Phishing l'outil le plus efficace dans l'arsenal des cybercriminels. Malgré des décennies de campagnes de sensibilisation à la sécurité et des milliards dépensés dans le filtrage des e-mails, les attaquants continuent de récolter des identifiants et de déployer des malwareet vident les comptes des entreprises à l'aide de messages frauduleux. Selon le rapport IBM Cost of Data Breach Report 2025, phishing 16 % de toutes les violations de données confirmées, avec un coût moyen de 4,8 millions de dollars par incident. Avec 3,4 milliards phishing envoyés chaque jour, il est essentiel pour les professionnels de la sécurité et les utilisateurs professionnels de comprendre comment ces attaques fonctionnent.
Ce guide couvre tout ce que vous devez savoir sur phishing: les différents types d'attaques, comment les repérer et quoi faire lorsque la prévention échoue.
Phishing un type d'attaque d'ingénierie sociale dans lequel les cybercriminels envoient des communications frauduleuses qui semblent provenir d'une source fiable, dans le but d'inciter les destinataires à révéler des informations sensibles, à cliquer sur des liens malveillants ou à installer des logiciels nuisibles. Le terme combine « fishing » (pêche), qui désigne la recherche de victimes, et « phreaking », une sous-culture ancienne de piratage téléphonique qui a inspiré de nombreuses techniques d'attaque numérique.
Contrairement aux exploits purement techniques qui ciblent les vulnérabilités logicielles, phishing la psychologie humaine. Les attaquants rédigent des messages qui déclenchent des réactions émotionnelles telles que l'urgence, la peur ou la curiosité afin de contourner la prise de décision rationnelle. Cela rend phishing efficace, quelles que soient les défenses techniques mises en place par une organisation.
MITRE ATT&CK classe phishing technique T1566 sous « Accès initial », avec des sous-techniques couvrant les pièces jointes (T1566.001), les liens (T1566.002), les services (T1566.003) et phishing vocal phishing T1566.004). Comprendre où phishing dans la chaîne de cyberattaque aide les défenseurs à mettre en place des protections multicouches.
L'ampleur du phishing son impact sur les entreprises exigent toute l'attention des équipes de sécurité. Considérez ces statistiques :
Phishing du spam sur un point essentiel. Le spam est un courrier électronique non sollicité envoyé en masse qui peut être gênant, mais qui n'est généralement pas malveillant. Phishing délibérément trompeur, conçu pour voler des identifiants, des informations financières ou l'accès à des systèmes. Tous phishing des courriers électroniques indésirables, mais tous les courriers électroniques indésirables ne sont pas phishing.
Comprendre le cycle de vie phishing aide les organisations à mettre en place des défenses efficaces. Les attaquants suivent un processus cohérent, quelle que soit la technique spécifique qu'ils utilisent.
1. Recherche et reconnaissance
Les pirates collectent des informations sur leurs cibles. Pour les campagnes de masse, ces informations peuvent être minimes. Pour phishing spear phishing ciblé, les pirates parcourent les profils LinkedIn, les sites Web d'entreprises et les réseaux sociaux afin de comprendre les hiérarchies organisationnelles, les styles de communication et les activités commerciales actuelles.
2. Fabrication du leurre
À partir des informations recueillies, les pirates créent des messages convaincants. Ils enregistrent des domaines similaires (tels que « micros0ft.com » avec un zéro), clonent des modèles d'e-mails légitimes et rédigent des textes qui reflètent les communications commerciales authentiques.
3. Livraison
Le message malveillant atteint sa cible par e-mail, SMS, appel téléphonique, réseau social ou autre canal. phishing moderne utilise phishing plusieurs canaux simultanément pour renforcer sa crédibilité.
4. Exploitation
La victime effectue l'action souhaitée : cliquer sur un lien, ouvrir une pièce jointe, fournir ses identifiants ou transférer des fonds. Les pages de collecte d'identifiants capturent les noms d'utilisateur et les mots de passe, tandis que les pièces jointes malveillantes peuvent installer des portes dérobées ou des ransomwares.
