Tous les articles
phishingcybersécuritésensibilisation

Qu'est-ce que le phishing ? Définition et protection

Le phishing est la cyberattaque numéro 1 en entreprise. Découvrez sa définition, ses techniques (spear phishing, smishing, vishing), comment le reconnaître et s'en protéger efficacement.

Cybershell·

Le phishing — ou hameçonnage en français — est aujourd'hui la première cause de cyberattaque en entreprise. Derrière ce terme technique se cache une escroquerie redoutablement simple : un cybercriminel se fait passer pour quelqu'un de confiance afin de vous pousser à divulguer des informations sensibles ou à effectuer une action compromettante.

Mots de passe, identifiants de connexion, coordonnées bancaires, accès VPN, données RH confidentielles : tout ce qui a de la valeur peut être visé. Et contrairement aux idées reçues, les victimes ne sont pas des personnes inattentives ou peu compétentes — ce sont des collaborateurs comme vous, des dirigeants, des comptables, des assistants, des responsables IT.

Comprendre ce qu'est le phishing, c'est déjà disposer du meilleur bouclier contre lui.

Définition du phishing : l'hameçonnage expliqué simplement

Le mot phishing est une déformation de l'anglais fishing, qui signifie "pêcher". L'image est parfaite : l'attaquant lance un appât dans l'eau et attend qu'une victime morde à l'hameçon.

Concrètement, le phishing repose sur une technique appelée l'ingénierie sociale : plutôt que d'attaquer un système informatique de front, le cybercriminel manipule un être humain. Il exploite la confiance, la précipitation, la peur ou l'habitude pour contourner toutes les défenses techniques.

C'est pourquoi le phishing est si dangereux : il ne cherche pas de faille dans votre logiciel — il cherche une faille dans votre comportement.

En résumé : Le phishing est une tentative de fraude numérique qui imite une communication légitime pour pousser une victime à révéler des données confidentielles ou à exécuter une action malveillante.

Comment fonctionne une attaque par phishing ?

1. La mise en scène

Tout commence par un prétexte crédible. L'attaquant choisit une identité d'emprunt : votre banque, votre service RH, un collègue, l'Assurance Maladie, La Poste, Microsoft, ou encore un fournisseur connu de votre entreprise.

Il crée ensuite un message — le plus souvent un email — qui imite visuellement et stylistiquement les communications habituelles de l'entité usurpée. Logo identique, charte graphique respectée, formules de politesse professionnelles.

2. Le déclencheur émotionnel

Pour vous faire agir vite, sans prendre le temps de réfléchir, le message s'appuie sur un ou plusieurs leviers psychologiques :

  • L'urgence"Votre compte sera suspendu dans 24 heures si vous ne confirmez pas votre identité"
  • La peur"Une connexion inhabituelle a été détectée depuis un appareil inconnu"
  • L'autorité"Message prioritaire de la Direction Générale — action requise immédiatement"
  • La curiosité"Votre colis est disponible en point relais, cliquez ici pour confirmer la livraison"
  • La récompense"Vous avez été sélectionné pour recevoir un remboursement de 147 €"

Ces émotions court-circuitent le raisonnement critique. C'est précisément leur rôle.

3. Le passage à l'action

Le message vous demande ensuite de faire quelque chose :

  • Cliquer sur un lien qui mène vers un faux site parfaitement imité
  • Ouvrir une pièce jointe infectée par un logiciel malveillant (malware, ransomware)
  • Renseigner un formulaire avec vos identifiants ou données bancaires
  • Répondre directement avec des informations sensibles
  • Rappeler un numéro de téléphone frauduleux

Si vous exécutez l'action demandée, les conséquences peuvent être immédiates et graves : vol de compte, fraude bancaire, intrusion dans le réseau de l'entreprise, déclenchement d'un ransomware.

Les différentes formes d'hameçonnage : bien au-delà de l'email

Le phishing a largement évolué. Si l'email reste le vecteur le plus fréquent, les cybercriminels ont diversifié leurs méthodes d'attaque.

Phishing classique (email)

La forme la plus répandue. Des millions de messages frauduleux sont envoyés chaque jour à destination de particuliers et d'entreprises. Ces campagnes de masse misent sur le volume : même si 99 % des destinataires ne tombent pas dans le piège, les 1 % restants représentent des milliers de victimes potentielles.

Spear phishing (hameçonnage ciblé)

Contrairement au phishing de masse, le spear phishing est une attaque chirurgicale, personnalisée pour une cible précise — une personne, un service, une entreprise.

L'attaquant effectue d'abord des recherches approfondies : LinkedIn pour connaître votre poste et vos collègues, le site de votre entreprise pour identifier l'organigramme, les réseaux sociaux pour trouver des détails personnels. Le message final mentionne votre prénom, votre manager, un projet en cours. Il est extrêmement difficile à distinguer d'un vrai email professionnel.

Le spear phishing représente une part croissante des attaques visant les entreprises, notamment pour les fraudes au président et les détournements de virement.

