Types d’attaques par hameçonnage : comment repérer l’appât et éviter le piège

L’hameçonnage reste l’une des formes de cybercriminalité les plus redoutables, à la fois efficaces et coûteuses. Et la tendance ne faiblit pas.

Début 2025, le groupe de travail sur l’anti-hameçonnage (Anti-Phishing Working Group) a signalé une hausse de 33 % des attaques de type Business Email Compromise (BEC) ciblant les virements électroniques. Les montants demandés sont souvent élevés.

Le 2025 Data Breach Investigations Report de Verizon indique que des personnes sont impliquées dans 60 % des failles de sécurité, dont une grande partie liée à l’hameçonnage. Les cybercriminels savent parfaitement où frapper : la faille, c’est souvent l’humain, pas la technologie.

La bonne nouvelle : en tant que fournisseurs services de conseil pour Google Workspace ayant fait ses preuves, nous partageons notre savoir-faire pour vous aider à contrer ces attaques.

Quels sont les 4 types d’attaques de phishing les plus courants ?

Le phishing a évolué. Aujourd’hui, il allie précision chirurgicale, rapidité d’exécution et manipulation psychologique, le tout dopé par l’IA. Les attaquants ne se contentent plus de deviner : ils analysent vos publications sur les réseaux sociaux, les actualités de votre entreprise et les anciennes fuites de données pour composer des messages semblant provenir de vos supérieurs hiérarchiques. Ils savent qui vous êtes, sur quoi vous travaillez et même votre manière de communiquer. Grâce à l’IA, ils peuvent générer des milliers de messages uniques et crédibles en quelques secondes.

Type 1. L’ère de l’IA : hyperpersonnalisation, imitations profondes, attaques polymorphes et automatisation

Autrefois, repérer un e-mail frauduleux était plus simple : fautes grossières, liens suspects, salutations impersonnelles. Ce temps est révolu. L’IA rédige aujourd’hui avec une grammaire impeccable et un ton naturel.

Même les appels vidéo, autrefois gage de confiance, peuvent être trompeurs. Les attaques par deepfake imitent désormais à la perfection voix, visages et comportements. Exemple : un employé d’une société financière à Hong Kong a transféré 25,6 millions de dollars à ce qu’il croyait être son directeur financier… basé au Royaume-Uni. Tout semblait authentique, mais tout était faux.

Le Global Cybersecurity Outlook 2025 du Forum économique mondial signale une hausse de 223 % des ventes d’outils de contrefaçon sur le dark web. Moins chers, plus performants, plus répandus.

Autre évolution : le phishing polymorphe. Chaque message est légèrement modifié, contournant les filtres de sécurité basés sur la reconnaissance de modèles. Le 2025 Phishing Threat Trends Report de KnowBe4 révèle que plus de 76 % des courriels d’hameçonnage des e-mails de phishing récents présentaient au moins une variation polymorphe, rendant obsolètes les filtres traditionnels.

Résultat : même des cybercriminels sans compétences techniques peuvent lancer des campagnes massives grâce à des kits prêts à l’emploi et à l’automatisation. Un fossé se creuse entre grandes entreprises équipées de défenses IA performantes et petites structures vulnérables. Le WEF parle même de “cyberinégalité”. Protéger son entreprise n’est plus seulement une question de technologie, mais aussi de stratégie et de budget.

Type 2. La résurgence des ransomwares : charges utiles avancées et techniques d’hameçonnage par obscurcissement

Les attaques par hameçonnage ne visent plus uniquement les mots de passe. Entre novembre 2024 et février 2025, les ransomwares distribués par phishing ont bondi de 57,5 %. Plus de la moitié des attaques de ransomware commencent par un simple e-mail. Ce n’est pas un hasard, c’est une stratégie.

Phishing et ransomware vont aujourd’hui de pair. La messagerie devient la première ligne de défense : si elle est compromise, il est déjà trop tard.

Type 3. Vecteurs d’attaque émergents : quishing et ingénierie sociale multicanal

Le quishing – hameçonnage par code QR – progresse rapidement. Les QR codes dans les e-mails, affiches ou courriers physiques peuvent rediriger vers de faux sites ou installer des malwares. Aux États-Unis, des dizaines de millions de personnes ont déjà été exposées à cette méthode, selon CNBC (juillet 2025).

