## Le phishing : comprendre et contrer la menace n°1 selon l'ANSSI

Le phishing (ou hameçonnage) reste le vecteur d'attaque le plus utilisé par les cybercriminels. Selon les données de l'ANSSI, il représente 60 % des incidents de sécurité traités par l'agence. Avec l'essor de l'intelligence artificielle, ces attaques deviennent de plus en plus sophistiquées et difficiles à détecter. Voici comment vous en protéger efficacement.

### L'évolution du phishing : des emails grossiers aux attaques ultra-ciblées

Le phishing a considérablement évolué ces dernières années :

Le phishing classique : emails envoyés en masse, imitant des organisations connues (banques, services publics, opérateurs), avec des fautes d'orthographe et des mises en page approximatives. Encore répandu, il est désormais plus facile à détecter.

Le spear phishing : attaques ciblées visant des individus précis au sein d'une organisation. L'attaquant a fait des recherches sur sa victime (profil LinkedIn, organigramme, actualité de l'entreprise) et personnalise son message.

Le whaling : variante du spear phishing ciblant les dirigeants et cadres supérieurs, souvent avec des demandes financières urgentes (fraude au président).

Le phishing augmenté par l'IA : les cybercriminels utilisent désormais l'intelligence artificielle pour générer des messages parfaitement rédigés, dans n'importe quelle langue, avec un niveau de personnalisation inédit. Les deepfakes vocaux et vidéo ajoutent une dimension supplémentaire à la menace.

### Comment reconnaître une tentative de phishing ?

L'ANSSI et le dispositif cybermalveillance.gouv.fr recommandent de vérifier systématiquement ces éléments :

#### Les signaux d'alerte dans les emails

- L'adresse de l'expéditeur : vérifiez le domaine exact (ex : @amaz0n.com au lieu de @amazon.com) - Le sentiment d'urgence : « Votre compte sera supprimé dans 24h », « Action immédiate requise » - Les demandes inhabituelles : informations personnelles, mots de passe, coordonnées bancaires - Les liens suspects : survolez le lien sans cliquer pour voir l'URL réelle - Les pièces jointes inattendues : surtout les fichiers .exe, .zip, .docm

#### Les nouvelles formes de phishing

- Par SMS (smishing) : faux messages de livraison, de l'Assurance Maladie, ou de services publics - Par téléphone (vishing) : appels se faisant passer pour votre banque ou un support technique - Via les réseaux sociaux : faux profils, messages directs avec des liens malveillants - Par QR code (quishing) : QR codes malveillants sur des affiches, emails ou documents

### Les mesures techniques recommandées par l'ANSSI

#### Pour les organisations

1. Mettre en place un filtrage email avancé : anti-spam, anti-phishing, analyse des pièces jointes en sandbox 2. Configurer les protocoles d'authentification email : SPF, DKIM et DMARC pour empêcher l'usurpation de votre domaine 3. Déployer l'authentification multifacteur (MFA) : même si un mot de passe est compromis, le second facteur bloque l'accès 4. Utiliser un gestionnaire de mots de passe : il ne remplira pas automatiquement les identifiants sur un site frauduleux 5. Mettre en place un proxy web : pour bloquer l'accès aux sites malveillants connus 6. Journaliser et surveiller : centraliser les logs de messagerie pour détecter les campagnes de phishing

#### Pour les utilisateurs

1. Ne jamais cliquer sur un lien dans un email sans avoir vérifié l'expéditeur et l'URL 2. Accéder directement aux sites en tapant l'URL dans le navigateur plutôt qu'en suivant un lien 3. Signaler tout email suspect au service informatique ou via le bouton de signalement 4. Ne jamais communiquer d'informations sensibles par email, même si la demande semble légitime

### La sensibilisation : clé de voûte de la protection

L'ANSSI insiste sur l'importance de la formation continue des collaborateurs :

- Campagnes de simulation régulières : envoyer de faux emails de phishing pour mesurer et améliorer les réflexes - Formations courtes et fréquentes : des sessions de 15 à 20 minutes tous les trimestres sont plus efficaces qu'une longue formation annuelle - Retour d'expérience positif : valoriser les signalements plutôt que de sanctionner les erreurs - Adaptation au contexte : les scénarios de simulation doivent correspondre aux menaces réelles du secteur d'activité

### Que faire en cas de phishing réussi ?

Si vous ou un collaborateur avez cliqué sur un lien ou communiqué des informations :

1. Changez immédiatement vos mots de passe sur tous les comptes concernés 2. Prévenez votre service informatique sans délai 3. Déconnectez le poste du réseau si un fichier suspect a été ouvert 4. Surveillez vos comptes bancaires et professionnels pour détecter toute activité anormale 5. Déposez plainte et signalez sur cybermalveillance.gouv.fr

### Conclusion

Le phishing n'est pas une fatalité. Avec une combinaison de mesures techniques, de sensibilisation et de procédures adaptées, il est possible de réduire considérablement le risque. L'ANSSI met à disposition de nombreuses ressources gratuites sur cyber.gouv.fr pour accompagner votre démarche.

Alcybe propose des formations EBIOS Risk Manager et ISO 27005 qui intègrent l'analyse des risques liés au phishing dans une démarche globale de management de la sécurité.