Whaling (attaque contre les dirigeants)

Variante du spear phishing, le whaling (chasse à la baleine) cible spécifiquement les hauts dirigeants : PDG, DAF, DRH. Ces profils ont accès à des informations particulièrement sensibles et disposent souvent d'un niveau d'autorité suffisant pour déclencher des virements importants sans contrôle.

Smishing (phishing par SMS)

Le smishing reprend exactement les mêmes techniques que le phishing par email, mais via SMS. Faux messages de livraison de colis, fausses alertes bancaires, faux remboursements de la Sécurité Sociale — ces messages courts et percutants profitent du caractère instinctif avec lequel nous répondons aux SMS.

Vishing (phishing vocal)

Le vishing (voice phishing) se déroule par téléphone. Un faux conseiller bancaire vous appelle pour signaler une fraude sur votre compte. Un prétendu technicien informatique vous demande de lui donner accès à votre ordinateur pour résoudre un problème urgent. La conversation en temps réel crée une pression immédiate difficile à contrer.

Quishing (phishing via QR code)

Technique plus récente, le quishing exploite les QR codes. Affiché dans un lieu public, collé sur une facture ou glissé dans un email, le code QR redirige vers un site frauduleux. Comme l'adresse URL de destination n'est pas visible, l'utilisateur ne peut pas l'évaluer avant de scanner.

Phishing sur les réseaux sociaux

Les plateformes comme LinkedIn, WhatsApp ou Teams sont de plus en plus utilisées pour des tentatives de phishing. Un message d'un "recruteur", d'un "partenaire commercial" ou d'un "collègue" peut très bien cacher une tentative d'escroquerie.

Exemples concrets de phishing en entreprise

Pour bien comprendre à quoi ressemble une attaque réelle, voici quelques scénarios fréquemment rencontrés :

Exemple 1 — Fausse alerte RH Vous recevez un email apparemment envoyé par votre service des Ressources Humaines vous demandant de mettre à jour vos coordonnées bancaires pour le prochain virement de salaire. Le formulaire en ligne est identique à celui de votre SIRH habituel.

Exemple 2 — Fraude au président Un email semble provenir du PDG de votre entreprise et demande à la comptabilité d'effectuer un virement urgent et confidentiel avant la fin de journée, en précisant que l'opération ne doit pas être évoquée en interne.

Exemple 3 — Faux renouvellement de mot de passe Vous recevez une notification vous indiquant que votre mot de passe Microsoft 365 a expiré et qu'il faut le renouveler immédiatement pour ne pas perdre l'accès à vos emails. Le lien mène vers une copie parfaite de la page de connexion Microsoft.

Exemple 4 — Fausse facture fournisseur Un email prétendant provenir d'un fournisseur connu vous transmet une facture en pièce jointe avec un changement de RIB. La demande semble routinière.

Dans chacun de ces cas, un collaborateur non formé peut tomber dans le piège sans que cela soit de sa faute : les attaques sont conçues pour tromper. C'est précisément là qu'intervient la sensibilisation à la cybersécurité : non pas pour culpabiliser, mais pour équiper.

Pourquoi le phishing est-il si difficile à détecter ?

Des emails de plus en plus sophistiqués

Les tentatives de phishing des années 2010 étaient souvent grossières : fautes d'orthographe, logos flous, adresses email bizarres. Ce n'est plus le cas. Les outils actuels permettent de générer des emails parfaitement rédigés, des copies conformes de sites web professionnels, et des adresses email qui ressemblent trait pour trait aux vraies.

L'intelligence artificielle au service des attaquants

Avec la généralisation des modèles de langage, les cybercriminels peuvent désormais produire des messages personnalisés, sans faute, adaptés au ton de l'entreprise ciblée, en quelques secondes. Le phishing généré par IA est l'une des menaces les plus préoccupantes pour les entreprises en 2025 et 2026.

L'exploitation de la confiance et des habitudes

Nous recevons des dizaines, parfois des centaines d'emails par jour. Dans ce flux d'information, nous agissons par réflexe. Nous cliquons sur ce qui ressemble à ce que nous attendons. Les attaquants le savent, et conçoivent leurs messages pour s'intégrer parfaitement dans notre quotidien numérique.

Comment reconnaître un email de phishing ?

Même si les tentatives sont de plus en plus convaincantes, plusieurs signaux d'alerte permettent de les identifier :

Vérifiez l'adresse email de l'expéditeur

Le nom affiché (display name) peut être n'importe quoi — mais l'adresse email réelle, elle, ne ment pas. [email protected] n'a rien à voir avec votre banque. Survolez le nom de l'expéditeur pour voir l'adresse complète.

Méfiez-vous des liens suspects

Avant de cliquer, survolez le lien avec votre souris pour voir l'URL réelle dans la barre d'état de votre navigateur. Si l'adresse ne correspond pas exactement au domaine officiel de l'entreprise, n'allez pas plus loin.

Repérez les demandes inhabituelles

Votre banque ne vous demandera jamais votre mot de passe par email. Votre service IT ne vous demandera jamais vos identifiants par téléphone. Tout message qui demande des informations confidentielles par un canal inhabituel mérite d'être traité avec la plus grande prudence.

