search
Le média de ceux qui réinventent l'entreprise
Référencer un logiciel

Phishing, définition à connaître et exemples avant de répondre à ce « mail urgent »

Par Maëlys De Santis

Le 30 avril 2025

Le phishing est une des cybermenaces les plus courantes. Un chiffre pour en témoigner : en 2023, c'est 1,76 milliard d'URL frauduleuses qui ont été envoyées dans le monde (source : Rapport 2023 sur la sinistralité cyber de Stoïk).

Quelles sont les caractéristiques de ce type d'attaque en ligne ? Comment s'en prémunir ? Quels sont les meilleurs outils anti-phishing ? On vous présente toutes les infos à connaître pour minimiser les risques d'une potentielle arnaque, et l'impact du phishing sur votre activité.

Définition du phishing

Qu'est-ce que le phishing, ou hameçonnage ?

Le phishing, ou hameçonnage, est une cyberattaque qui fonctionne selon un principe d'ingénierie sociale. Concrètement, cela signifie que le cœur de l'escroquerie provient d'une erreur humaine (excès de confiance, manque de vigilance, etc.), plus que d'une réelle faille technique.

Lors d'une tentative de phishing, un hacker usurpe l'identité d'un de vos contacts de confiance pour vous envoyer un email ou un message urgent. Il agit généralement au nom d'une institution (banque, livreur, partenaire, client, etc.), mais dans des cas d'attaques plus ciblées, il peut également se faire passer pour un collègue ou un supérieur hiérarchique.

Le message demande de "mettre à jour" ou de "confirmer" vos données suite à une erreur technique, mise à jour, etc.

🔎 En réalité, l'objectif du hacker est de récupérer des données personnelles ou bancaires afin de les exploiter.

Déroulé classique d'une attaque de phishing

  1. Préparation : sélection des cibles, collecte des informations nécessaires pour être crédible et choix de la stratégie.

  2. Distribution via l'envoi massif, ou ciblé, de messages frauduleux en utilisant des noms de domaine détournés.

  3. Création d'un sentiment d'urgence et exploitation de l'autorité. La fraude semble crédible, avec un message avec un contexte cohérent, des éléments visuels copiés (logo d'entreprise).

  4. Captation des données par le biais d'une redirection vers un faux nom de domaine ou un formulaire de saisie.

  5. Utilisation des identifiants, transfert d'argent sur un compte, revente des données sur le dark web.

  6. Après l'opération, suppression des sites frauduleux, dissimulation de l'origine de l'attaque.

Spam et phishing : quelles différences ?

Le spam et le phishing sont tous deux à classés dans la catégorie des messages indésirables. Le spam est un e-mail non sollicité envoyé en masse pour promouvoir un produit ou un service. Il est invasif, mais n'intègre aucune dimension d'escroquerie. Pas d'usurpation d'identité, ni de vol d'informations, il s'agit seulement d'un mode de publicité agressif.

Lire aussi

Les 14 types d'attaques de phishing et leurs exemples

Type de phishing Définition Mode opératoire Cible Objectif
Phishing classique Tentative frauduleuse par email générique Envoi massif d’emails avec liens/pièces jointes piégés Grand public, employés Vol d’identifiants, données bancaires
Spear phishing Attaque ciblée et personnalisée Email semblant provenir d’un contact ou service légitime Cadres, employés spécifiques Accès à des systèmes ou données sensibles
Whaling Phishing ciblant les dirigeants Messages imitant des demandes critiques ou urgentes Dirigeants, VIP Accès à des fonds ou données stratégiques
Quishing Phishing via QR code QR codes menant à des sites piégés Consommateurs, visiteurs de lieux publics Vol de données via redirection web
Vishing Phishing vocal par téléphone Appels usurpant l’identité d’un service Grand public, entreprises Vol d’infos personnelles ou financières
Smishing Phishing par SMS SMS avec liens ou demandes urgentes Mobinautes, clients bancaires Récupération d’identifiants ou coordonnées bancaires
Pharming Détournement de navigation web Redirection vers faux sites malgré URL correcte Internautes Collecte de données confidentielles
Business Email Compromise (BEC) Usurpation d’email professionnel Fausse demande interne (paiement par virement, info sensible) Comptables, RH, finance Fraude financière, fuite de données
Clone phishing Reproduction d’un email légitime Copie d’un message déjà reçu avec lien malveillant Utilisateurs d’un service ou d’un outil Infiltration ou collecte d’informations
Man-in-the-Middle (MITM) Interception de communications Pirate s’insérant dans une communication réseau Utilisateurs sur réseaux publics Vol de sessions, données échangées
Phishing via réseaux sociaux Usurpation d’identité ou faux comptes Messages privés ou publications frauduleuses Utilisateurs de plateformes sociales Vol d’infos ou diffusion de malwares
Angler phishing Arnaque via faux comptes SAV Faux profils répondant à des plaintes en ligne Clients insatisfaits sur réseaux sociaux Récupération d’identifiants ou infos bancaires
Deepfake phishing Utilisation de voix ou images générées par IA Appels/vidéos imitant un cadre ou collègue Employés, RH, finance Escroquerie ou fraude interne
Phishing via applications/extensions Utilisation de logiciels malveillants Apps ou extensions déguisées en outils légitimes Utilisateurs négligents ou pressés Vol de données ou installation de malwares