5. Exfiltration et persistance des données
Les pirates utilisent les identifiants collectés pour accéder aux systèmes, ce qui conduit souvent à Usurpation de compte. Ils peuvent mettre en place des mécanismes de persistance, exfiltrer des données ou lancer des attaques consécutives contre d'autres cibles.
Phishing parce qu'il exploite des aspects fondamentaux de la psychologie humaine. Les professionnels de la sécurité doivent comprendre ces principes afin de mettre en place des programmes de formation efficaces.
L'autorité favorise la conformité. Les messages qui semblent provenir de cadres supérieurs, de services informatiques ou de fournisseurs de confiance jouissent d'une crédibilité implicite. Lorsque le « PDG » demande un virement bancaire urgent, les employés hésitent à le remettre en question.
L'urgence et la rareté prennent le pas sur une analyse minutieuse. Des phrases telles que « votre compte sera suspendu dans 24 heures » ou « offre à durée limitée » poussent les destinataires à agir immédiatement sans vérification.
La peur motive la réaction. Les menaces de fermeture de compte, de poursuites judiciaires ou de violations de la sécurité créent une anxiété qui obscurcit le jugement.
La preuve sociale renforce la confiance. Les faux avis, témoignages et références à des collègues donnent une apparence légitime à des demandes frauduleuses.
Selon les recherches menées par Push Security, la grande majorité des phishing utilisent désormais des techniques de proxy inverse pour contourner l'authentification multifactorielle en temps réel. Cette approche de type « adversaire intermédiaire » capture les cookies de session lorsque les victimes saisissent leurs identifiants, ce qui permet aux attaquants de détourner les sessions authentifiées même lorsque l'authentification multifactorielle est activée.
Phishing évolué bien au-delà des simples escroqueries par e-mail. Les pirates modernes utilisent plusieurs canaux et techniques, et une phishing sur trois est désormais menée en dehors des e-mails. Comprendre chaque type d'attaque aide les entreprises à mettre en place des défenses appropriées.
Tableau : Comparaison des types phishing
Les e-mails envoyés en masse usurpent l'identité d'entités de confiance telles que des banques, des services populaires ou des entreprises de livraison. Ces campagnes privilégient le volume à la sophistication, envoyant des millions de messages au contenu générique. Bien que les taux de réussite soient faibles, l'ampleur de ces campagnes rend même les conversions minimes rentables pour les pirates.
Les attaques ciblées visent des personnes ou des organisations spécifiques. Les pirates recherchent leurs cibles et rédigent des messages personnalisés faisant référence à des projets réels, à des collègues ou à des activités récentes. Cette personnalisation augmente considérablement les taux de réussite par rapport phishing de masse.
La différence entre phishing phishing spear phishing la personnalisation. phishing standard utilise des messages génériques phishing large. phishing spear phishing des informations spécifiques sur la cible pour créer des communications crédibles et contextuelles.
Les attaques ciblant les cadres supérieurs visent à obtenir des gains importants. Les campagnes de whaling impliquent souvent des scénarios sophistiqués de compromission des e-mails professionnels, demandant des virements bancaires ou des données sensibles. Selon une étude de LevelBlue, le montant moyen des demandes de virement bancaire dans le cadre d'une attaque BEC atteignait 24 586 dollars en 2025.
Les attaques BEC consistent à usurper l'identité de cadres internes ou de fournisseurs externes afin de demander des virements bancaires frauduleux ou l'accès à des données. Les pirates peuvent compromettre des comptes légitimes ou utiliser des domaines usurpés convaincants. Les attaques BEC ont augmenté de 15 % en 2025, avec des pertes atteignant 2,77 milliards de dollars selon le rapport IC3 2024 du FBI.
