Le phishing — ou hameçonnage en français — est aujourd’hui la cybermenace la plus répandue en France, tous secteurs confondus. Son principe est simple mais redoutablement efficace : un cybercriminel se fait passer pour un tiers de confiance (banque, administration, fournisseur, collègue) afin de vous pousser à cliquer sur un lien piégé, à ouvrir une pièce jointe infectée ou à divulguer des informations sensibles. Pour les TPE et PME, les conséquences peuvent être sévères : vol d’identifiants, virement frauduleux, paralysie du système d’information. Comprendre comment fonctionne le phishing, reconnaître ses formes et savoir réagir est devenu une compétence de base pour toute entreprise. Cet article pilier vous donne les clés.
Phishing et hameçonnage : deux mots, une seule menace
Avant d’entrer dans le détail des techniques, un point de vocabulaire s’impose. La définition du phishing est souvent résumée ainsi : usurpation d’identité numérique dans le but de tromper une victime. Le terme vient de l’anglais fishing (pêche) : les cybercriminels « lancent un hameçon » et attendent que quelqu’un morde. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Commission générale de terminologie ont retenu le terme français hameçonnage pour désigner exactement la même réalité.
Si vous souhaitez aller plus loin dans la compréhension des mécanismes, notre page dédiée à comprendre le phishing détaille le cycle complet d’une attaque, de la préparation du leurre à l’exploitation des données volées. Pour approfondir le vocabulaire technique (spoofing, typosquatting, etc.), consultez également notre glossaire sur ce qu’est l’hameçonnage au sens technique.
Le saviez-vous ? Selon les données recueillies par Cybermalveillance.gouv.fr, le phishing figure systématiquement parmi les trois premières menaces déclarées par les entreprises françaises. La grande majorité des incidents de sécurité débute par un e-mail frauduleux.
Les principales formes de phishing que les PME doivent connaître
Le phishing ne se limite plus à l’e-mail. Les attaquants exploitent tous les canaux de communication disponibles pour atteindre leurs cibles. Voici les variantes les plus fréquentes dans le contexte des entreprises françaises.
Le phishing par e-mail : la forme classique
L’e-mail de phishing reste le vecteur d’attaque numéro un. L’expéditeur usurpe l’identité d’une banque, d’un fournisseur, de l’administration fiscale ou encore d’un éditeur de logiciel. Le message contient généralement un lien hypertexte trompeur pointant vers un faux site, ou une pièce jointe malveillante (PDF, Word, Excel) qui installe un logiciel espion au moment de l’ouverture. La mise en page imite souvent à la perfection les communications officielles, logo inclus.
Le smishing : le phishing par SMS
Le smishing (SMS + phishing) a explosé ces dernières années, notamment avec la prolifération des achats en ligne. Un SMS prétendument envoyé par La Poste, Colissimo ou un transporteur indique qu’un colis est en attente et invite la victime à régler des frais de douane via un lien. D’autres variantes imitent les services des impôts, l’Assurance Maladie ou des banques. Le réflexe de confiance envers les SMS est souvent plus fort qu’envers les e-mails, ce qui rend cette technique particulièrement efficace.
Le vishing : le phishing par téléphone
Le vishing (voice + phishing) repose sur un appel téléphonique frauduleux. Un prétendu conseiller bancaire, un « technicien Microsoft » ou un agent des impôts contacte la victime pour l’inciter à communiquer des informations sensibles ou à effectuer une action urgente (virement, installation d’un logiciel de prise en main à distance). Le vishing exploite la pression sociale et l’autorité perçue de l’interlocuteur.
