Le phishing (ou hameçonnage) est une technique de cyberfraude où un attaquant se fait passer pour un tiers de confiance — banque, administration, fournisseur ou collègue — afin d’inciter la victime à révéler ses identifiants, ses données bancaires ou à installer un logiciel malveillant, le plus souvent par le biais d’un e-mail ou d’un message frauduleux.
Le terme vient de l’anglais fishing (pêche à la ligne) : le cybercriminel « lance un hameçon » et attend que l’une de ses cibles morde. Pour aller encore plus loin dans la compréhension des mécanismes d’attaque et des moyens de s’en protéger, consultez notre guide complet sur le phishing et l’hameçonnage. Dans cet article, nous nous concentrons sur la définition du phishing, ses différentes formes et les signaux concrets qui permettent de le reconnaître.
Pourquoi le phishing est-il si efficace ?
Le phishing repose sur un principe simple : il est souvent plus facile de tromper un être humain que de contourner une protection technique. Plutôt que d’attaquer directement un système informatique, l’escroc manipule la confiance, l’urgence ou la peur pour pousser sa victime à agir sans réfléchir.
Cette approche — appelée ingénierie sociale — est particulièrement redoutable car elle exploite des réflexes humains universels : obéir à une autorité, répondre à une situation d’urgence, ne pas vouloir perdre de l’argent. Un message de phishing bien conçu peut tromper des personnes parfaitement compétentes et vigilantes.
Le saviez-vous ? La grande majorité des cyberattaques commence par un e-mail de phishing. C’est le vecteur d’entrée initial le plus fréquemment observé dans les incidents de sécurité en entreprise, ce qui en fait la menace numéro un à adresser en priorité.
Les attaquants misent également sur le volume : en envoyant des millions de messages, même un taux de réussite infime suffit à générer des profits significatifs. Pour les TPE et PME, le risque est d’autant plus élevé que les procédures de vérification y sont souvent moins formalisées.
Les principaux types de phishing
Il n’existe pas un seul type de phishing mais une famille d’attaques qui partagent le même principe de base. Voici les formes les plus courantes rencontrées en entreprise.
| Type | Canal | Caractéristique principale |
|---|---|---|
| Phishing classique (bulk) | Message envoyé en masse, peu personnalisé, imite une grande marque ou une administration | |
| Spear phishing | Ciblé sur une personne ou une organisation précise, très personnalisé, crédibilité élevée | |
| Whaling | Vise spécifiquement les dirigeants (PDG, DAF) pour des virements frauduleux ou des accès critiques | |
| Smishing | SMS | Faux messages de livraison, d’amende ou de banque par SMS avec lien piégé |
| Vishing | Téléphone | Appel vocal imitant un technicien, un conseiller bancaire ou une administration |
| Quishing | QR code | QR code malveillant affiché sur un document ou une affiche, redirige vers un site frauduleux |
Chaque variante du phishing adapte son canal et son niveau de personnalisation à la cible visée. Le spear phishing et le whaling sont particulièrement dangereux pour les entreprises car ils peuvent aboutir à des fraudes au virement de plusieurs dizaines de milliers d’euros.
Exemples concrets de phishing en entreprise
Comprendre la définition du phishing est une chose ; reconnaître ses manifestations concrètes en est une autre. Voici des scénarios réels fréquemment observés.
Exemple 1 — La fausse facture fournisseur : un comptable reçoit un e-mail de ce qui ressemble à un fournisseur habituel, indiquant un changement de RIB. Le domaine de l’expéditeur est légèrement modifié (fournisseur-sarl.fr au lieu de fournisseur.fr). Le virement est effectué sur le compte de l’escroc avant que la fraude soit détectée.
Exemple 2 — L’alerte Microsoft 365 : un employé reçoit un e-mail l’informant que son accès à Microsoft 365 va être suspendu dans 24 heures. Un lien l’invite à « vérifier son compte ». La page de connexion est une copie quasi parfaite du portail officiel. En saisissant ses identifiants, il les transmet directement aux attaquants.
Exemple 3 — Le message du « PDG » : une assistante de direction reçoit un e-mail urgent de son dirigeant, en déplacement, lui demandant d’effectuer discrètement un virement exceptionnel. Ce scénario, connu sous le nom de fraude au président, est une forme avancée de whaling particulièrement répandue en France.

À retenir : dans les exemples ci-dessus, aucun système informatique n’a été « piraté » au sens technique du terme. L’humain est le maillon exploité. C’est pourquoi la sensibilisation des collaborateurs est la première ligne de défense contre le phishing, avant même les outils techniques.
Comment reconnaître un message de phishing : les signaux d’alerte
Un e-mail de phishing bien construit peut sembler parfaitement légitime. Cependant, plusieurs indices permettent de lever le doute avant de cliquer ou de répondre.
| Signal d’alerte | Ce qu’il faut vérifier |
|---|---|
| Adresse expéditeur suspecte | Le domaine est légèrement modifié (ex. : amaz0n.fr, impots-gouv.net) |
| Ton urgent ou menaçant | « Votre compte sera suspendu dans 24h », « Action immédiate requise » |
| Lien trompeur | Survoler le lien révèle une URL différente du texte affiché |
| Demande de données sensibles | Identifiants, mot de passe, numéro de carte bancaire |
| Pièce jointe inattendue | Fichier .zip, .exe, .docm ou PDF non sollicité |
| Fautes et maladresses | Orthographe approximative, mise en page incohérente, logo flou |
| Demande hors procédure | Virement ou changement de RIB demandé par e-mail seul, sans validation croisée |
La règle d’or : en cas de doute, ne cliquez pas et ne répondez pas. Vérifiez l’authenticité du message par un autre canal — un appel téléphonique au numéro officiel de l’expéditeur supposé, jamais à un numéro fourni dans le mail suspect lui-même.