Les cybercriminels brouillent les lignes entre monde physique et numérique et multiplient les canaux : Slack, Teams, SMS, appels, réseaux sociaux… Parfois, ils combinent plusieurs vecteurs : un e-mail, suivi d’un appel d’un faux cadre cloné, puis d’une vidéo deepfake. La sécurité ne peut plus fonctionner en silos. Une vision globale et intégrée est indispensable.

Type 4. Vulnérabilités de la chaîne d’approvisionnement : exploitation des relations avec des tiers de confiance

La chaîne d’approvisionnement est devenue un terrain d’attaque privilégié. En 2024, environ 11 % des e-mails de phishing provenaient de fournisseurs compromis.

L’étude 2025 Global Digital Trust Insights de PwC classe les violations de tiers parmi les menaces les plus redoutées par les dirigeants (35 %), mais aussi parmi celles pour lesquelles ils se sentent le moins préparés.

Un petit fournisseur mal protégé peut ouvrir la porte à une attaque massive. D’où l’importance d’étendre la logique de Zero Trust au-delà de l’entreprise : vérification continue, contrôles d’accès stricts, surveillance en temps réel.

KPMG recommande notamment de revoir régulièrement la liste des fournisseurs et partenaires clés pour limiter la dépendance excessive. McKinsey rappelle qu’il faut également cartographier les nth-party dependencies – partenaires indirects – afin de bâtir des plans d’urgence robustes, prenant en compte l’ensemble des risques, pas seulement les plus visibles.

Comment se protéger contre les 4 types d’hameçonnage ?

Les attaques gagnent en sophistication, mais nos défenses évoluent elles aussi. La meilleure stratégie repose sur un équilibre entre technologies avancées et bonnes pratiques éprouvées.

Une sécurité des courriels plus intelligente grâce à l’IA

Les filtres de messagerie basés sur l’intelligence artificielle constituent votre première ligne de défense. Contrairement aux systèmes plus anciens qui se contentent de repérer des liens suspects ou des expéditeurs inhabituels, ces filtres apprennent en permanence à partir des modèles d’usage : qui envoie un message, quel est son contenu, comment il se compare aux échanges habituels.

Prenons l’exemple de Gmail : son IA bloque plus de 99,9 % des spams, du phishing et des malwares avant même qu’ils n’atteignent la boîte de réception. Certains systèmes combinant apprentissage automatique et traitement du langage naturel vont encore plus loin : ils détectent des tentatives plus subtiles, comme de fausses factures, qui passent souvent sous le radar des filtres traditionnels.

Authentification multifactorielle inviolable

L’authentification multifactorielle (MFA) renforce la sécurité même en cas de compromission de mot de passe. Mais toutes les MFA ne se valent pas : les codes reçus par SMS peuvent être interceptés. C’est pourquoi les passkeys prennent de l’importance. Elles utilisent votre empreinte digitale, Face ID ou un code PIN sécurisé pour confirmer votre identité, tout en gardant la clé privée verrouillée sur votre appareil. Rien à voler pour l’attaquant. La principale agence européenne de cybersécurité considère désormais les passkeys comme la meilleure forme de MFA, capable de résister à quasiment toutes les tentatives de phishing.

Zero Trust : ne jamais faire confiance par défaut

Autrefois, la sécurité reposait sur le principe “faire confiance mais vérifier”. Aujourd’hui, c’est “ne jamais faire confiance, toujours vérifier”. Chaque demande d’accès, qu’elle vienne du bureau ou de l’autre bout du monde, doit être authentifiée et réauthentifiée. Même si un utilisateur clique sur un lien piégé, cette approche “zéro confiance” limite strictement l’accès en fonction de l’identité, du contexte et des besoins réels.

Renforcer l’identité des courriels avec SPF, DKIM et DMARC

L’hameçonnage repose souvent sur des messages falsifiés imitant un contact légitime. Les protocoles Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting & Conformance (DMARC) compliquent considérablement cette usurpation : ils vérifient l’authenticité du domaine de l’expéditeur, s’assurent que le message n’a pas été altéré et réduisent le risque de tromperie. Au Royaume-Uni, le gouvernement recommande même de rendre DMARC obligatoire pour toutes les organisations.

Garder les données sensibles là où elles se trouvent

Toutes les attaques par hameçonnage ne visent pas uniquement vos identifiants. Certaines cherchent à obtenir des informations confidentielles. Les outils de prévention des pertes de données (DLP) deviennent alors indispensables. Ils contrôlent et limitent le partage de fichiers et de messages, notamment dans Google Drive, Chat et Gmail. Même si un compte est compromis, un DLP bien configuré peut bloquer l’envoi de documents sensibles en dehors de l’entreprise.