Le smishing consiste à envoyer des messages phishing SMS. Les escroqueries liées à la livraison de colis, les alertes bancaires et les demandes de codes de vérification sont des leurres courants. Le smishing a augmenté de 328 % en 2024, les pirates ayant exploité la confiance inhérente que les utilisateurs accordent aux communications mobiles.
Le smishing diffère du phishing par e-mail phishing par son canal de diffusion. Les SMS ont un taux d'ouverture plus élevé et les utilisateurs sont moins habitués à examiner attentivement les messages texte à la recherche de fraudes. L'espace d'affichage limité sur les appareils mobiles rend également plus difficile la vérification des informations relatives à l'expéditeur.
phishing vocal phishing des appels téléphoniques dans lesquels les pirates se font passer pour des techniciens, des représentants bancaires ou des fonctionnaires. L'usurpation d'identité de l'appelant permet de faire croire que les appels proviennent de numéros légitimes. Les attaques de vishing ont augmenté de 442 % entre le début et la fin de l'année 2024, les pirates combinant les appels téléphoniques avec la collecte synchronisée d'identifiants sur Internet.
Dans le domaine de la cybersécurité, le vishing désigne spécifiquement les attaques d'ingénierie sociale par voie vocale visant à obtenir des identifiants, des informations financières ou un accès au système. Des campagnes récentes, telles que l'opération de vishing ShinyHunters, ont ciblé plus de 100 organisations en se faisant passer pour des membres du personnel informatique et en dirigeant les victimes vers des sites de collecte d'identifiants.
Le clonage phishing des e-mails légitimes que la cible a déjà reçus, en remplaçant les liens ou les pièces jointes par des versions malveillantes. Le format familier et la référence à des interactions précédentes rendent ces attaques difficiles à détecter.
Les attaques sur les réseaux sociaux ciblent les utilisateurs qui se plaignent des entreprises en ligne. Les pirates créent de faux comptes de service client et répondent aux plaintes avec phishing déguisés en ressources d'assistance.
Les codes QR malveillants redirigent les victimes vers phishing . Le quishing a augmenté de 25 % d'une année sur l'autre, les pirates ayant placé des codes QR malveillants dans des parcmètres, des menus de restaurant, de fausses factures et des pièces jointes à des e-mails. En janvier 2026, le FBI a publié un avis concernant les pirates informatiques nord-coréens Kimsuky qui utilisaient des codes QR pour hameçonner des employés du gouvernement américain et de groupes de réflexion.
Les attaques de pharming utilisent l'empoisonnement DNS ou des redirections malveillantes pour envoyer les victimes vers des sites frauduleux, même lorsqu'elles saisissent des URL correctes. Contrairement phishing autres phishing , le pharming ne nécessite pas que la victime clique sur un lien malveillant. Elle navigue vers ce qu'elle croit être un site légitime et saisit sans le savoir ses identifiants sur une page contrôlée par l'attaquant.
La différence entre le pharming et phishing le vecteur d'attaque. Phishing à inciter les utilisateurs à cliquer sur des liens malveillants. Le pharming manipule l'infrastructure qui traduit les noms de domaine en adresses IP, redirigeant automatiquement les utilisateurs.
L'examen des attaques réelles illustre l'impact concret du phishing fournit des enseignements aux défenseurs.
Change Healthcare (2024) : une attaque visant à récolter des identifiants a conduit à l'une des plus importantes violations de données de santé de l'histoire. Le groupe de ransomware ALPHV/BlackCat a obtenu l'accès grâce à des identifiants phishing, touchant au final plus de 100 millions d'utilisateurs. Cet incident a démontré comment la compromission d'un seul identifiant peut avoir des conséquences catastrophiques pour une organisation.
Pepco Group (2024) : cette entreprise européenne de vente au détail a perdu 15,5 millions d'euros à la suite d'une phishing visant sa succursale hongroise. Les pirates ont utilisé des techniques avancées d'ingénierie sociale pour contourner les procédures de vérification, soulignant la nécessité d'une approbation par plusieurs personnes pour les transferts financiers.