3 cas concrets : attaques de phishing notables

Facebook et Google

Entre 2013 et 2015, Facebook et Google ont été victimes d'une escroquerie par hameçonnage orchestrée par un ressortissant lituanien. Il a usurpé l'identité de Quanta Computer, un fournisseur asiatique légitime, en envoyant de fausses factures aux deux géants technologiques. Ces derniers ont transféré plus de 100 millions de dollars sur des comptes contrôlés par l’escroc. Les fonds ont été blanchis via plusieurs comptes bancaires à l'international. L’attaquant a finalement été arrêté et a plaidé coupable de fraude électronique.

Ubiquiti Networks

En 2015, Ubiquiti Networks, une entreprise spécialisée dans les équipements réseau, a subi une perte de 46,7 millions de dollars suite à une attaque de type Business Email Compromise (BEC). Des cybercriminels ont usurpé l'identité de cadres de l'entreprise pour envoyer des instructions frauduleuses de transfert de fonds au service financier. Bien que l’entreprise ait récupéré une partie des fonds, cette attaque a révélé la vulnérabilité des procédures internes de validation.

Campagne Darcula

La campagne Darcula, active entre 2023 et 2024, est une opération de Phishing-as-a-Service (PhaaS) originaire de Chine. Elle a permis à des cybercriminels de voler plus de 884 000 cartes de crédit via des attaques de smishing sophistiquées, envoyées notamment par iMessage et RCS. La plateforme Darcula génère automatiquement des kits de phishing personnalisés, en exploitant plus de 20 000 domaines et 200 modèles pour cibler une grande variété de marques et d’organisations.

Comment se manifeste une attaque de phishing ?

Comment reconnaître une attaque de phishing ? Voici les différents signes que vous êtes peut-être victime d'un hameçonnage.

Indice n°1 : une adresse d'expéditeur suspecte

Lors d'une attaque par hameçonnage, le hacker indique une adresse expéditeur copiée sur celle d'une institution, mais légèrement différente. Soyez attentif aux "." aux "-", aux chiffres et à l'ordre des mots qui composent l'adresse.

Exemple : amazon-service@gmail.com au lieu de service@amazon.com.

Indice n°2 : attention aux détails visuels

Soyez très attentif aux logos, aux en-têtes et à la mise en page générale des emails. Les tentatives de phishing utilisent souvent des versions légèrement altérées des identités visuelles officielles : logos de mauvaise qualité, couleurs légèrement différentes, polices de caractère peu adaptée. Ces petites différences vous aident à identifier la contrefaçon !

Lire aussi

Indice n°3 : les fautes d'orthographe et de grammaire

Avec le phishing de masse, il n'est pas rare de trouver de nombreuses fautes d'orthographe dans les messages envoyés. Bien sûr, plus la tentative est sophistiquée et moins le courriel contiendra d'erreurs. Toutefois, vous pouvez toujours repérer des formules qui ne correspondent pas aux règles de communication habituelles de votre structure.

À noter : avec la démocratisation de l'usage de l'intelligence artificielle, les hackers sont de plus en plus subtils dans leurs communications eux aussi.

Indice n°4 : les formules de politesse génériques

Le phishing de masse ne peut pas s'embarrasser d'individualisation. Alors, soyez très méfiant avec les mails qui commencent par "cher client", "cher collègue", et qui n'intègrent aucun élément de personnalisation.

☝️ Mais attention quand même, car des cas de spear phishing ou de whaling peuvent tout de même intégrer des informations ciblées sur vous et la personne que vous pensez être l'expéditeur.