Le spear phishing : l’hameçonnage sur mesure
Le spear phishing (hameçonnage ciblé) est la variante la plus dangereuse pour les PME. Contrairement à un e-mail de masse générique, l’attaquant réalise au préalable un travail de renseignement : il consulte le site web de l’entreprise, LinkedIn, les réseaux sociaux, les mentions légales. Il rédige ensuite un message personnalisé mentionnant le nom du destinataire, son poste, ses projets ou ses fournisseurs. Le message est quasi indétectable sans une vigilance active.
| Type d’attaque | Canal utilisé | Cible principale | Niveau de personnalisation |
|---|---|---|---|
| Phishing classique | Grand public, employés | Faible (message de masse) | |
| Spear phishing | E-mail ciblé | Dirigeants, comptables, DAF | Élevé (recherche préalable) |
| Smishing | SMS | Tout collaborateur | Faible à modéré |
| Vishing | Téléphone | Secrétaires, comptables | Modéré à élevé |
| Whaling | E-mail / téléphone | PDG, DG, membres CODIR | Très élevé |
Les scénarios d’attaque les plus fréquents en PME
Les PME sont des cibles de choix pour les cybercriminels : elles brassent des données et de l’argent, mais disposent rarement des mêmes défenses qu’une grande entreprise. Voici les scénarios concrets les plus observés.
Le faux fournisseur et le changement de RIB
Un employé du service comptabilité reçoit un e-mail apparemment envoyé par un fournisseur habituel. Le message, rédigé dans un français correct, signale un changement de coordonnées bancaires et joint un nouveau RIB. L’adresse de l’expéditeur ressemble à s’y méprendre à la vraie (ex. : contact@fournisseur-sarl.fr remplacé par contact@fournisseur-sar1.fr). Le virement suivant part sur le compte du fraudeur. Ce type d’arnaque, appelée fraude au faux fournisseur, représente l’une des escroqueries les plus coûteuses pour les entreprises.
La fraude au président (FOVI)
La fraude au président — ou FOVI (Faux Ordre de Virement International) — consiste à se faire passer pour le dirigeant de l’entreprise et à contacter un comptable ou un responsable financier pour lui demander d’effectuer en urgence un virement confidentiel. L’attaquant a au préalable étudié l’organigramme, le calendrier (le dirigeant est en déplacement), et utilise parfois une adresse e-mail usurpée ou un numéro masqué. L’urgence et la confidentialité sont les deux leviers psychologiques systématiquement exploités.
Le faux support informatique
Un appel ou un e-mail d’un prétendu technicien (Microsoft, Orange, votre prestataire IT) signale un problème grave sur votre réseau ou votre boîte mail. La victime est invitée à installer un logiciel de prise en main à distance (type AnyDesk ou TeamViewer). Une fois l’accès accordé, l’attaquant peut voler des données, installer un ransomware ou effectuer des virements depuis les applications bancaires ouvertes dans le navigateur. Ne jamais accorder l’accès à distance à une personne qui vous contacte de manière non sollicitée.
⚠ Attention — La fraude au président et la fraude au faux fournisseur exploitent la confiance et l’urgence. Toute demande de virement inhabituellement urgente ou confidentielle, même émanant d’un interlocuteur connu, doit faire l’objet d’une vérification par un autre canal (appel téléphonique sur un numéro connu, et non celui indiqué dans le message).
Comment reconnaître un message frauduleux : les signaux d’alerte
Même les messages de phishing les plus sophistiqués laissent des traces. Apprendre à repérer les indices de fraude permet de déjouer la grande majorité des tentatives.
| Signal d’alerte | Ce qu’il faut vérifier |
|---|---|
| Adresse d’expéditeur suspecte | Comparer le domaine réel (après @) avec le domaine officiel connu. Attention aux variantes : tiret, chiffre à la place d’une lettre, extension différente (.net au lieu de .fr). |
| Urgence ou menace | « Votre compte sera suspendu », « Agissez maintenant » — les vrais organismes ne créent pas de panique artificielle par e-mail. |
| Lien ne correspondant pas au texte | Survoler le lien (sans cliquer) pour voir l’URL réelle dans la barre de statut. Un lien affiché « ma-banque.fr » peut pointer vers « ma-banque-secure.ru ». |
| Pièce jointe inattendue | Facture, bon de commande ou document RH non sollicité : ne jamais ouvrir sans vérification préalable, même si l’expéditeur semble connu. |
| Demande d’informations sensibles | Aucun organisme sérieux (banque, impôts, opérateur) ne demande mot de passe ou numéro de carte par e-mail ou SMS. |
| Fautes et mise en page approximative | Fautes d’orthographe, formules maladroites, logo flou ou pixélisé : signes d’un message fabriqué rapidement. |
À retenir — La règle d’or : en cas de doute, ne cliquez pas. Contactez directement l’organisme supposé expéditeur via un numéro ou une adresse que vous connaissez déjà, jamais via les coordonnées indiquées dans le message suspect.