Que faire si vous êtes victime d’un phishing ?
La rapidité de réaction est déterminante. Voici la procédure à suivre dès que vous suspectez avoir mordu à l’hameçon.
1. Ne paniquez pas et ne tentez pas de « réparer » seul. Toute action précipitée peut aggraver la situation — changer un mot de passe depuis un poste potentiellement compromis, par exemple, expose ce nouveau mot de passe au même risque.
2. Déconnectez le poste du réseau (Wi-Fi et câble Ethernet) pour limiter la propagation en cas d’infection par un logiciel malveillant.
3. Changez immédiatement vos mots de passe depuis un appareil sain, en commençant par les comptes les plus sensibles : messagerie professionnelle, accès bancaires, VPN d’entreprise.
4. Alertez votre référent informatique ou cybersécurité sans délai, en conservant le message original (ne le supprimez pas : il constituera une preuve).
5. Signalez le message frauduleux sur signal-spam.fr et, si des données bancaires sont impliquées, contactez votre établissement bancaire pour bloquer les opérations.
6. Déposez plainte auprès des services de police ou de gendarmerie, ou via la plateforme cybermalveillance.gouv.fr, qui propose également des ressources d’aide aux victimes professionnelles.
⚠ Attention : ne réutilisez jamais le même mot de passe sur plusieurs services. Si un compte est compromis via le phishing, tous les comptes partageant ce mot de passe sont potentiellement exposés. L’usage d’un gestionnaire de mots de passe et de la double authentification (MFA) réduit considérablement l’impact d’une attaque réussie.
Comment protéger son entreprise contre le phishing ?
La protection contre le phishing repose sur une combinaison de mesures techniques et humaines. Aucune solution seule ne suffit ; c’est leur complémentarité qui crée une défense efficace pour votre organisation.
Sur le plan technique, les outils suivants réduisent significativement la surface d’attaque :
Le filtrage anti-spam et anti-phishing au niveau de la messagerie bloque une grande partie des messages malveillants avant qu’ils n’atteignent les boîtes de réception. Les protocoles d’authentification des e-mails (SPF, DKIM, DMARC) permettent aux serveurs destinataires de vérifier qu’un message provient bien du domaine qu’il prétend utiliser, rendant plus difficile l’usurpation de votre propre domaine. La double authentification (MFA) sur tous les comptes critiques garantit que même si un mot de passe est volé, l’attaquant ne peut pas accéder au compte sans le second facteur.
Sur le plan humain, la sensibilisation régulière des collaborateurs est indispensable. Des exercices de simulation de phishing permettent de mesurer la vigilance des équipes et d’identifier les personnes nécessitant un accompagnement renforcé. Ces exercices doivent être perçus comme un outil de formation, non de sanction.
Enfin, des procédures claires — validation à deux personnes pour tout virement, canal de signalement dédié aux mails suspects — réduisent l’impact des attaques qui parviennent tout de même à franchir les filtres techniques. Pour évaluer où en est votre structure sur ces différents axes, un diagnostic cybersécurité offert permet d’identifier vos principales vulnérabilités en moins d’une heure.
Vos collaborateurs sauraient-ils repérer un faux mail ?
Diagnostic cybersécurité offert, sans engagement.
FAQ — Questions fréquentes sur le phishing
Quelle est la définition simple du phishing ?
Le phishing (ou hameçonnage) est une technique de cyberfraude où un attaquant se fait passer pour un tiers de confiance — banque, administration, collègue — afin d’inciter la victime à révéler ses identifiants, ses données bancaires ou à installer un logiciel malveillant.
Quelle est la différence entre phishing et spear phishing ?
Le phishing classique est envoyé en masse à des milliers de destinataires sans personnalisation. Le spear phishing (hameçonnage ciblé) vise une personne ou une organisation précise : le message est personnalisé avec des informations réelles (nom, poste, entreprise) pour paraître totalement crédible et contourner la vigilance naturelle de la cible.
Comment reconnaître un mail de phishing ?
Les principaux signaux d’alerte sont : une adresse expéditeur légèrement modifiée, un ton urgent ou menaçant, un lien dont l’URL réelle ne correspond pas au texte affiché, des fautes d’orthographe, une pièce jointe inattendue, ou une demande de saisie d’identifiants sur un site externe.
Que faire si j’ai cliqué sur un lien de phishing ?
Agir vite : déconnectez le poste du réseau, changez immédiatement les mots de passe des comptes concernés depuis un appareil sain, prévenez votre service informatique ou votre référent cybersécurité, et signalez le mail sur signal-spam.fr. Si des données bancaires ont été saisies, contactez sans délai votre banque.
Les TPE et PME sont-elles vraiment ciblées par le phishing ?
Oui. Les petites structures sont souvent perçues comme des cibles faciles car elles disposent de moins de ressources dédiées à la cybersécurité. Les attaquants misent sur l’absence de procédures de vérification et la proximité entre les équipes pour déclencher des virements frauduleux ou obtenir des accès sensibles.
Rédigé par l’équipe cyber-diagnostic.fr — mis à jour le 30 juin 2026.


Laisser un commentaire