Lexique · sécurité
Phishing
Aussi appelé : Hameçonnage, Filoutage, Smishing, Spear-phishing, Fraude au président.
Le phishing (ou hameçonnage) est une attaque où un escroc usurpe l'identité d'un tiers de confiance — banque, fournisseur, administration, dirigeant — pour pousser la victime à divulguer des données sensibles ou à effectuer un virement frauduleux.
Le phishing (hameçonnage en français) repose sur la manipulation psychologique plus que sur la prouesse technique : l'attaquant se fait passer pour un interlocuteur légitime et joue sur l'urgence, la peur ou l'autorité pour faire baisser la vigilance. Le message — souvent un courriel, mais aussi un SMS, un appel ou un message sur une messagerie — invite à cliquer sur un lien, à ouvrir une pièce jointe ou à renvoyer des informations confidentielles (identifiants, coordonnées bancaires, codes).
Il en existe plusieurs formes. Le phishing de masse vise large avec un message générique. Le smishing passe par SMS, en exploitant un faux suivi de colis ou une fausse amende. Le spear-phishing cible une personne précise avec un message personnalisé et crédible. La fraude au président consiste à se faire passer pour un dirigeant ou un fournisseur afin d'obtenir un virement urgent et confidentiel — un scénario qui a déjà coûté des sommes importantes à des PME.
Les signaux d'alerte sont récurrents : une adresse d'expéditeur légèrement modifiée, un ton pressant (« votre compte sera suspendu »), des fautes ou tournures inhabituelles, une demande de paiement dérogeant aux procédures, ou un lien dont l'adresse réelle diffère du texte affiché. La règle de base : ne jamais cliquer ni payer dans l'urgence, et vérifier la demande par un autre canal connu (rappeler le numéro officiel, jamais celui indiqué dans le message).
Pour une TPE/PME, le phishing est la première menace informatique en volume, car il vise l'humain et non l'infrastructure. La défense combine la technique et la sensibilisation : activer la double authentification (2FA) sur les comptes sensibles, configurer les protocoles d'authentification des courriels (SPF, DKIM, DMARC) pour réduire l'usurpation de votre domaine, formaliser une procédure de validation des virements à deux personnes, et former régulièrement les équipes à reconnaître les tentatives. Aucun outil seul ne suffit : c'est la culture de vigilance qui fait la différence.
Notre prestation
Infrastructure email, délivrabilité et authentification
Mettre en place une infrastructure email pro — SPF, DKIM, DMARC, BIMI, MX — pour garantir délivrabilité et identité de marque.
Pour aller plus loin
Cybersécurité des TPE-PME : les bonnes pratiques
Parcourez les conseils de l'ANSSI concernant la cybersécurité des TPE et PME.
Questions fréquentes
Quelle est la différence entre phishing et spear-phishing ?
Le phishing classique envoie un message générique à un grand nombre de destinataires, en espérant que quelques-uns mordent. Le spear-phishing cible une personne précise avec un message personnalisé (nom, fonction, contexte réel), ce qui le rend bien plus crédible et difficile à détecter. La fraude au président est une variante haut de gamme du spear-phishing visant les flux financiers.
Comment reconnaître un courriel de phishing ?
Méfiez-vous des messages qui créent un sentiment d'urgence, demandent un paiement ou des identifiants, ou proviennent d'une adresse légèrement falsifiée. Survolez les liens sans cliquer pour vérifier l'adresse réelle, et repérez les fautes ou tournures inhabituelles. En cas de doute, vérifiez toujours par un autre canal connu, jamais via les coordonnées fournies dans le message.
La double authentification protège-t-elle vraiment du phishing ?
Oui, elle réduit fortement le risque : même si un identifiant et un mot de passe sont dérobés, l'attaquant ne peut pas se connecter sans le second facteur. Elle n'est cependant pas infaillible face à des attaques sophistiquées qui interceptent le code en temps réel. Privilégiez une application d'authentification ou une clé physique plutôt que le SMS, plus exposé.
À quoi servent SPF, DKIM et DMARC contre le phishing ?
Ces trois protocoles authentifient les courriels envoyés depuis votre nom de domaine et rendent plus difficile l'usurpation de votre identité par un escroc. Bien configurés, ils permettent aux serveurs destinataires de rejeter ou de signaler les messages frauduleux se faisant passer pour vous. Ils protègent donc surtout votre réputation et vos interlocuteurs, en complément de la vigilance interne.
Pourquoi le phishing est-il la première menace informatique pour une TPE/PME ?
Parce qu'il vise l'humain et non l'infrastructure : nul besoin de pirater un serveur, il suffit qu'une personne clique ou valide un virement. Les petites structures sont souvent moins équipées et moins formées que les grands groupes, ce qui en fait des cibles privilégiées. La sensibilisation régulière des équipes reste la protection la plus rentable.