Le phishing reste le vecteur d'entrée le plus fréquent dans les incidents de sécurité en entreprise. En 2025, il ne se limite plus à un email mal orthographié : spear phishing ciblé, SMS frauduleux (smishing), appels vocaux (vishing), QR codes malveillants - les formes se sont multipliées et la qualité des leurres s'est considérablement améliorée avec les outils d'IA générative. Voici les leviers concrets pour réduire le risque dans votre organisation.

Les formes du phishing en 2025

Comprendre les variantes actuelles est la première étape pour adapter les contre-mesures :

  • Spear phishing : email personnalisé ciblant un individu précis, avec référence à son poste, son responsable ou un projet en cours. Le taux de clic est nettement plus élevé que sur les campagnes génériques. Les informations viennent souvent de LinkedIn ou d'un précédent incident de fuite de données.
  • Smishing : SMS imitant une banque, un opérateur télécom, ou un service de livraison. Le taux d'ouverture des SMS dépasse 90 %, et les utilisateurs sont moins méfiants que sur email.
  • Vishing : appel téléphonique se faisant passer pour la DSI, un fournisseur ou une autorité (URSSAF, administration). Objectif : obtenir un mot de passe, valider un virement, ou contourner le MFA par ingénierie sociale en temps réel.
  • QR code phishing (quishing) : QR code imprimé ou dans un email, contournant les filtres qui analysent les URLs. Le scan renvoie vers une page de collecte d'identifiants.
  • Phishing via outils collaboratifs : invitation Teams ou Slack frauduleuse, lien partagé dans un commentaire OneDrive, faux message de support via un ticket Zendesk ouvert au nom d'un vrai fournisseur.

La tendance 2025 : des leurres rédigés sans faute grâce aux LLM, des domaines enregistrés quelques heures avant l'attaque pour éviter les listes de blocage, et des pages de phishing hébergées sur des services légitimes (Google Sites, Notion, GitHub Pages) pour passer les filtres de réputation.

Reconnaître les signaux d'alerte

Les formations génériques échouent parce qu'elles enseignent des règles trop faciles à contourner (« regardez les fautes d'orthographe »). Il vaut mieux entraîner à la posture de doute contextuel : l'email est-il attendu, dans ce contexte, avec ce niveau d'urgence ?

Signaux concrets à enseigner avec des exemples tirés de votre secteur :

  • Domaine approchant : rh-coditrust.com, coditrust-securite.fr, ou un domaine internationalisant un caractère (cοditrust.com avec un omicron grec). Vérifier l'adresse complète, pas uniquement le nom affiché.
  • Demande de contournement du MFA : « La double authentification est en panne, envoyez directement votre code par SMS. » C'est un signal d'alarme systématique - aucun processus interne légitime ne demande cela.
  • Urgence artificielle : « Vous avez 2 heures pour valider ce virement avant blocage du compte. » L'urgence est conçue pour court-circuiter le raisonnement critique.
  • Pièce jointe inattendue : un fichier Office avec macros, un PDF demandant d'activer le contenu, ou un .zip contenant un .lnk ou un .iso.
  • Mismatch expéditeur / contenu : l'adresse d'un collègue connu mais un style inhabituel, une demande sortant de ses attributions habituelles, ou une référence à un projet dont vous n'avez pas eu connaissance.

Les barrières techniques à mettre en place

La technique ne remplace pas la vigilance humaine, mais elle réduit la surface d'exposition et le volume d'attaques qui arrivent jusqu'aux utilisateurs.

Authentification des emails : SPF, DKIM, DMARC

Ces trois standards permettent aux serveurs destinataires de vérifier qu'un email envoyé depuis @votre-domaine.fr est bien légitime. Le guide CERT-FR sur la sécurisation des emails détaille leur mise en œuvre :

  • SPF (Sender Policy Framework) : liste les serveurs autorisés à envoyer au nom de votre domaine.
  • DKIM (DomainKeys Identified Mail) : signe cryptographiquement les emails sortants, permettant au destinataire de vérifier l'intégrité.
  • DMARC : définit la politique à appliquer si SPF ou DKIM échoue (none → surveillance, quarantine → spam, reject → blocage) et envoie des rapports d'abus.

En pratique, de nombreuses organisations ont SPF et DKIM en place mais leur politique DMARC est encore à p=none - c'est-à-dire en mode observation uniquement, sans protection réelle. Passer à p=quarantine puis p=reject après analyse des rapports est l'objectif.

