Phishing.

Le phishing est l'attaque d'ingénierie sociale qui pousse un utilisateur à cliquer sur un lien malveillant, ouvrir un fichier malveillant ou divulguer ses identifiants. Variantes : spear phishing (ciblé), whaling (cadres dirigeants), smishing (SMS), vishing (voix), BEC (compromission de messagerie professionnelle). La formation compte ; le MFA résistant au phishing compte davantage.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La vision de Cyber Academy

Le phishing est l'attaque d'ingénierie sociale qui pousse un utilisateur à cliquer sur un lien malveillant, ouvrir un fichier malveillant ou divulguer ses identifiants. Variantes : spear phishing (ciblé), whaling (cadres dirigeants), smishing (SMS), vishing (voix), BEC (compromission de messagerie professionnelle). La formation compte ; le MFA résistant au phishing compte davantage.

Pourquoi le phishing reste le principal point d'entrée

Le phishing perdure parce qu'il s'attaque à la personne, pas au périmètre. Tous les autres contrôles peuvent être parfaitement configurés, l'attaquant n'a toujours besoin que d'un seul employé qui clique sur un lien, ouvre un fichier ou saisit un mot de passe dans une fausse page convaincante. Le message arrive par un canal de confiance, généralement le courrier électronique mais de plus en plus le SMS et la voix, et emprunte l'apparence et le ton d'une marque, d'un collègue ou d'un système interne dont la victime attend déjà des nouvelles.

Comme la charge utile se cache souvent derrière un domaine fraîchement enregistré ou une page de connexion cloud d'apparence légitime, les filtres basés sur les signatures et les listes de réputation arrivent fréquemment trop tard. L'économie favorise également l'attaquant : un seul modèle peut être diffusé à des milliers de destinataires à un coût quasi nul, et un seul succès peut livrer des identifiants qui déverrouillent tout le reste.

Ce que les praticiens surveillent, c'est le passage du volume à la précision. Le phishing de masse est un filet large, mais les incidents coûteux commencent généralement par un message sur mesure qui a manifestement fait ses devoirs sur la cible, l'organigramme et le moment.

Les variantes qui comptent en pratique

Le phishing est une famille, pas une technique unique. La logique d'ingénierie sociale reste constante tandis que le canal et la cible changent.

  • Spear phishing : un message ciblé conçu pour une personne ou une équipe précise, utilisant de vrais noms, projets et contextes pour réduire la méfiance.
  • Whaling : du spear phishing visant les dirigeants et autres approbateurs à forte valeur, où un seul compte compromis porte une autorité démesurée.
  • Smishing : phishing diffusé par SMS, souvent une fausse notification de livraison, de banque ou de réinitialisation de MFA qui exploite le petit écran et l'habitude de faire confiance aux textos.
  • Vishing : phishing par appel vocal, où un attaquant fait pression sur la victime en temps réel, de plus en plus aidé par des numéros usurpés et de l'audio synthétique.
  • Business email compromise : un sous-type de prétexting qui cible directement les processus de paiement et de données, généralement sans aucun lien ni pièce jointe malveillants.

Ce qui réduit réellement le risque

La sensibilisation est nécessaire mais pas suffisante. Les gens cliqueront toujours dans une certaine proportion des cas, l'objectif est donc de supprimer la valeur d'un clic plutôt que d'exiger la perfection des utilisateurs. Le contrôle technique décisif est l'authentification multifacteur résistante au phishing, c'est-à-dire des facteurs liés au domaine légitime, tels que les clés de sécurité FIDO2 ou les passkeys, qu'une fausse page de connexion ne peut pas rejouer. En aval se trouvent les contrôles qui rattrapent ce qui passe au travers.

  • Une MFA résistante au phishing sur chaque compte qui compte, afin qu'un mot de passe dérobé seul ne suffise pas à se connecter.
  • L'authentification du courrier électronique avec SPF, DKIM et DMARC pour augmenter le coût de l'usurpation de domaine, associée à une passerelle de messagerie sécurisée et à la réécriture des liens ou au sandboxing.
  • Une sensibilisation continue et basée sur des scénarios, complétée par du phishing simulé, mesurée pour s'améliorer dans le temps plutôt que pour punir les individus.
  • Un bouton de signalement sans friction et un processus de réponse rapide, car les personnes qui signalent sont le système d'alerte précoce pour celles qui ont cliqué.

La place du phishing dans les normes et la réglementation

Le phishing se situe pleinement dans le périmètre d'un système de management de la sécurité de l'information. Dans le cadre d'un SMSI ISO/IEC 27001, le traitement pertinent combine sensibilisation, contrôle d'accès et les contrôles techniques de messagerie et d'authentification, tous sélectionnés par l'appréciation des risques plutôt qu'ajoutés par réflexe.

Les orientations européennes de l'ENISA et des autorités nationales telles que l'ANSSI classent systématiquement le phishing parmi les principales techniques d'accès initial et publient des contre-mesures pratiques.

Lorsqu'un phishing réussi expose des données personnelles, par exemple via une boîte aux lettres compromise, il peut également déclencher des obligations de violation de données personnelles au titre du GDPR, ce qui signifie que le juridique et la fonction de protection des données ont leur place dans le plan de réponse, aux côtés de l'IT et de la sécurité.

Pour les praticiens, la leçon est que la défense contre le phishing est en couches et partagée. Aucun outil ni aucune campagne de sensibilisation ne la referme à elle seule. La posture durable combine les personnes, les processus et la conception de l'authentification de sorte qu'un clic, qui finira par se produire, ne devienne pas une violation.

Frequently asked questions

01Quelle est la différence entre le phishing et le spear phishing ?

Le phishing est la catégorie large des messages d'ingénierie sociale diffusés largement pour récolter des clics ou des identifiants. Le spear phishing est une variante ciblée conçue pour une personne ou une équipe précise, utilisant de vrais noms, projets et contextes pour réduire la méfiance et augmenter le taux de réussite.

02L'authentification multifacteur arrête-t-elle le phishing ?

La MFA ordinaire aide mais peut être hameçonnée ou relayée en temps réel. La MFA résistante au phishing, telle que les clés de sécurité FIDO2 ou les passkeys liées au domaine légitime, est ce qui déjoue de manière fiable le phishing d'identifiants, car une fausse page de connexion ne peut pas rejouer le facteur.

03La sensibilisation suffit-elle à prévenir le phishing ?

Non. La formation abaisse le taux de clic mais ne l'élimine jamais, elle doit donc être associée à des contrôles techniques. L'objectif est de supprimer la valeur d'un clic grâce à la MFA résistante au phishing, à l'authentification du courrier électronique et au signalement rapide, et non d'exiger un pare-feu humain parfait.

04Que sont le smishing et le vishing ?

Le smishing est du phishing diffusé par SMS, souvent une fausse notification de livraison, de banque ou de réinitialisation de MFA. Le vishing est du phishing par appel vocal, où un attaquant exerce une pression en temps réel, de plus en plus aidé par des identifiants d'appelant usurpés et de l'audio synthétique.

05Un incident de phishing peut-il constituer une violation de données à notifier ?

Oui. Si un phishing réussi expose des données personnelles, par exemple via une boîte aux lettres compromise, il peut déclencher des obligations de violation de données personnelles au titre du GDPR. Le plan de réponse devrait impliquer le juridique et la fonction de protection des données aux côtés de l'IT et de la sécurité.

Besoin de plus qu'une définition ?

Réservez un appel découverte gratuit de 20 minutes. Nous identifions la cohorte qui transforme ce terme en pratique prête pour l'audit.