Indice n°5 : l'impression d'urgence excessive

Il est très rare que des entreprises, des institutions et prestataires de service décident de clore votre compte sans signes préalables. Quand vous recevez une menace de ce type avec des délais très courts, vous êtes certainement victime d'une attaque de phishing.

✅ Votre premier réflexe doit être de contacter l'organisme en question (par une autre voie que le lien proposé) pour vérifier l'information.

Indice n°6 : les demandes d'informations sensibles

Il est très important de sensibiliser vos équipes à l'idée suivante :

Aucune organisation légitime ne vous demandera jamais vos informations confidentielles par email ou message.

Si vos collaborateurs ont cette idée en tête, il est quasi impossible d'être victime de phishing.

Les demandes de mots de passe complets, de numéros de carte bancaire avec code de sécurité, ou de copies de pièces d'identité doivent constituer des signaux d'alarme immédiats.

Lire aussi

Quels sont les risques associés à l'hameçonnage ?

Pour bien appréhender les risques liés au phishing, rien de mieux que quelques exemples.

❌ De 2013 à 2015, un fraudeur a soutiré plus de 100 millions de dollars à Facebook et à Google en se faisant passer pour l'entreprise Quanta. Il émettait de fausses factures de la part de cet ancien partenaire des deux géants. Vous le constatez, même les grosses pointures du web ne sont pas à l'abri du hameçonnage.

❌ En 2015, du spear phishing a permis à des hackers d'implanter un malware dans les systèmes de contrôle des centrales électriques ukrainiennes. Résultat, des pannes de courant d'ampleur nationale ont eu lieu.

❌ Dernier exemple. En 2016, le cabinet aéronautique autrichien FACC a été victime d'une attaque de whaling. Les services financiers de la société ont envoyé près de 42 millions d'euros à des hackers se faisant passer pour le PDG de l'entreprise.

Le principal risque pour les organisations est financier. Mais les conséquences ne s'arrêtent pas là. L'entreprise victime de phishing voit nombre de ses données essentielles disparaître et perd en réputation auprès de ses clients et des partenaires.

Comment se protéger du phishing ?

Pour protéger votre structure des attaques de phishing, vous devez combiner une approche humaine et technique. Intégrer des bonnes pratiques numériques pour tous vos collaborateurs et renforcez votre arsenal de cyberdéfense.

La règle de base : ne communiquez jamais d'informations personnelles

Établissez des processus stricts pour la transmission d'informations sensibles. Aucune donnée confidentielle (identifiants, mots de passe, coordonnées bancaires, etc.) ne doit être partagée par email ou téléphone. C'est une règle qui doit être respectée 100 % du temps.

Même si la demande semble provenir de la direction, elle ne doit être validée sous aucun prétexte. Au contraire, elle doit appeler encore plus de vigilance.

Notre conseil : pour ce type de demande, mettez en place un protocole de signalement qui doit être suivi par tous les collaborateurs sous peine de sanction.

Former et sensibiliser vos équipes aux risques de phishing

La formation doit être adaptée aux risques spécifiques de chaque département. Les équipes financières qui sont souvent confrontées aux "fraudes au président" doivent se concentrer sur ce type de menace.

Les membres de la direction doivent être principalement sensibilisés au whaling, qui les concerne directement. Organisez des sessions de formation régulières avec des exemples. On vous conseille également de tester la vigilance de vos équipes avec des simulations d'attaques.

Utiliser un filtre anti-spam efficace

Investissez dans une solution de filtrage multi-couches pour renforcer votre protection contre le phishing. Pour cela, sélectionnez un outil qui combine plusieurs approches de détection :

  • Analyse heuristique et comportementale.

  • Comparaison avec une base de données d'expéditeurs malveillants.

  • Technologies d'intelligence artificielle pour identifier les menaces zero day.

Installer et mettre à jour un anti-malware efficace

Intégrer votre protection anti-phishing à une stratégie globale de sécurité informatique. En effet, malgré toutes les précautions du monde, l'auteur du hameçonnage peut arriver à ses fins et tromper l'un de vos collaborateurs. Dans ce cas, vous ne pouvez pas faire l'économie d'une solution anti-malware complète. Elle représente votre dernière ligne de défense et doit être déployée sur l'ensemble des postes de votre entreprise.

💡 Au moment de faire votre choix, privilégiez les fonctionnalités suivantes :

  • protection en temps réel,
  • analyse comportementale,
  • vérification des URL,
  • blocage des sites malveillants
  • et surveillance des modifications de fichier (ransomware).

