Types de phishing
- Phishing classique : email générique envoyé en masse.
- Spear phishing : attaque ciblée sur une personne ou un service précis.
- Whaling : ciblage des dirigeants (CEO fraud).
- Smishing : phishing par SMS.
- Vishing : phishing par appel téléphonique.
Impact pour les PME
Un clic sur un lien de phishing peut déclencher un ransomware, une fuite de données ou une fraude au virement. Les PME sont particulièrement vulnérables car elles disposent rarement de filtrage email avancé et de formation sécurité systématique.
Comment se protéger ?
- Formation et sensibilisation régulière des équipes.
- Filtrage email avancé (SPF, DKIM, DMARC).
- Authentification multifacteur (MFA) sur tous les comptes critiques.
- Signalement interne facilité (bouton de signalement).
Exemple concret : CEO fraud sur une PME française
Scénario réel anonymisé (PME industrielle, Lyon, 80 salariés, CA 18 M€) :
- J-14 : l'attaquant scrape LinkedIn + le site de la PME pour identifier le CEO (Marc D.), la DAF (Sophie L.) et le prestataire comptable (cabinet X).
- J-0 : depuis un domaine typosquatté
marc.direction@pme-xyz-group.com(un s ajouté), l'attaquant envoie à Sophie un email urgent : « Sophie, je suis en réunion de closing acquisition, il faut virer 47 280 € avant 17 h sur ce compte pour sécuriser le deal. Réponds par mail, je ne peux pas téléphoner. » - J-0 + 3 h : Sophie vérifie l'en-tête (oblique la signature), croit reconnaître le style, valide le virement SEPA auprès de la banque.
- J+1 : Sophie parle du deal au CEO qui tombe des nues. Le compte mule à l'étranger est déjà vidé. Plainte + signalement TracFin + assurance cyber : la couverture refuse car la PME n'a pas de procédure « double validation virement > 5 000 € » formalisée.
Cette fraude au président (CEO fraud, BEC - Business Email Compromise) a coûté 12,5 milliards $ aux entreprises mondiales en 2023 selon FBI IC3. Les PME françaises sont ciblées 2-3× par an en moyenne.
FAQ Phishing
DMARC, SPF, DKIM : lequel prioriser pour ma PME ?
Les 3 sont nécessaires ensemble, dans l'ordre : SPF (publier les IPs autorisées à envoyer pour votre domaine) → DKIM (signature cryptographique des emails sortants) → DMARC (politique de rejet en cas d'échec SPF/DKIM). Commencez en p=none (monitoring), montez à p=quarantine, puis p=reject après 30 j sans faux positifs. Outils gratuits : dmarcian, mxtoolbox.
Le MFA protège-t-il complètement du phishing ?
Pas toujours. Le MFA SMS/TOTP est contournable par des kits de phishing temps réel (Evilginx2, Modlishka) qui proxy-fient la vraie page de login et interceptent le code. Seul le MFA phishing-resistant (FIDO2/WebAuthn avec clé physique type Yubikey ou passkey) résiste. Microsoft impose désormais FIDO2 pour ses comptes admin 365, c'est une bonne référence pour PME.
Faut-il faire une campagne de phishing simulé chez ma PME ?
Oui, mais avec précaution. Outils : Gophish (open source, gratuit) ou plateformes SaaS (KnowBe4, Terranova, Cybaw). Règles : (1) prévenir le CSE/DP, (2) ne pas piéger sur des sujets émotionnels (deuil, licenciement), (3) formation immédiate après clic plutôt que sanction. Objectif cible : < 10 % de clic après 6 mois de programme.
Le phishing IA (deepfake voice) est-il une vraie menace PME ?
Oui, en forte progression depuis 2024. Des voix clonées de CEO à partir de 3 secondes d'audio (interviews YouTube, podcasts, webinaires) suffisent. Cas réel : une PME HK a perdu 25 M$ en 2024 via deepfake vidéo d'un dirigeant en visio. Contre-mesure : procédures de validation hors-canal (SMS sur numéro personnel pré-établi, mot de code oral).