Analysez le ton et l'urgence

Un message qui crée une pression temporelle forte — "dans les 24 heures", "immédiatement", "urgent" — cherche à vous empêcher de réfléchir. Plus un message insiste sur l'urgence, plus vous devez ralentir.

Vérifiez les incohérences de forme

Même les meilleures imitations laissent parfois des traces : un logo légèrement différent, une mise en page qui ne correspond pas tout à fait, un numéro de téléphone qui ne figure pas sur le site officiel, une signature incomplète.

Comment se protéger du phishing : les bons réflexes

Sur le plan individuel

1. Ne cliquez jamais directement sur un lien dans un email sensible. Tapez vous-même l'adresse dans votre navigateur, ou passez par vos favoris.

2. Vérifiez par un autre canal. En cas de doute, contactez directement l'expéditeur supposé via un numéro ou une adresse que vous connaissez déjà — pas ceux fournis dans le message suspect.

3. Activez l'authentification à deux facteurs (2FA). Même si un attaquant obtient votre mot de passe, il ne pourra pas se connecter sans le second facteur d'authentification.

4. Ne renseignez jamais vos identifiants sur une page à laquelle vous avez accédé via un lien email. Allez toujours directement sur le site officiel.

5. Signalez les tentatives. En entreprise, tout email suspect doit être signalé à votre équipe IT ou RSSI. Ces signalements permettent de protéger l'ensemble des collaborateurs.

Sur le plan de l'entreprise

La protection contre le phishing ne peut pas reposer uniquement sur la vigilance individuelle. Les entreprises doivent mettre en place une stratégie multi-couches :

  • Solutions de filtrage des emails (anti-spam, anti-phishing, sandbox d'analyse des pièces jointes)
  • Protocoles d'authentification email (SPF, DKIM, DMARC) pour limiter l'usurpation de domaine
  • Gestion des accès et des droits en appliquant le principe du moindre privilège
  • Plans de réponse aux incidents pour réagir rapidement en cas d'attaque réussie
  • Formation et sensibilisation des collaborateurs — le facteur humain reste la première ligne de défense

Pourquoi former ses collaborateurs est indispensable

Les solutions techniques sont nécessaires, mais insuffisantes. Les attaquants savent contourner les filtres anti-spam, forger des certificats SSL, cloner des sites avec une précision déconcertante.

La dernière ligne de défense, c'est le collaborateur.

Un collaborateur formé reconnaît les signaux d'alerte, prend le temps de vérifier avant d'agir, et sait vers qui se tourner en cas de doute. Un collaborateur non formé est une porte ouverte — non par négligence, mais par manque d'information.

Les entreprises qui investissent dans la sensibilisation à la cybersécurité observent une réduction significative des incidents liés au phishing. Et au-delà des chiffres, elles construisent une véritable culture de la sécurité, dans laquelle chaque employé devient un acteur de la protection de l'organisation.

Une formation à la cybersécurité en entreprise bien conçue ne se limite pas à une liste de règles à mémoriser : elle ancre des réflexes durables, adaptés aux menaces réelles que rencontrent vos équipes au quotidien.

FAQ : vos questions sur le phishing

Le phishing concerne-t-il uniquement les grandes entreprises ? Non. Les TPE et PME sont des cibles particulièrement prisées, précisément parce qu'elles disposent souvent de moins de ressources dédiées à la cybersécurité. Aucune organisation n'est trop petite pour être ciblée.

Que faire si j'ai cliqué sur un lien de phishing ? Agissez immédiatement : déconnectez l'appareil d'internet si possible, changez tous les mots de passe concernés depuis un autre appareil, activez le 2FA, prévenez votre service IT et votre banque si des données financières ont été saisies.

Mon antivirus me protège-t-il du phishing ? Partiellement. Certains antivirus et navigateurs détectent les sites de phishing connus. Mais les sites frauduleux se renouvellent constamment, et l'antivirus ne peut rien contre un email qui vous demande de saisir vos identifiants sur une page imitée.

Est-il possible de tester la résistance de ses équipes au phishing ? Oui. Les simulations de phishing permettent d'envoyer de faux emails d'hameçonnage en interne pour identifier les collaborateurs les plus vulnérables et adapter la formation en conséquence. Combinées à un programme de sensibilisation à la cybersécurité, elles constituent l'une des approches les plus efficaces pour évaluer et renforcer la posture de sécurité d'une organisation.

Le phishing est une menace qui ne disparaîtra pas — au contraire, elle évolue et se sophistique à mesure que les outils numériques se perfectionnent. Mais elle reste humaine dans son essence, et c'est précisément pour cela qu'elle peut être contrecarrée par l'humain.

Former ses collaborateurs, c'est transformer le maillon faible en première ligne de défense.

Chez Cybershell, nous proposons des modules de sensibilisation à la cybersécurité et de formation cybersécurité en entreprise adaptés à toutes les tailles d'organisation, pour faire de chaque collaborateur un rempart contre les cyberattaques du quotidien.