Assurez-vous également que le logiciel est facile à prendre en main, surtout si vous ne disposez pas d'une division de cybersécurité.

Comment réagir en cas d’attaque réussie ?

Malgré une protection humaine et technologique complète, le risque zéro n'existe pas. Voici comment réagir en cas d'une attaque de phishing réussie par un cybercriminel.

Réagir vite et signaler l'incident

En cas d'attaque, votre premier réflexe doit être de déconnecter immédiatement l'appareil infecté d'Internet et de votre réseau interne. Depuis un autre appareil sécurisé, changez les mots de passe des comptes potentiellement compromis.

Ensuite, signalez immédiatement l'incident à votre responsable de sécurité informatique.

Une fois cette première étape validée, contactez les autres organisations concernées :

  • Contactez votre banque en cas de diffusion des informations de votre compte.

  • Signalez la fraude au commissariat et aux autres autorités compétentes.

  • Informez l'organisme dont l'identité a été usurpée.

Évaluer l'étendue des dégâts

Identifiez précisément les informations et les données compromises. Pensez à scanner votre système avec un anti-malware pour détecter la présence d'éventuels logiciels malveillants sur votre poste de travail. Dans le cas où des malwares sont détectés, suivez la procédure conseillée par votre outil.

Mettre en œuvre un plan de restauration

Si vous pensez que l'intégrité du poste a été compromise, réinstallez complètement le système d'exploitation de l'appareil. On vous conseille également de mettre en place un système de sauvegarde pour pouvoir restaurer une version antérieure à l'attaque.

Tirer des leçons de l'attaque et optimiser votre sécurité

Analysez en détail l'attaque pour identifier les failles de sécurité et y remédier. À l'issue de cette analyse, formez vos équipes en conséquence et améliorez vos procédures de sécurité informatique.

Lire aussi

Logiciels anti-phishing : notre top 4

Vous recherchez un outil pour protéger vos systèmes du phishing, voici notre sélection des meilleurs logiciels du marché :

  1. Altospam : La solution n°1 pour la protection des boîtes mail d'entreprise. Grâce à son logiciel Mailsafe, vous profitez d'une analyse heuristique qui réduit les faux positifs à moins de 0,01 %. La solution s'intègre parfaitement à Google Workplace et Microsoft 365.

  2. Barracuda Email Protection : Une protection complète contre le phishing, les ransomwares et malwares qui utilisent des techniques d'analyse comportementale et heuristique avancée en plus d'une technologie d'IA.

  3. Phished : Une approche axée sur la formation des employés avec résultats qui parlent pour eux-mêmes : une réduction du taux d'hameçonnage passée de 40,5 % à moins de 5 % chez leurs clients.

  4. Cofense : Une combinaison de simulations d'attaques et d'un réseau mondial de signalement pour rester en avance sur les innovations des hackers.

Définition du phishing : que retenir ?

Le phishing est un risque informatique qui concerne toutes les organisations, quel que soit leur secteur ou leur taille. Malgré le focus sur le sujet par les professionnels de la cyberdéfense et par les autorités, le phishing n'a jamais été aussi florissant. La raison ? Avec l'IA, les techniques évoluent.

La recherche d'infos se fait plus rapidement et les techniques d'hameçonnage sont encore plus performantes. Un exemple : les visioconférences avec des deepfakes plus vrais que nature.

Le phishing nous rappelle une vérité fondamentale : la technologie ne suffit pas en cybersécurité. La culture du doute méthodique, le respect des procédures et la vigilance personnelle sont également essentiels.

Maëlys De Santis

Maëlys De Santis, Growth Managing Editor, Appvizer

Maëlys De Santis, Growth Managing Editor, a débuté chez Appvizer en 2017 en tant que Copywriter & Content Manager. Sa carrière chez Appvizer se distingue par son expertise approfondie en stratégie et marketing de contenu, ainsi qu'en optimisation SEO. Titulaire d'un Master en Communication Interculturelle et Traduction de l'ISIT, Maëlys a également étudié les langues et l'anglais à l'University of Surrey. Elle a partagé son expertise dans des publications telles que Le Point et Digital CMO. Elle contribue à l'organisation de l'événement SaaS mondial, B2B Rocks, où elle a participé à la keynote d'ouverture en 2023 et 2024.

Une anecdote sur Maëlys ? Elle a une passion (pas si) secrète pour les chaussettes fantaisie, Noël, la pâtisserie et son chat Gary. 🐈‍⬛