Phishing : définition, techniques et protection
Le phishing (hameçonnage) est une technique d’ingénierie sociale où un attaquant se fait passer pour une entité de confiance (banque, fournisseur, collègue) pour inciter la victime à divulguer des identifiants, cliquer sur un lien malveillant ou exécuter un fichier piégé. C’est le vecteur d’accès initial n°1 des cyberattaques.
Pentest web & API, audit IA, Toulouse, méthodologie OWASP/PTES
Types de phishing
- Phishing classique : email générique envoyé en masse.
- Spear phishing : attaque ciblée sur une personne ou un service précis.
- Whaling : ciblage des dirigeants (CEO fraud).
- Smishing : phishing par SMS.
- Vishing : phishing par appel téléphonique.
Impact pour les PME
Comment se protéger ?
- Formation et sensibilisation régulière des équipes.
- Filtrage email avancé (SPF, DKIM, DMARC).
- Authentification multifacteur (MFA) sur tous les comptes critiques.
- Signalement interne facilité (bouton de signalement).
Exemple concret : CEO fraud sur une PME française
Scénario réel anonymisé (PME industrielle, Lyon, 80 salariés, CA 18M€) :
- J-14 : l'attaquant scrape LinkedIn + le site de la PME pour identifier le CEO (Marc D.), la DAF (Sophie L.) et le prestataire comptable (cabinet X).
- J-0 : depuis un domaine typosquatté
marc.direction@pme-xyz-group.com(un s ajouté), l'attaquant envoie à Sophie un email urgent : « Sophie, je suis en réunion de closing acquisition, il faut virer 47 280 € avant 17h sur ce compte pour sécuriser le deal. Réponds par mail, je ne peux pas téléphoner. » - J-0 + 3h : Sophie vérifie l'en-tête (oblique la signature), croit reconnaître le style, valide le virement SEPA auprès de la banque.
- J+1 : Sophie parle du deal au CEO qui tombe des nues. Le compte mule à l'étranger est déjà vidé. Plainte + signalement TracFin + assurance cyber : la couverture refuse car la PME n'a pas de procédure « double validation virement > 5 000 € » formalisée.
Cette fraude au président (CEO fraud, BEC - Business Email Compromise) a coûté 12.5 milliards $ aux entreprises mondiales en 2023 selon FBI IC3. Les PME françaises sont ciblées 2-3x par an en moyenne.
FAQ Phishing
DMARC, SPF, DKIM : lequel prioriser pour ma PME ?
Les 3 sont nécessaires ensemble, dans l'ordre : SPF (publier les IPs autorisées à envoyer pour votre domaine) → DKIM (signature cryptographique des emails sortants) → DMARC (politique de rejet en cas d'échec SPF/DKIM). Commencez en p=none (monitoring), montez à p=quarantine, puis p=reject après 30j sans faux positifs. Outils gratuits : dmarcian, mxtoolbox.
Le MFA protège-t-il complètement du phishing ?
Pas toujours. Le MFA SMS/TOTP est contournable par des kits de phishing temps réel (Evilginx2, Modlishka) qui proxy-fient la vraie page de login et interceptent le code. Seul le MFA phishing-resistant (FIDO2/WebAuthn avec clé physique type Yubikey ou passkey) résiste. Microsoft impose désormais FIDO2 pour ses comptes admin 365, c'est une bonne référence pour PME.
Faut-il faire une campagne de phishing simulé chez ma PME ?
Oui, mais avec précaution. Outils : Gophish (open source, gratuit) ou plateformes SaaS (KnowBe4, Terranova, Cybaw). Règles : (1) prévenir le CSE/DP, (2) ne pas piéger sur des sujets émotionnels (deuil, licenciement), (3) formation immédiate après clic plutôt que sanction. Objectif cible : <10% de clic après 6 mois de programme.
Le phishing IA (deepfake voice) est-il une vraie menace PME ?
Oui, en forte progression depuis 2024. Des voix clonées de CEO à partir de 3 secondes d'audio (interviews YouTube, podcasts, webinaires) suffisent. Cas réel : une PME HK a perdu 25M$ en 2024 via deepfake vidéo d'un dirigeant en visio. Contre-mesure : procédures de validation hors-canal (SMS sur numéro personnel pré-établi, mot de code oral).
Besoin d'un pentest ?
Chez Laucked, nous testons vos applications web, API et intégrations sensibles avec une méthodologie OWASP/PTES. Diagnostic de surface gratuit, rapport sous 48-72h.
Demander un diagnostic gratuit