Phishing — définition, types et protection pour les PME
Le phishing (hameçonnage) est une technique d'attaque par laquelle un cybercriminel se fait passer pour une entité de confiance (banque, administration, fournisseur) pour piéger sa victime et lui soutirer des identifiants, données bancaires ou accès informatiques. C'est le vecteur d'attaque le plus courant contre les PME.
Types de phishing
Le phishing classique cible des milliers de destinataires avec un message générique. Le spear phishing est personnalisé (utilise le nom, la fonction, le contexte de la victime) et beaucoup plus efficace. Le whaling cible spécifiquement les dirigeants. Le smishing utilise les SMS, le vishing la voix. Les attaques de type "fraude au président" combinent ingénierie sociale et spear phishing.
Protection et formation
La protection passe par des mesures techniques (filtres anti-spam, authentification à deux facteurs, DMARC/DKIM/SPF) et humaines (formation des collaborateurs à la détection des signaux d'alerte). Les simulations de phishing permettent de tester la vigilance des équipes et de cibler la formation. La règle principale : vérifier l'expéditeur réel, ne jamais cliquer sans vérifier.
Questions fréquentes
Comment reconnaître un e-mail de phishing ?
Les signaux d'alerte : expéditeur avec domaine légèrement différent du vrai (gooogle.com), URL qui ne correspond pas à l'organisation citée (visible au survol du lien), ton d'urgence ou de menace, demande d'identifiants ou de virement, fautes d'orthographe. En cas de doute, contacter directement l'expéditeur supposé par téléphone.
Que faire si un collaborateur a cliqué sur un lien de phishing ?
Agir immédiatement : déconnecter le poste du réseau, changer tous les mots de passe depuis un autre appareil, alerter le responsable informatique, analyser le poste avec un antivirus à jour. Si des données bancaires ont été communiquées, alerter la banque. Si des données clients sont compromises, une notification CNIL dans les 72h peut être obligatoire.
Les PME sont-elles vraiment ciblées par le phishing ?
Oui, de plus en plus. Les PME sont souvent moins bien protégées que les grandes entreprises et constituent des cibles attrayantes ou des points d'entrée vers leurs clients grands comptes. Les attaques de type fraude au président et compromission d'e-mail professionnel (BEC) causent des pertes financières directes importantes.