Mettez tout à jour – oui, tout

Les cyberattaquants raffolent des logiciels obsolètes. S’il existe une faille connue, ils la trouveront tôt ou tard, même avec des attaques de phishing basiques. La parade est simple : maintenir à jour l’ensemble de vos systèmes, applications et outils de sécurité. Les développeurs publient régulièrement des correctifs qui comblent les vulnérabilités recherchées par les hameçonneurs. Ignorer une mise à jour, c’est comme laisser sa porte d’entrée grande ouverte la nuit.

Les passerelles de messagerie sont toujours importantes

Même avec l’IA avancée et le MFA robuste, les solutions éprouvées comme les passerelles de messagerie sécurisée (SEG) ou l’Integrated Cloud Email Security (ICES) conservent un rôle central. Les outils les plus récents comblent les lacunes que certaines passerelles traditionnelles, même Microsoft 365, peuvent laisser. Gartner recommande toujours de combiner SEG et ICES dans une stratégie de sécurité e-mail à plusieurs niveaux.

Garder une longueur d’avance grâce à la veille sur les menaces

Une défense efficace commence par de bonnes informations. La veille sur les menaces en temps réel permet d’identifier les attaques dès leur apparition et de réagir rapidement. Partenaire de Cloudflare, nous savons que leurs systèmes analysent chaque jour plus de 4,4 trillions de points de données à travers les e-mails, le DNS et le web. Google Security Operations va encore plus loin : ses outils automatisés surveillent, enquêtent et réagissent instantanément, grâce à une plateforme Threat Intelligence qui observe en direct les tendances mondiales, y compris les nouveaux types d’hameçonnage.

N’oubliez pas le navigateur et les appareils

Le phishing ne se limite pas aux e-mails : le navigateur peut être un point faible. ChromeOS, compatible avec ZTE, bloque les applications non fiables, n’exécute que des logiciels vérifiés et protège les fichiers système contre toute altération. À ce jour, aucun cas de ransomware ou de virus connu n’a été détecté sur la plateforme. Chrome Enterprise Premium intègre la fonction Enhanced Safe Browsing, qui détecte les sites malveillants en temps réel. Mais un antivirus solide, installé sur chaque poste de travail, reste indispensable pour intercepter les malwares qui passent entre les mailles du filet.

Comment éviter les types d’hameçonnage les plus courants ?

Même avec les meilleures protections, l’humain reste souvent la dernière ligne de défense. D’où l’importance d’instaurer une culture de la sécurité et de former chaque employé à reconnaître les menaces, tout autant que de déployer des services de cybersécurité.

Faire en sorte que la formation compte

La formation à la sensibilisation à la sécurité (SAT) ne doit pas être ponctuelle. Les employés doivent apprendre à repérer les signaux d’alerte : demandes inhabituelles, messages urgents, adresses e-mail suspectes ou tout comportement qui sort de l’ordinaire. Avec l’essor de l’IA, les e-mails de phishing sont plus convaincants que jamais, ce qui exige une formation plus approfondie.

Les meilleures plateformes adoptent une approche personnalisée et adaptative : à mesure que les compétences progressent, la difficulté augmente. En ajoutant une dimension ludique — points, classements, reconnaissance — l’engagement reste durable.

Il est essentiel de ne pas sanctionner les erreurs : la peur inhibe la communication. La sécurité est un travail d’équipe où chaque clic, rapport ou question compte. La formation est la plus efficace lorsqu’elle est continue, réaliste et liée à des comportements concrets, et non à un simple exercice de conformité.

Apprendre aux gens à faire une pause et à réfléchir

Le phishing fonctionne en exploitant la rapidité et l’émotion. Plus la réaction est précipitée, plus le risque d’erreur est élevé. Les employés doivent être formés à ralentir et vérifier : si quelque chose semble suspect, ne pas cliquer, ne pas télécharger, ne pas répondre. Aller directement sur le site officiel ou contacter l’entreprise via un canal connu, et non celui indiqué dans le message.

Prendre de bonnes habitudes en matière de connexion

Les mots de passe restent essentiels : ils doivent être forts, uniques et stockés dans un gestionnaire sécurisé. Réutiliser le même identifiant sur plusieurs sites est à proscrire. Les passkeys représentent une alternative plus sûre, plus simple et quasiment imperméable à toutes les formes de phishing.