Vos équipes sauraient-elles repérer un faux mail ?
Diagnostic cybersécurité offert : on teste votre exposition au phishing.
Les mécanismes psychologiques exploités par les cybercriminels
Le phishing ne repose pas uniquement sur la technique : il exploite avant tout la psychologie humaine. Comprendre ces mécanismes aide à mieux s’en prémunir.
Les attaquants s’appuient sur plusieurs biais cognitifs bien documentés. L’urgence pousse à agir sans réfléchir (« Votre paiement est en attente »). L’autorité inhibe le questionnement (message d’un « supérieur », d’une administration, d’un grand groupe). La familiarité détend la vigilance : un message mentionnant votre prénom, votre fournisseur habituel ou un projet en cours paraît légitime. Enfin, la peur — d’une pénalité fiscale, d’une suspension de compte, d’une fuite de données — court-circuite le jugement rationnel.
C’est précisément parce que ces ressorts psychologiques sont universels que même des employés expérimentés peuvent tomber dans le piège. La formation et la sensibilisation régulières sont indispensables pour maintenir un niveau de vigilance collectif.
Comment protéger son entreprise contre le phishing
La protection contre le phishing repose sur une combinaison de mesures techniques, de procédures organisationnelles et de formation des équipes. Aucune de ces dimensions n’est suffisante seule.
Activer l’authentification multi-facteurs (MFA)
L’authentification multi-facteurs (MFA ou 2FA) est la mesure technique qui offre le meilleur rapport protection/effort. Même si un attaquant récupère un mot de passe via du phishing, il ne pourra pas se connecter sans le second facteur d’authentification (code temporaire, application d’authentification, clé physique FIDO2). Activez le MFA en priorité sur la messagerie professionnelle, les outils de comptabilité, les accès bancaires et les connexions VPN.
Attention toutefois : certaines attaques avancées dites adversary-in-the-middle (AiTM) peuvent contourner les MFA basés sur des codes SMS. Les clés de sécurité physiques compatibles FIDO2 (YubiKey, clé Google Titan) offrent une protection plus robuste contre ce type de menace.
Mettre en place des procédures de vérification pour les virements
Établissez une règle de double validation pour tout virement dépassant un certain seuil, et imposez une confirmation par appel téléphonique sur un numéro connu dès qu’un changement de RIB est demandé. Ces procédures simples suffisent à déjouer la quasi-totalité des fraudes au faux fournisseur et des fraudes au président. La règle doit être écrite, connue de tous, et appliquée sans exception — même quand le « PDG » insiste sur l’urgence et la confidentialité.
Sécuriser le domaine e-mail avec SPF, DKIM et DMARC
Ces trois protocoles d’authentification de messagerie réduisent la capacité des attaquants à usurper votre domaine pour envoyer des e-mails frauduleux en votre nom. SPF définit les serveurs autorisés à envoyer depuis votre domaine, DKIM signe les messages sortants, DMARC indique aux serveurs destinataires quoi faire en cas d’échec d’authentification. Leur configuration relève de votre hébergeur ou prestataire IT, mais vérifiez qu’ils sont bien activés.