Campagne de vishing ShinyHunters (2026) : phishing vocal ont ciblé plus de 100 organisations, dont Panera Bread, SoundCloud et Match . Les attaquants se sont fait passer pour des membres du personnel informatique, ont dirigé les victimes vers des sites de collecte d'identifiants de marque formatés comme des domaines company-sso.com et ont capturé les codes MFA en temps réel.
Les organismes de services financiers sont la cible de 18,3 % de toutes phishing , suivis par les fournisseurs de SaaS et de messagerie Web avec 18,2 %, et le commerce électronique avec 14,8 %. Les organismes de santé sont particulièrement exposés, avec un taux phishing de 41,9 % et le coût moyen le plus élevé des violations, soit 7,42 millions de dollars, selon une étude d'IBM.
Les équipes de sécurité doivent s'assurer que les employés sont capables de reconnaître ces types d'attaques fréquentes :
Développer les compétences phishing au sein de votre organisation réduit considérablement les risques. Selon une étude menée par Hoxhunt, une formation régulière améliore le taux de réussite des signalements de menaces, qui passe de 34 % à 74-80 % au fil du temps.
Soyez attentif à ces sept phishing courants phishing :
SMS (smishing) : méfiez-vous des URL raccourcies qui masquent la véritable destination, des messages provenant de numéros inconnus prétendant appartenir à des entités connues et des demandes de rappel vers des numéros qui ne figurent pas sur les sites Web officiels.
Téléphone (vishing) : soyez vigilant face aux demandes d'action immédiate, aux demandes d'accès à distance à votre ordinateur, aux identifiants d'appelants affichant des numéros connus mais avec des voix inconnues, et aux demandes de vérification d'informations que l'appelant devrait déjà posséder.
Réseaux sociaux : vérifiez les comptes via les canaux officiels avant de contacter le service client, évitez de cliquer sur les liens contenus dans les messages directs et méfiez-vous des offres d'assistance non sollicitées faisant suite à des plaintes publiques.
Codes QR : prévisualisez l'URL avant de continuer lorsque cela est possible, méfiez-vous des codes QR situés à des endroits inhabituels et évitez de scanner les codes qui semblent avoir été altérés ou placés par-dessus des codes originaux.
phishing efficace phishing nécessite des défenses multicouches combinant des contrôles techniques, des formations de sensibilisation à la sécurité et des processus organisationnels.
La sécurité de la passerelle de messagerie filtre les messages malveillants avant qu'ils n'atteignent les boîtes de réception. Les solutions modernes utilisent l'apprentissage automatique pour détecter les menaces jusque-là inconnues, au-delà de la simple comparaison de signatures.
Les protocoles d'authentification des e-mails vérifient l'identité de l'expéditeur. Le protocole SPF valide que les serveurs d'envoi sont autorisés par le propriétaire du domaine. Le protocole DKIM signe cryptographiquement les messages afin de détecter toute altération. Le protocole DMARC relie les protocoles SPF et DKIM et spécifie la manière dont les serveurs de réception doivent traiter les échecs. Comme le recommande le guide CISA, les organisations doivent faire passer le protocole DMARC de p=none (surveillance) à p=reject (application). Le guide d'authentification des e-mails de Cloudflare fournit des instructions détaillées pour la mise en œuvre.
RésistantPhishing MFA utilise FIDO2 ou des clés d'accès plutôt que des SMS ou des codes TOTP que les pirates peuvent intercepter à l'aide de techniques d'attaque de type « man-in-the-middle ». L'authentification multifactorielle traditionnelle offre une certaine protection, mais phishing modernes la contournent systématiquement.
Le filtrage des URL et le sandboxing analysent les liens et les pièces jointes dans des environnements isolés avant leur livraison.
Les solutionsEndpoint et de réponse aux incidentsEndpoint détectent malware par le biais de phishing réussies.
détection et réponse aux incidents identifie les activités post-compromission, notamment les communications de commande et de contrôle et l'exfiltration de données.
