C'est quoi un phishing ?
Définition, variantes (spear-phishing, smishing, vishing, whaling), exemples, statistiques 2024 et 5 réflexes de protection. Tout sur l'hameçonnage — premier vecteur d'intrusion cyber selon l'ANSSI.
C'est quoi un phishing ?
Le phishing (ou hameçonnage en français) est une technique d'ingénierie sociale qui consiste à piéger une victime via un email, SMS ou appel téléphonique frauduleux pour obtenir des informations sensibles (mots de passe, données bancaires) ou pour lui faire exécuter une action malveillante (cliquer sur un lien, télécharger un fichier, faire un virement). C'est le premier vecteur d'intrusion cyber selon l'ANSSI.
Le phishing est le point d'entrée privilégié des attaques majeures — ransomware, vol de données, fraude au président. Sa force tient à l'exploitation de la psychologie humaine (urgence, autorité, peur, curiosité) plutôt qu'à des failles techniques. Cette page répond à l'intent « c'est quoi un phishing » — pour la dimension organisationnelle de la crise cyber complète, voir la sectorielle crise cyber.
Les 5 variantes principales du phishing
- Phishing classique. Envoi massif d'emails frauduleux génériques (« votre compte est suspendu »). Faible taux de conversion mais volumes industriels.
- Spear-phishing. Ciblé sur une personne précise. Personnalisation à partir d'OSINT (LinkedIn, site corporate, presse). Beaucoup plus efficace.
- Whaling. Spear-phishing visant les dirigeants — DG, DAF, élus. Souvent associé à la fraude au président (BEC).
- Smishing. Phishing par SMS. Croissance forte 2024 — usurpation de banques, services publics, livreurs.
- Vishing. Phishing par appel téléphonique vocal. Souvent en complément d'un email pour accentuer la pression. Recours croissant aux deepfakes audio.
Le phishing en chiffres
L'IA générative a transformé le phishing depuis 2023 — fini les textes mal traduits, place à des messages crédibles dans toutes les langues. Les attaquants génèrent désormais des milliers de variantes personnalisées en quelques minutes, contournant les filtres traditionnels basés sur la signature.
Cas marquants de phishing
Démocrates US (Podesta)
Email piégé déguisé en alerte Gmail. Compromission qui a eu un impact géopolitique majeur sur l'élection américaine.
Twitter (BTC scam)
Spear-phishing combiné à de l'ingénierie sociale. Compromission de comptes vérifiés (Obama, Musk) pour escroquer 120 k$ en bitcoin.
MGM Resorts
Vishing — un attaquant a appelé le helpdesk en se faisant passer pour un employé. Compromission menant à un ransomware paralysant les casinos plusieurs jours.
5 réflexes pour se protéger contre le phishing
MFA généralisée
L'authentification multi-facteurs neutralise 90 % des intrusions par credentials volés via phishing.
Filtrage email avancé
Solution avec sandbox des pièces jointes, analyse de réputation, détection IA des messages atypiques.
Sensibilisation continue
Formation annuelle + simulations mensuelles de phishing avec retour individualisé.
Bouton signaler
Un clic dans le client mail pour signaler. Réponse SOC sous 4h. Culture du signalement valorisée.
Validation hors-canal
Toute demande sensible (virement, accès, données) validée par téléphone ou en présentiel — jamais par mail seul.
L'approche Twist face au phishing
Twist intervient sur la dimension humaine et organisationnelle du risque phishing — la dimension technique étant traitée par les équipes RSSI/SOC.
- Sensibilisation managériale : ateliers ciblés sur les profils à risque (dirigeants, DAF, assistantes de direction, services généraux).
- Exercice phishing en cellule de crise : simulation d'une compromission par phishing menant à un ransomware. Test de la chaîne signalement → SOC → cellule de crise → communication.
- Politique de validation hors-canal formalisée et exercée : pour tout virement supérieur à un seuil, double validation obligatoire par téléphone ou en présentiel. Voir BEC et fraude au président.
FAQ Phishing
C'est quoi un phishing ?
Le phishing (ou hameçonnage) est une technique d'ingénierie sociale qui piège la victime via un email, SMS ou appel frauduleux pour obtenir des informations sensibles ou pour lui faire exécuter une action malveillante. Variantes : spear-phishing (ciblé), smishing (par SMS), vishing (par appel), whaling (cible des dirigeants).
Comment reconnaître un phishing ?
Cinq signes typiques : urgence anormale, expéditeur dont le domaine diffère subtilement (paypaI.com avec un I majuscule), formulation imparfaite ou trop standardisée, demande inhabituelle, lien dont l'URL réelle diffère du texte affiché. Au moindre doute, ne pas cliquer et signaler à son RSSI.
Quelle différence entre phishing et spear-phishing ?
Le phishing classique est un envoi massif et générique. Le spear-phishing est ciblé : l'attaquant collecte des informations sur la victime pour personnaliser le message — nom du dirigeant, projet en cours, codification interne. Le spear-phishing est beaucoup plus efficace et caractérise les attaques contre les organisations.
Que faire si j'ai cliqué sur un lien de phishing ?
Quatre réflexes immédiats. (1) Déconnecter le poste du réseau. (2) Alerter le RSSI ou le SOC sans délai — ne pas attendre par peur de se faire reprendre. (3) Changer immédiatement les mots de passe potentiellement compromis depuis un autre poste. (4) Conserver le message frauduleux pour l'analyse forensique. La rapidité du signalement divise par 10 l'impact.
Comment se protéger contre le phishing ?
Cinq leviers complémentaires : filtrage email avec sandbox, MFA généralisée, formation continue avec simulations, procédure de signalement à bas seuil, politique de validation hors-canal pour toute demande sensible (virement, accès).
Renforcer votre culture anti-phishing ?
30 minutes pour cadrer vos enjeux et dessiner une trajectoire réaliste. Gratuit, sans engagement.
Discuter avec un consultant