Former et sensibiliser régulièrement les collaborateurs
La technique ne peut pas tout : un collaborateur bien formé reste le meilleur rempart contre le phishing. La sensibilisation au phishing en entreprise doit être régulière (au moins une fois par an), pratique (simulations de phishing, études de cas réels) et accessible à tous les niveaux hiérarchiques — y compris les dirigeants, qui sont des cibles de choix pour le spear phishing et la fraude au président.
💡 Astuce — Organisez des simulations de phishing en interne : envoyez un faux e-mail de phishing bienveillant à vos équipes et mesurez le taux de clics. C’est le moyen le plus efficace pour identifier les collaborateurs les plus exposés et adapter votre programme de sensibilisation. De nombreux prestataires proposent ce type d’exercice clé en main.
Maintenir les logiciels et systèmes à jour
Les mises à jour de sécurité corrigent les failles exploitées par les logiciels malveillants installés via des pièces jointes ou des liens de phishing. Activez les mises à jour automatiques sur tous les postes, navigateurs et applications, et veillez à ce que votre antivirus soit maintenu à jour. Un système non patché transforme un simple clic sur un lien frauduleux en intrusion complète.
Filtrage e-mail et protection avancée des messageries
Les solutions de filtrage anti-phishing (anti-spam avancé, sandboxing de pièces jointes, protection contre les URL malveillantes) réduisent considérablement le nombre de messages frauduleux qui atteignent vos collaborateurs. Microsoft 365 Defender, Google Workspace Advanced Protection ou des solutions tierces offrent ces fonctionnalités. Elles ne remplacent pas la vigilance humaine, mais réduisent la surface d’attaque.
| Bonne pratique | Priorité | Qui est concerné |
|---|---|---|
| Activer le MFA sur messagerie et outils sensibles | Haute — à faire immédiatement | Tous les collaborateurs |
| Procédure de double validation pour les virements | Haute — critique pour la comptabilité | Comptabilité, direction |
| Configurer SPF / DKIM / DMARC | Haute — protection du domaine | Prestataire IT / DSI |
| Formation et simulation de phishing | Moyenne — à planifier annuellement | Tous les collaborateurs |
| Mises à jour automatiques | Haute — hygiène de base | DSI / prestataire IT |
| Filtrage anti-phishing sur la messagerie | Moyenne — selon le niveau de risque | DSI / prestataire IT |
Que faire si vous êtes victime d’une attaque de phishing ?
La rapidité de réaction est déterminante pour limiter les dégâts. Si un employé a cliqué sur un lien suspect ou communiqué des informations sensibles, voici les étapes à suivre sans délai.
En premier lieu, isolez le poste concerné du réseau (débranchez le câble réseau, désactivez le Wi-Fi) pour éviter toute propagation. Changez immédiatement tous les mots de passe potentiellement compromis, depuis un autre appareil sain. Activez ou vérifiez le MFA sur tous les comptes exposés. Si des coordonnées bancaires ont été communiquées ou un virement effectué, contactez votre banque dans les meilleurs délais : un virement frauduleux peut parfois être rappelé s’il est signalé rapidement.
Prévenez votre responsable informatique ou votre prestataire IT pour une analyse complète de l’incident. Signalez le message frauduleux sur la plateforme nationale Phishing Initiative (phishing-initiative.fr) ou sur Signal-Spam. En cas de préjudice avéré, déposez une plainte auprès des autorités compétentes (police, gendarmerie, ou en ligne via thesee.interieur.gouv.fr). Si votre entreprise dispose d’une assurance cyber, documentez soigneusement l’incident pour constituer un dossier.
Le saviez-vous ? La plateforme cybermalveillance.gouv.fr propose une assistance gratuite aux entreprises victimes de cyberattaques, ainsi qu’un annuaire de prestataires spécialisés référencés. Elle constitue le premier réflexe à adopter en cas d’incident.
Phishing et réglementation : obligations des entreprises françaises
Le phishing n’est pas seulement une menace pour votre trésorerie ou vos données : il engage également votre responsabilité légale. Si une attaque de phishing aboutit à une fuite de données personnelles de clients, fournisseurs ou employés, vous êtes tenu de notifier la CNIL dans les 72 heures suivant la découverte de la violation (article 33 du RGPD). Un manquement à cette obligation expose l’entreprise à des sanctions.