Faciliter le signalement

La procédure de signalement d’un e-mail suspect doit être parfaitement claire. Un rapport rapide peut stopper une attaque en cours. En dehors de l’entreprise, les e-mails suspects peuvent être transmis à l’autorité nationale de cybersécurité ou signalés via des outils comme Report Phishing de Google. Plus ces systèmes reçoivent de données, mieux ils détectent les attaques et bloquent les menaces futures.

Utiliser la vérification hors bande

Avec la montée des escroqueries par deepfake ou usurpation vocale, les fraudes deviennent plus personnelles et plus difficiles à identifier. Une mesure simple consiste à établir un mot de passe de sécurité interne pour confirmer les identités en cas d’urgence ou de tentative d’arnaque.

Que faire si l’on tombe dans le panneau ?

En cas de compromission, la réactivité est primordiale :

• Changer immédiatement tous les mots de passe exposés
• Déconnecter l’appareil touché du réseau
• Alerter l’équipe informatique et/ou de sécurité
• Prévenir la banque ou les services financiers si des données sensibles sont en jeu

En cas de fuite de données personnelles ou d’entreprise, il faut surveiller les éventuelles expositions d’identifiants sur le dark web, à l’aide de services spécialisés.

Les sauvegardes sont votre filet de sécurité

En matière de récupération, les sauvegardes sont l’assurance-vie des données — à condition qu’elles soient bien gérées. Elles doivent être régulières, testées et stockées séparément des systèmes principaux. L’historique des versions de Google Drive permet de restaurer des fichiers récemment chiffrés. Ainsi, même en cas d’attaque par ransomware, vos données restent intactes et récupérables.

Testez vos connaissances sur les principaux types d’hameçonnage

Protégez vos courriels professionnels contre le phishing avec Google Workspace

Face à la diversité et à la sophistication croissantes des attaques par hameçonnage, Google Workspace dépasse largement les solutions classiques en intégrant des outils de sécurité avancés au cœur même de sa plateforme.

• Gmail neutralise automatiquement la quasi-totalité des spams, tentatives de phishing et malwares. Chaque e-mail est analysé avant d’atteindre la boîte de réception : pièces jointes, liens raccourcis et images intégrées sont vérifiés, et les messages provenant de domaines suspects ou d’expéditeurs non authentifiés sont clairement signalés pour détecter rapidement toute tentative d’usurpation.
• La navigation sécurisée protège bien au-delà de Gmail : sur l’ensemble du web et des applications, Chrome Enterprise détecte en temps réel les sites et liens malveillants.
• Google Workspace applique un modèle de confiance zéro : chaque connexion est validée selon l’identité de l’utilisateur, l’appareil utilisé et le contexte. Les contrôles d’accès sont précis, et le principe du moindre privilège est strictement respecté.
• La plateforme prend en charge les MFA les plus sûrs, comme les passkeys et les clés de sécurité, particulièrement utiles pour les profils à haut risque. La rotation régulière des cookies limite le risque de détournement de session. Les administrateurs peuvent réduire les privilèges des superutilisateurs et inscrire le personnel clé au Programme de Protection Avancée.
• Les règles DLP protègent les données sensibles dans Gmail, Google Chat et Drive : restriction du partage externe, confidentialité par défaut des nouveaux fichiers, politiques spécifiques par équipe ou service.
• Les administrateurs disposent également d’outils pour analyser et révoquer l’accès à des applications tierces inutilisées ou présentant des risques via OAuth, limitant ainsi l’exposition aux menaces cachées.
• Toutes les données sont chiffrées, au repos comme en transit. Le protocole TLS et le chiffrement côté client assurent une protection robuste, y compris lors d’échanges avec des services tiers ou transfrontaliers.
• L’outil d’investigation de la sécurité permet aux administrateurs de réagir rapidement aux incidents : les journaux peuvent être exportés vers Google Security Operations ou BigQuery pour analyses et rapports avancés.
• Google Workspace conjugue sécurité de haut niveau et simplicité d’utilisation, tout en répondant aux principales normes de conformité internationales : ISO/IEC 27001, ISO/IEC 27017, ISO/IEC 27701, SOC 2, SOC 3, FedRAMP, BSI C5 et MTCS.

Cloudfresh, partenaire Google Cloud Premier, accompagne la transformation numérique des entreprises. Prêt à renforcer votre défense contre toutes les formes de phishing ? Remplissez simplement le formulaire ci-dessous pour démarrer dès maintenant.