26 mars 2026 • Hameçonnage
Le phishing est une forme de fraude numérique dans laquelle des cybercriminels se font passer pour quelqu'un d'autre. Il peut s'agir d'une autorité importante ou d'une personnalité connue. Par le biais d'e-mails, de messages WhatsApp ou de SMS qui semblent urgents, on vous demande de fournir des informations, telles que des données personnelles ou bancaires.
Il est essentiel pour les organisations de savoir reconnaître ces attaques. Dans la pratique, de nombreuses entreprises ont recours à des simulations de phishing pour former leurs employés à repérer ces menaces.
Nous vous présentons ci-dessous 10 types d'attaques par hameçonnage, ainsi que des conseils pour vous en prémunir.
10 types d'attaques de phishing
1. Spray phishing
Avec le spray phishing, les cybercriminels envoient par défaut des messages à un grand nombre de personnes dans le cadre d'une campagne de spray phishing. Il s'agit parfois de dix mille e-mails ou SMS envoyés simultanément. Ils jettent un large filet, pour ainsi dire, dans l'espoir que certaines personnes se laisseront prendre au piège de l'e-mail. Il s'agit généralement d'un e-mail provenant d'une entreprise existante qui demande de mettre à jour un mot de passe ou de renouveler des informations de carte de crédit.
2. Phishing par e-mail.
L'envoi d'e-mails est l'une des formes de phishing les plus courantes. Ces e-mails sont conçus pour sembler provenir d'une source fiable. Généralement, il vous est demandé de remplir un formulaire ou d'y répondre. C'est ainsi que les cybercriminels obtiennent des informations personnelles.
Une forme de phishing par e-mail est le « clone phishing », où un e-mail légitime est copié et ses liens et fichiers sont remplacés par des éléments malveillants. Il peut s'agir, par exemple, d'un fichier de facture, d'un lien contenant un virus, ou d'un lien redirigeant vers un site web pour la saisie de données personnelles.
3. Phishing mobile
Le phishing mobile est également connu sous le nom de smishing ou de phishing par SMS. Vous recevrez un message de l'auteur avec une urgence à agir. Pensez à appeler un numéro de téléphone ou à cliquer sur un lien vers un site web. Souvent, des informations personnelles vous seront demandées, telles que des mots de passe ou des informations de carte de crédit.
L'autre forme de Phishing mobile est le Phishing téléphonique ou vishing. Avec cette forme de Phishing, vous ne recevrez pas de message, mais vous serez appelé. Les attaquants se font passer pour votre banque, la police ou d'autres entreprises ou agences. Ils tentent de vous effrayer pour vous pousser à agir, souvent en transférant de l'argent.
4. Exploitation des incidents
Avec ce type d'attaques de phishing, les cybercriminels capitalisent sur l'actualité. Pensez aux demandes de dons pour des fonds d'aide, des catastrophes naturelles ou des guerres. Les auteurs peuvent collecter des données personnelles et soutirer de l'argent aux victimes.
5. Compte expiré / changer le mot de passe
Vous recevrez un message par e-mail ou sur votre mobile vous demandant de réinitialiser votre mot de passe. Ces messages semblent souvent provenir d'une source fiable et sont parfois difficiles à distinguer des messages légitimes. Prenez l'exemple d'un message de votre banque. Si vous avez modifié le mot de passe via un lien contenu dans cet e-mail, l'attaquant dispose des informations nécessaires pour accéder à votre compte bancaire.
6. Whaling phishing
Dans cette attaque de phishing, également connue sous le nom de compromission de messagerie professionnelle (business e-mail compromise), les cybercriminels ciblent les personnes clés, c'est-à-dire les employés occupant un poste élevé au sein d'une organisation. Souvent, ils usurpent l'identité d'un cadre supérieur de l'organisation pour rendre crédible l'accès à des informations financières ou à des plateformes d'entreprise.
7. Jumeau maléfique Wi-Fi
Un clone Wi-Fi est un réseau Wi-Fi qui copie l'adresse d'un autre réseau. Quiconque s'y connecte sera exposé aux hackers. De cette façon, ils obtiennent l'accès aux mots de passe et à d'autres informations. Ce type d'attaque de phishing est souvent effectué dans des lieux publics tels que les centres commerciaux, les cafés et les aéroports. Il n'est donc pas toujours judicieux de se connecter à un réseau Wi-Fi public.
