Phishing : comment protéger vos équipes contre les cyberattaques ?

Un email de votre banque vous demandant de « vérifier vos informations ». Un message de votre fournisseur avec une facture en pièce jointe. Un SMS de la Poste indiquant un colis en attente. Chaque jour, des millions de tentatives de phishing ciblent les entreprises françaises. Et les PME sont en première ligne.

Selon le rapport 2025 de l'ANSSI, 74 % des cyberattaques contre les entreprises françaises commencent par un email de phishing. Le coût moyen d'une attaque réussie pour une PME est estimé à 50 000 euros, sans compter les dommages à la réputation et la perte de confiance des clients.

Comprendre le phishing : les différentes formes d'attaque

Le phishing (ou hameçonnage) ne se limite pas aux emails maladroits bourrés de fautes d'orthographe. Les techniques se sont considérablement sophistiquées :

Le phishing classique (email)

L'attaquant envoie un email en se faisant passer pour un organisme de confiance (banque, administration, fournisseur, éditeur de logiciel). L'email contient un lien vers un faux site web ou une pièce jointe malveillante. L'objectif : voler des identifiants, des coordonnées bancaires ou installer un logiciel malveillant.

Le spear phishing (ciblé)

Contrairement au phishing de masse, le spear phishing cible une personne précise. L'attaquant a fait des recherches : il connaît le nom de la cible, sa fonction, ses collègues, ses projets en cours. L'email est personnalisé et très crédible. C'est la forme la plus dangereuse, car elle trompe même les collaborateurs vigilants.

Le whaling (arnaque au président)

Variante du spear phishing, le whaling cible les dirigeants ou se fait passer pour eux. L'exemple classique : un email supposément envoyé par le PDG à la comptable, demandant un virement urgent et confidentiel. En France, on parle souvent de « fraude au président ». Les montants en jeu peuvent atteindre des centaines de milliers d'euros.

Le smishing et le vishing

Le phishing ne passe pas uniquement par l'email. Le smishing utilise les SMS (faux messages de livraison, de banque ou d'administration) et le vishing utilise le téléphone (faux appels du support technique, de la banque ou d'un fournisseur). Ces techniques exploitent le sentiment d'urgence et la confiance accordée au canal vocal.

Comment reconnaître une tentative de phishing

Malgré leur sophistication croissante, les emails de phishing présentent souvent des indices révélateurs. Voici les signaux d'alerte à transmettre à vos équipes :

Les indices dans l'email

• L'adresse de l'expéditeur : vérifiez le domaine après le @. Un email de votre banque qui vient de « service-client@banque-secure-fr.com » au lieu de « @mabanque.fr » est frauduleux
• Le sentiment d'urgence : « Votre compte sera bloqué dans 24h », « Réglez immédiatement cette facture ». Les attaquants jouent sur la panique pour empêcher la réflexion
• Les liens suspects : survolez le lien (sans cliquer) pour voir l'URL réelle. Si elle ne correspond pas au site officiel, c'est un piège
• Les pièces jointes inattendues : une facture que vous n'attendiez pas, un document Word avec macro, un fichier .zip d'un expéditeur inconnu
• La demande d'informations sensibles : aucune entreprise légitime ne vous demandera votre mot de passe, votre numéro de carte bancaire ou votre code PIN par email
• Les incohérences : un email de votre fournisseur habituel mais avec un ton différent, un numéro de commande inconnu, ou une demande inhabituelle

Former vos équipes : la première ligne de défense

La technologie peut filtrer une grande partie des emails de phishing, mais les attaques les plus sophistiquées finissent toujours par atteindre les boîtes de réception. C'est pourquoi la formation des collaborateurs est indispensable.

Les campagnes de simulation

La méthode la plus efficace consiste à envoyer de faux emails de phishing à vos collaborateurs, sans les prévenir. Ceux qui cliquent sur le lien ou ouvrent la pièce jointe sont redirigés vers une page de sensibilisation. Ces campagnes permettent de :

• Mesurer le niveau de vigilance réel de vos équipes
• Identifier les profils les plus vulnérables
• Créer un apprentissage par l'expérience (beaucoup plus efficace que la théorie)
• Suivre l'évolution du taux de « clic » au fil des campagnes

En moyenne, le taux de clic passe de 30-40 % lors de la première campagne à moins de 5 % après 6 mois de sensibilisation régulière.