Détection et réponse aux menaces d'identité surveille les modèles d'authentification suspects et l'utilisation abusive des identifiants.
Adopter une zero trust réduit l'impact d'une attaque phishing réussie phishing limitant l'accès aux informations compromises.
La formation reste la phishing la plus rentable phishing . Selon le rapport KnowBe4 2025 Phishing Industry Benchmarking Report, les organisations réduisent phishing de 33,1 % à seulement 4,1 % après 12 mois de formation régulière avec des simulations, soit une amélioration de 86 %.
Les programmes de formation efficaces comprennent :
Les organismes de santé nécessitent une attention particulière compte tenu de leur taux de vulnérabilité de référence de 41,9 %, le plus élevé de tous les secteurs mesurés.
Les contrôles techniques et la formation doivent s'appuyer sur des processus clairs :
Une réponse rapide aux incidents limite les dommages lorsque la prévention échoue. Savoir quoi faire si vous avez cliqué sur un phishing peut faire la différence entre un incident mineur et une violation majeure.
1. Déconnectez-vous du réseau si vous soupçonnez malware . Cela limite la capacité de l'attaquant à se déplacer latéralement ou à exfiltrer des données.
2. Modifiez immédiatement les mots de passe à partir d'un appareil dont vous êtes sûr qu'il n'est pas infecté, en commençant par le compte compromis et tous les comptes utilisant les mêmes identifiants ou des identifiants similaires.
3. Signalez à l'équipe informatique/sécurité tous les détails de ce qui s'est passé, y compris le contenu du message, les liens sur lesquels vous avez cliqué et les informations fournies.
4. Activez l'authentification multifactorielle (MFA) sur tous les comptes si elle n'est pas déjà configurée.
5. Documentez tout, y compris les horodatages, les captures d'écran et les mesures prises.
Les équipes de sécurité doivent mettre en place des procédures d'intervention structurées :
La FTC fournit des conseils aux consommateurs sur les mesures à prendre après phishing .
Après avoir maîtrisé la menace immédiate :
Phishing considérablement évolué depuis ses débuts au milieu des années 1990, lorsque les pirates ciblaient les utilisateurs d'AOL avec de faux messages de compte. Selon l'historique du phishing établi par Cofense, les premières phishing documentées sont apparues vers 1994.
Les étapes clés comprennent :
Les pirates exploitent de plus en plus l'intelligence artificielle pour créer à grande échelle phishing personnalisés et plus convaincants. Pour en savoir plus sur ces nouvelles menaces, consultez l'article « phishing basées sur l'IA ».
Vectra AI selon une philosophie dite « d'hypothèse de compromission ». Les pirates informatiques intelligents parviendront à s'introduire malgré les meilleurs efforts de prévention. La clé réside dans leur détection rapide.
Plutôt que de se contenter de bloquer phishing au niveau de la passerelle, Vectra AI sur la détection du comportementphishing . Une fois les identifiants récupérés, les pirates doivent les utiliser. Une fois malware , il doit communiquer. Ces activités génèrent des signaux que la détection comportementale peut identifier.
Attack Signal Intelligence les comportements sur le réseau, les identités, cloud et les terminaux afin de mettre en évidence les menaces réelles grâce à une détection avancée des menaces. Cette approche privilégie les signaux plutôt que le bruit, aidant ainsi les équipes de sécurité à se concentrer sur les attaques actives plutôt que de se noyer dans les alertes.
détection et réponse aux incidents identifient les communications de commande et de contrôle, les mouvements latéraux et l'exfiltration de données qui suivent phishing réussi. Associées à une détection axée sur l'identité, elles permettent aux organisations d'avoir une visibilité sur l'ensemble de la chaîne d'attaque, quel que soit le point d'entrée initial.
