquer une pause — l’urgence artificielle est un signal fort de manipulation |
| Demande de données sensibles | Aucun organisme légitime ne demande un mot de passe par e-mail ou SMS |
| Fautes ou tournures étranges | Signe possible d’une traduction automatique — à prendre au sérieux même si le message semble globalement correct |
| Pièce jointe inattendue | Ne jamais ouvrir un document non sollicité sans vérifier auprès de l’expéditeur par un autre canal |
Votre entreprise est-elle une cible facile ?
Diagnostic cybersécurité offert, sans engagement.
Les bonnes pratiques pour protéger votre entreprise
La protection contre le phishing repose sur une combinaison de mesures techniques et de formation humaine. Aucune des deux ne suffit seule.
Activer la double authentification (2FA) sur tous les comptes critiques : messagerie professionnelle, outils métier, accès au réseau. Même si un attaquant vole votre mot de passe, il lui manquera le second facteur pour se connecter. C’est l’une des protections les plus efficaces face aux conséquences d’un phishing réussi.
Mettre en place un filtre anti-phishing sur votre messagerie. Les solutions modernes (Microsoft Defender for Office 365, Google Workspace Advanced Protection, ou un prestataire cybersécurité dédié) analysent les liens suspects et les pièces jointes en temps réel et bloquent une grande partie des tentatives avant qu’elles n’atteignent la boîte de réception.
Former régulièrement les collaborateurs. L’erreur humaine reste le facteur déclenchant dans la quasi-totalité des phishings réussis. Une formation annuelle ne suffit pas : des exercices de simulation de phishing (envois de faux e-mails contrôlés en interne) permettent de tester la vigilance réelle et d’identifier les personnes à former en priorité.
Vérifier les expéditeurs par un second canal dès qu’un e-mail demande une action financière ou la communication d’un accès. Un appel téléphonique de trente secondes peut éviter des milliers d’euros de pertes. Cette règle s’applique même — et surtout — si l’e-mail semble provenir du dirigeant de votre propre entreprise (technique dite de « fraude au président »).
Activer les protocoles d’authentification des e-mails sur votre domaine : SPF, DKIM et DMARC. Ces trois protocoles rendent beaucoup plus difficile l’usurpation de votre propre domaine par un attaquant qui voudrait envoyer des e-mails frauduleux en se faisant passer pour vous. Votre prestataire hébergeur ou votre DSI peut les configurer en quelques heures.
Pour aller plus loin sur les variantes du phishing (vishing par téléphone, smishing par SMS, phishing sur les réseaux sociaux) et les mesures de protection avancées, notre guide complet phishing et hameçonnage détaille chaque vecteur d’attaque avec les contre-mesures associées.
FAQ — Vos questions sur le phishing
Quelle est la différence entre phishing et hameçonnage ?
Phishing et hameçonnage désignent la même technique : hameçonnage est simplement la traduction française officielle recommandée par la Commission générale de terminologie. Les deux termes sont utilisés indifféremment en France dans les communications officielles de l’ANSSI et de cybermalveillance.gouv.fr.
Comment savoir si un e-mail est une tentative de phishing ?
Vérifiez l’adresse e-mail réelle de l’expéditeur (pas seulement le nom affiché), survolez les liens avant de cliquer pour voir la vraie URL de destination, méfiez-vous des demandes urgentes et des formulations menaçantes, et ne saisissez jamais vos identifiants depuis un lien reçu par e-mail : accédez toujours au site directement depuis votre navigateur.
Le phishing peut-il cibler les entreprises, pas seulement les particuliers ?
Oui, et les TPE/PME sont particulièrement visées car elles disposent souvent de données bancaires et de fichiers clients sans avoir mis en place de protections avancées. Le spear phishing cible spécifiquement les collaborateurs nommément identifiés — comptable, assistante de direction, responsable des achats — dont le rôle est associé à des transactions financières ou à des accès sensibles.
Que faire si j’ai cliqué sur un lien de phishing ?
Déconnectez-vous d’Internet immédiatement pour interrompre toute transmission en cours. Changez tous vos mots de passe depuis un autre appareil sain. Prévenez votre service informatique ou votre prestataire. Signalez l’incident sur cybermalveillance.gouv.fr. Si des données financières ont été compromises, contactez votre banque sans délai pour faire opposition.
La double authentification protège-t-elle vraiment contre le phishing ?
La double authentification (2FA) complique fortement l’exploitation d’identifiants volés. Elle ne rend pas le phishing impossible — certaines attaques avancées interceptent aussi le code OTP grâce à des pages intermédiaires actives en temps réel — mais elle constitue une barrière efficace contre la grande majorité des tentatives automatisées et reste l’une des mesures prioritaires recommandées par l’ANSSI.
Rédigé par l’équipe cyber-diagnostic.fr — mis à jour le 30 juin 2026.
Laisser un commentaire