Les sessions de formation

Complétez les simulations par des sessions de formation courtes (30 minutes) et régulières (trimestrielles). Montrez des exemples réels d'emails de phishing, expliquez les techniques utilisées et donnez des réflexes concrets à adopter.

La procédure de signalement

Mettez en place un processus simple pour signaler un email suspect : un bouton « Signaler comme phishing » intégré à la messagerie, ou une adresse email dédiée (security@votreentreprise.fr). Chaque signalement doit être analysé et recevoir un retour, pour encourager la vigilance.

Les protections techniques indispensables

La formation humaine doit s'accompagner d'un arsenal technique robuste. Voici les mesures à mettre en place :

SPF, DKIM et DMARC : le trio indispensable

Ces trois protocoles protègent votre domaine de messagerie contre l'usurpation d'identité :

• SPF (Sender Policy Framework) : indique quels serveurs sont autorisés à envoyer des emails en votre nom. Un email envoyé depuis un serveur non listé sera rejeté ou marqué comme suspect
• DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique à vos emails, garantissant qu'ils n'ont pas été modifiés pendant le transport
• DMARC (Domain-based Message Authentication) : définit la politique à appliquer quand un email échoue aux vérifications SPF et DKIM (mise en quarantaine ou rejet)

Le filtrage email avancé

Les solutions de filtrage email modernes vont bien au-delà du simple antispam :

• Analyse des liens en temps réel : chaque URL contenue dans un email est vérifiée au moment du clic, pas seulement à la réception
• Sandboxing des pièces jointes : les fichiers joints sont ouverts dans un environnement isolé pour détecter les comportements malveillants
• Analyse par intelligence artificielle : détection des anomalies dans le style d'écriture, les habitudes d'envoi et le contenu des messages
• Protection contre l'usurpation d'identité interne : détection des emails qui se font passer pour un collègue ou un dirigeant

L'authentification multifacteur (MFA)

Même si un collaborateur se fait piéger et saisit ses identifiants sur un faux site, l'authentification multifacteur empêche l'attaquant d'accéder au compte. Le MFA devrait être activé sur tous les comptes professionnels : messagerie, cloud, applications métier, VPN.

Que faire en cas d'attaque réussie ?

Malgré toutes les précautions, une attaque peut réussir. L'important est de réagir vite et de manière structurée :

1. Isoler immédiatement : déconnecter le poste compromis du réseau (Wi-Fi et câble)
2. Changer les mots de passe : modifier immédiatement les identifiants des comptes potentiellement compromis, depuis un autre appareil sain
3. Informer le service IT : contacter immédiatement votre prestataire informatique ou votre équipe technique
4. Analyser l'incident : identifier le périmètre de la compromission (quels comptes, quelles données, quelle durée)
5. Communiquer en interne : prévenir les autres collaborateurs pour qu'ils soient vigilants face à des emails similaires
6. Déclarer l'incident : si des données personnelles ont été compromises, une notification CNIL est obligatoire dans les 72 heures (RGPD)
7. Tirer les leçons : analyser comment l'attaque a réussi et renforcer les protections en conséquence

Mettre en place une politique anti-phishing complète

Pour une protection efficace et durable, combinez les mesures humaines et techniques dans une politique structurée :

• Formation initiale de tous les nouveaux collaborateurs dès leur arrivée
• Campagnes de simulation trimestrielles avec suivi des résultats
• Protections techniques à jour : SPF/DKIM/DMARC, filtrage email, MFA
• Procédure de signalement claire et accessible
• Plan de réponse aux incidents documenté et testé
• Veille sur les menaces : votre prestataire doit vous alerter sur les nouvelles campagnes de phishing ciblant votre secteur

Chez CoreWave, nous accompagnons nos clients dans la mise en place de cette politique complète : de la configuration technique (SPF/DKIM/DMARC, filtrage email, MFA) à l'organisation de campagnes de sensibilisation régulières, en passant par la définition du plan de réponse aux incidents.

Conclusion

Le phishing est une menace qui ne disparaîtra pas. Elle évolue, se sophistique et s'adapte aux nouvelles technologies. Mais avec une approche combinant formation humaine et protections techniques, vous pouvez réduire considérablement le risque pour votre entreprise.

La clé, c'est la constance : la sensibilisation doit être régulière, les outils doivent être maintenus à jour, et les procédures doivent être testées. C'est un investissement modeste au regard des conséquences potentielles d'une attaque réussie.