Par ailleurs, la directive européenne NIS 2, dont la transposition en droit français est en cours, étend les obligations de cybersécurité à un nombre croissant d’entreprises, y compris des PME opérant dans des secteurs critiques. Les mesures de protection contre le phishing — MFA, formation, procédures de vérification — figureront parmi les exigences attendues.
Anticiper ces obligations plutôt que les subir est une démarche de bon sens : un diagnostic cybersécurité permet d’évaluer votre niveau de conformité actuel et d’identifier les priorités d’action avant qu’un incident ne survienne.
FAQ — Questions fréquentes sur le phishing
Quelle est la différence entre phishing et hameçonnage ?
Phishing et hameçonnage désignent exactement la même pratique malveillante. « Hameçonnage » est la traduction française officielle du terme anglais « phishing ». Dans les deux cas, un cybercriminel se fait passer pour un tiers de confiance afin de vous soutirer des informations sensibles (identifiants, coordonnées bancaires) ou de vous inciter à cliquer sur un lien piégé.
Comment reconnaître un e-mail de phishing ?
Plusieurs signaux d’alerte doivent vous alerter : une adresse d’expéditeur qui ne correspond pas au domaine officiel de l’organisme, des fautes d’orthographe ou de grammaire, un sentiment d’urgence exagéré (« Votre compte sera suspendu dans 24 h »), une pièce jointe inattendue, et un lien dont l’URL réelle (visible au survol) diffère du texte affiché.
Qu’est-ce que le spear phishing ?
Le spear phishing (ou hameçonnage ciblé) est une variante personnalisée du phishing. L’attaquant collecte au préalable des informations sur la victime (nom, poste, fournisseurs, projets en cours) pour rédiger un message crédible et adapté. Cette technique est beaucoup plus difficile à détecter qu’un e-mail générique et cible souvent les dirigeants ou les comptables de PME.
Qu’est-ce que le smishing ?
Le smishing est une forme de phishing diffusée par SMS. Le message prétend généralement venir d’un transporteur, d’un service des impôts ou d’une banque, et invite la victime à cliquer sur un lien frauduleux ou à rappeler un numéro surtaxé. Les règles de prudence sont les mêmes que pour les e-mails : ne jamais cliquer sans vérifier l’expéditeur.
Le MFA protège-t-il vraiment contre le phishing ?
L’authentification multi-facteurs (MFA) représente l’une des défenses les plus efficaces contre le phishing : même si un attaquant obtient votre mot de passe, il ne peut pas se connecter sans le second facteur. Toutefois, des techniques avancées (attaques de type adversary-in-the-middle) peuvent contourner certains MFA basés sur des codes SMS. Les clés matérielles de type FIDO2 offrent la protection la plus robuste.
Que faire si un employé a cliqué sur un lien de phishing ?
Agir immédiatement : déconnecter le poste du réseau, changer tous les mots de passe concernés depuis un autre appareil, activer ou vérifier le MFA sur les comptes exposés, et prévenir le responsable informatique ou le prestataire. Si des données sensibles ou des coordonnées bancaires ont été communiquées, contacter la banque et déposer une plainte. Documenter l’incident pour l’assurance cyber si vous en avez une.
Vos équipes sauraient-elles repérer un faux mail ?
Diagnostic cybersécurité offert : on teste votre exposition au phishing.
Aller plus loin
- Définition du phishing : qu’est-ce que c’est exactement ?
- Comprendre le phishing : mécanismes et cycle d’une attaque
- Ce qu’est l’hameçonnage : vocabulaire et termes techniques
- Sensibilisation à la cybersécurité en entreprise : guide pratique
- Demander votre diagnostic cybersécurité offert
Rédigé par l’équipe cyber-diagnostic.fr — mis à jour le 30 juin 2026.
Laisser un commentaire