MFA résistant au phishing

Un MFA classique par SMS ou TOTP (code à 6 chiffres) ne protège pas contre les attaques de type adversary-in-the-middle : le phisher relaie en temps réel le code saisi sur sa page frauduleuse vers le vrai service. Les solutions résistantes au phishing sont :

  • Passkeys / FIDO2 : la clé est liée au domaine d'origine, impossible à utiliser sur un faux site.
  • Clés de sécurité physiques (YubiKey, etc.) : même principe - le challenge FIDO2 échoue si l'URL ne correspond pas.

Pour les comptes à forts privilèges (administrateurs, direction financière), c'est une mesure prioritaire.

Filtrage et isolation

  • Filtrage anti-spam avec analyse des URLs et pièces jointes dans un sandbox avant livraison.
  • Désactivation des macros Office par GPO pour les utilisateurs qui n'en ont pas besoin.
  • Isolation de navigateur pour les accès à des URLs inconnues depuis la messagerie (solutions commerciales ou DNS filtering comme Pi-hole, Cloudflare Gateway).
  • Blocage automatique des extensions de fichiers à risque en pièce jointe : .lnk, .iso, .vbs, .js.

Construire une culture du signalement

Le maillon le plus sous-exploité n'est pas la technique : c'est la capacité des utilisateurs à signaler rapidement un doute. Une organisation où signaler est facile et valorisé détecte les campagnes en cours en quelques minutes plutôt qu'en quelques jours.

Ce qui fonctionne :

  • Un bouton « Signaler comme phishing » directement dans le client mail (plugin Microsoft Report Message, bouton Google Workspace, ou équivalent). Zéro friction = plus de signalements.
  • Un accusé de réception automatique vers l'utilisateur avec la conclusion de l'analyse (« C'était bien un phishing, merci » ou « Email légitime, pas d'action nécessaire »). Ce feedback ferme la boucle et renforce le comportement.
  • Traiter les faux positifs avec bienveillance : un utilisateur qui signale un email légitime par excès de prudence a bien fait. Ne jamais le sanctionner.

Ce qui échoue : les campagnes de simulation d'ingénierie sociale punissant publiquement les utilisateurs ayant cliqué. La honte crée de la résistance, pas de la vigilance. Une simulation réussie se termine par une micro-formation contextualisée immédiate, pas par un email de blâme.

Coordonner avec le SOC

Le SOC (ou la personne en charge de la sécurité si vous n'avez pas de SOC dédié) doit :

  • Recevoir les signalements dans un délai court et en accuser réception.
  • Corréler les signalements multiples pour détecter une campagne en cours.
  • Bloquer les domaines et expéditeurs identifiés, et déclencher une alerte si plusieurs personnes ont cliqué.
  • Partager un retour collectif vers les équipes après une campagne détectée : « Cette semaine nous avons bloqué X tentatives, voici à quoi elles ressemblaient. »

Répondre à un incident de phishing

Quand un utilisateur a cliqué et potentiellement saisi ses identifiants, chaque minute compte. Un playbook simple à tenir à jour :

  1. Isoler immédiatement : déconnecter le poste du réseau si une pièce jointe a été ouverte ou un exécutable lancé.
  2. Réinitialiser les credentials : mot de passe du compte concerné + tous les comptes pour lesquels le même mot de passe pourrait être réutilisé.
  3. Révoquer les sessions actives : dans Azure AD / Entra, Google Workspace ou votre IdP, invalider toutes les sessions ouvertes du compte compromis.
  4. Analyser l'activité récente : logs de connexion (IP, géolocalisation), emails envoyés depuis le compte (transferts automatiques ?), accès aux documents partagés.
  5. Vérifier les règles de messagerie : un attaquant qui a accès à une boîte crée souvent une règle de redirection silencieuse vers une adresse externe. C'est un classique.
  6. Notifier : l'équipe sécurité, le manager de la personne concernée, et si des données personnelles ont pu être exposées, le DPO pour évaluer l'obligation de notification CNIL (72h sous RGPD).

Récapitulatif - priorités par catégorie

Catégorie Action prioritaire Effort
AuthentificationPasser DMARC à p=quarantine puis p=rejectFaible
MFAFIDO2 / Passkeys sur comptes à privilègesMoyen
FiltrageDésactiver les macros Office par GPOFaible
SignalementDéployer le bouton « Signaler » dans le client mailFaible
SensibilisationSimulation + micro-formation contextualisée (sans blâme)Moyen
Réponse incidentRédiger un playbook de 6 étapes, le tester une fois par anFaible

Pour ancrer ces réflexes dans vos équipes, la formation de sensibilisation « Le cerveau : première porte d'entrée des hackers » (formateur partenaire) couvre l'ingénierie sociale et les biais cognitifs - voir les modalités sur la fiche.