Phishing un type de cyberattaque dans lequel des criminels envoient des messages frauduleux conçus pour vous inciter à révéler des informations sensibles telles que des mots de passe, des numéros de carte de crédit ou des données personnelles. Ces messages semblent souvent provenir de sources fiables telles que votre banque, votre employeur ou des services en ligne populaires. L'objectif est d'exploiter la confiance humaine plutôt que les vulnérabilités techniques. Les attaquants peuvent vouloir voler directement de l'argent, récolter des identifiants pour accéder à des comptes ou installer malware attaques futures.
Les types les plus courants comprennent phishing par e-mail phishing attaques massives), phishing spear phishing ciblant des personnes spécifiques), le whaling (ciblant des cadres supérieurs), le business email compromise (usurpation d'identité de membres du personnel interne ou de fournisseurs), le smishing (basé sur les SMS) et le vishing (appels vocaux). Les techniques plus récentes comprennent le quishing (basé sur les codes QR) et phishing angler phishing basé sur les réseaux sociaux). Chaque type exploite différents canaux et relations de confiance, mais tous s'appuient sur l'ingénierie sociale pour manipuler les victimes et les inciter à commettre des actes préjudiciables.
Recherchez plusieurs signaux d'alerte : langage urgent ou menaçant exigeant une action immédiate, salutations génériques alors que l'expéditeur devrait connaître votre nom, adresses d'expéditeur qui ne correspondent pas à l'organisation revendiquée, fautes d'orthographe et de grammaire inhabituelles dans les communications professionnelles, liens qui affichent des destinations différentes lorsque vous passez la souris dessus, pièces jointes inattendues et demandes d'informations sensibles. En cas de doute, contactez l'expéditeur supposé par un canal légitime connu plutôt que de répondre ou de cliquer sur des liens.
Déconnectez-vous immédiatement du réseau si vous soupçonnez malware installé. Modifiez vos mots de passe à partir d'un appareil dont vous êtes sûr qu'il n'est pas infecté, en commençant par le compte compromis et tous les comptes utilisant les mêmes identifiants. Activez l'authentification multifactorielle sur tous vos comptes. Signalez l'incident à votre équipe informatique ou de sécurité en fournissant tous les détails de ce qui s'est passé. Surveillez vos comptes à la recherche d'activités suspectes et envisagez de placer des alertes de fraude auprès des agences d'évaluation du crédit si des informations financières ont pu être compromises.
Une prévention efficace combine des contrôles techniques et des facteurs humains. Déployez des protocoles de filtrage et d'authentification des e-mails (SPF, DKIM, DMARC). Mettez en place une authentification multifactorielle (MFA) phishing à l'aide de FIDO2 ou de clés d'accès plutôt que de codes SMS. Organisez régulièrement des formations de sensibilisation à la sécurité avec phishing de simulation phishing . Établissez des procédures de vérification pour les demandes sensibles, en particulier les transferts financiers. Créez des mécanismes de signalement clairs qui permettent aux employés de signaler facilement les messages suspects sans crainte de sanctions.
phishing standard phishing de grands groupes avec des messages génériques dans l'espoir que certains destinataires se laisseront piéger. phishing spear phishing des individus spécifiques en utilisant des informations personnalisées sur la victime, son rôle et son organisation. Les attaquants recherchent phishing via LinkedIn, les sites web d'entreprises et les réseaux sociaux afin de rédiger des messages crédibles faisant référence à des projets, des collègues ou des activités réels. phishing spear phishing un taux de réussite nettement plus élevé, car la personnalisation rend les messages plus légitimes.
Phishing davantage la psychologie humaine que les vulnérabilités techniques. Il s'appuie sur des principes tels que l'urgence, l'autorité, la peur et la confiance pour contourner la prise de décision rationnelle. Même les personnes sensibilisées à la sécurité peuvent être victimes d'attaques bien conçues qui surviennent à des moments opportuns, par exemple pendant les périodes de forte activité, après les heures de travail ou lors de transitions organisationnelles. L'élément humain ne peut pas être corrigé comme un logiciel, ce qui rend la formation continue et les contrôles techniques indispensables l'un à l'autre.