8. Spear phishing
Le spear phishing est une attaque de phishing très personnalisée. L'attaquant se fait passer pour une personne qui connaît bien la cible. Celle-ci est minutieusement étudiée, de sorte que l'attaque semble très personnelle. Le but est d'obtenir l'accès à des informations sensibles afin d'exploiter la cible.
9. Pretexting
Ce type d'attaque de phishing est très efficace car il confère un sentiment de légitimité. Les victimes recevront initialement un message via un canal autre que l'e-mail pour les informer qu'elles recevront un e-mail sous peu. Par exemple, ils se font passer pour un fournisseur et indiquent que la victime recevra bientôt un devis par e-mail. Ce contact téléphonique est donc mentionné dans l'e-mail final, ce qui le rend plus fiable.
10. Man-in-the-Middle
Enfin, nous abordons une méthode de phishing assez complexe : l'attaque de l'homme du milieu (man-in-the-middle). Le cybercriminel intercepte les e-mails entre deux personnes. Le criminel renvoie ensuite ces e-mails à ces deux personnes, qui pensent alors que les e-mails proviennent l'un de l'autre. Ainsi, cela augmente la confiance dans les e-mails, permettant au criminel de demander des informations privées et d'autres données.
Conseils pour prévenir les types d'attaques de phishing
1. Formation du personnel
En formant votre personnel à reconnaître les techniques d'hameçonnage et les mécanismes psychologiques qui les sous-tendent, vous pouvez prévenir un grand nombre d'attaques. Les employés apprennent à vérifier l'identité des expéditeurs, à éviter de cliquer aveuglément sur des liens ou de télécharger des fichiers, et à analyser les messages d'un œil critique. Parmi les principaux signes avant-coureurs, on peut citer :
- Formules d'appel génériques : les e-mails de hameçonnage sont souvent dépourvus de personnalisation.
- Liens ou pièces jointes inattendus : surtout lorsqu'ils ne sont pas sollicités.
- Les fautes de grammaire et d'orthographe : souvent le signe d'une intention malveillante.
- Urgence ou pression : les attaquants tentent de précipiter les décisions.
2. Ne cliquez pas sur tout.
Ne cliquez jamais sur des liens sans vérifier leur source, même si le message semble légitime. Rendez-vous plutôt manuellement sur le site officiel ou vérifiez le lien en passant votre souris dessus. Les légères différences dans les noms de domaine constituent une tactique courante de hameçonnage.
3. Vérifier le HTTPS
Surtout lorsqu'on vous demande de communiquer des informations sensibles, vous devez vérifier si l'URL commence par HTTPS plutôt que par HTTP. Le « S » supplémentaire ne garantit pas qu'il s'agisse d'un site web sécurisé, mais celui-ci est mieux protégé contre les pirates informatiques qu'un site HTTP. (Ne vous fiez donc pas uniquement au protocole HTTPS.)
4. Encourager le signalement
Instaurez une culture dans laquelle les employés se sentent à l'aise pour signaler les e-mails suspects. Plus une tentative d'hameçonnage est signalée rapidement, plus vite des mesures peuvent être prises pour protéger le reste de l'entreprise.
4. Utiliser Guardey
Pour protéger efficacement votre entreprise contre les attaques de phishing, la sensibilisation ne suffit pas. Les employés doivent être confrontés à des situations réelles et apprendre à y réagir.
Grâce à la simulation de phishing, vous pouvez reproduire en toute sécurité des attaques réelles et former vos collaborateurs à reconnaître et à signaler les menaces dans des conditions réelles. Cela réduit considérablement le risque de voir des tentatives de phishing aboutir.
De plus, Guardey aide les entreprises à renforcer en permanence la sensibilisation à la sécurité grâce à des formations interactives et à des analyses en temps réel. Ainsi, vous ne vous contentez pas de former vos employés une seule fois, mais vous instaurez une culture de la sécurité durable au sein de votre entreprise.