Un email arrive. Il mentionne votre prénom, cite un projet en cours, semble venir de votre directeur financier. La demande est simple : valider un virement urgent avant 17 h. Ce scénario n’est pas une fiction — c’est du spear phishing, une attaque construite sur mesure, nourrie d’informations réelles, conçue pour tromper même les personnes les plus vigilantes. Comprendre comment elle se fabrique, se reconnaît et se bloque est aujourd’hui une compétence de survie numérique, pour les individus comme pour les organisations.
- Le spear phishing est une attaque d’ingénierie sociale ciblée : elle vise une personne précise en s’appuyant sur des informations réelles collectées via l’OSINT (réseaux sociaux, LinkedIn, sites d’entreprise).
- Il se distingue du phishing classique par son niveau de personnalisation : l’attaquant imite une personne connue de la victime, pas une marque générique.
- La chaîne d’attaque suit toujours la même logique : collecte d’informations → construction d’un prétexte crédible → usurpation d’identité → piège (lien, pièce jointe ou demande directe) → exploitation.
- Les protections les plus efficaces combinent des réflexes humains (vérification par canal alternatif, MFA, gestionnaire de mots de passe) et des mesures techniques (SPF, DKIM, DMARC, filtrage anti-phishing).
- En cas de clic ou de doute, la priorité est d’agir vite : couper l’action, alerter le service informatique, changer les mots de passe compromis et conserver les preuves.
Spear phishing : définition et principe
Le spear phishing — ou harponnage en français — est une technique d’ingénierie sociale qui prend le plus souvent la forme d’un courriel malveillant. Contrairement à l’hameçonnage classique, l’attaquant ne lance pas un filet large dans l’espoir d’attraper quelqu’un au hasard. Il choisit une cible précise, étudie son environnement, et construit un message conçu spécifiquement pour elle. Le terme « spear » (harpon) illustre parfaitement cette logique : on vise un poisson particulier, pas un banc entier.
L’objectif peut prendre plusieurs formes. Les plus fréquentes sont :
- le vol d’identifiants de connexion pour compromettre un compte (messagerie professionnelle, ERP, plateforme bancaire) ;
- la fraude financière : virement urgent, modification de coordonnées bancaires, achat de cartes-cadeaux ;
- l’installation d’un malware ou d’un rançongiciel via une pièce jointe ou un lien piégé ;
- le vol de données sensibles : secrets commerciaux, données clients, propriété intellectuelle ;
- l’accès initial à un réseau d’entreprise pour préparer une attaque plus large.
Ce qui rend le harponnage particulièrement redoutable, c’est son apparence de normalité. L’email ne ressemble pas à un spam grossier. Il mentionne des détails vrais — un nom de collègue, un projet réel, une référence à une réunion récente. La compromission de compte ou la fraude qui s’ensuit peut donc se déclencher avant même que la victime ait eu le moindre doute. Les courriels de spear phishing sont souvent décrits comme directs, brefs et simples à créer pour l’attaquant, mais extrêmement difficiles à repérer pour la cible.
En cybersécurité, le spear phishing constitue l’un des vecteurs d’entrée les plus utilisés pour des attaques complexes. Il sert de porte d’entrée à des compromissions en chaîne, des fraudes de type BEC (Business Email Compromise) ou des infections massives par rançongiciel. Comprendre son principe, c’est déjà commencer à s’en défendre.
Phishing, spear phishing, smishing et vishing : quelles différences
L’hameçonnage recouvre en réalité une famille de techniques qui partagent le même mécanisme de base — tromper une personne pour lui soutirer quelque chose — mais qui diffèrent par leur canal, leur niveau de personnalisation et leur cible.
| Technique | Canal | Niveau de ciblage | Ce qu’il imite |
|---|---|---|---|
| Phishing | Masse (millions de destinataires) | Une marque (banque, service public, plateforme) | |
| Spear phishing | Email (principalement) | Individu ou groupe précis | Une personne connue de la victime |
| Smishing | SMS | Variable (masse ou ciblé) | Une marque ou un service |
| Vishing | Appel téléphonique | Souvent ciblé | Un conseiller, un technicien, un dirigeant |
La distinction fondamentale entre le phishing et le spear phishing tient à la personnalisation. Un email de phishing classique imite une marque — La Poste, une banque, un opérateur — et s’envoie à des millions de personnes en espérant que certaines mordent à l’hameçon. Le spear phishing, lui, imite une personne : un supérieur hiérarchique, un collègue, un fournisseur habituel, un client. Le message est adapté à la cible, ce qui le rend bien plus convaincant.
Le smishing transpose la logique de l’hameçonnage sur SMS. Les faux messages de livraison de colis ou de remboursement fiscal en sont les exemples les plus répandus. Le vishing (voice phishing) passe par un appel téléphonique : un faux conseiller bancaire, un prétendu technicien informatique, ou même une voix synthétisée par intelligence artificielle imitant un dirigeant. Ces deux variantes peuvent accompagner une campagne de spear phishing pour renforcer la crédibilité du scénario.
Classifier une tentative permet d’adapter ses réflexes. Face à un SMS inattendu demandant de cliquer sur un lien, c’est du smishing. Face à un appel vous pressant de communiquer un code de validation, c’est du vishing. Face à un email de votre « DRH » vous demandant de valider une fiche bancaire, c’est très probablement du spear phishing — et la chaîne d’attaque qui le sous-tend mérite d’être comprise en détail.
Comment fonctionne une attaque de spear phishing
Une attaque de harponnage ne s’improvise pas. Elle suit une chaîne logique, chaque étape alimentant la suivante. Comprendre cette mécanique permet de repérer les signaux faibles bien avant qu’il ne soit trop tard.
Étape 1 : la collecte de renseignements (OSINT)
Tout commence par la recherche d’informations. L’attaquant exploite le renseignement en sources ouvertes (OSINT) : LinkedIn pour les organigrammes et les noms de responsables, le site web de l’entreprise pour les adresses email professionnelles et les communiqués de presse, les réseaux sociaux pour les habitudes et les projets en cours, les registres publics pour les données légales. Des bases de données compromises disponibles sur des forums spécialisés peuvent aussi fournir des identifiants déjà exposés. En quelques heures, un attaquant peut reconstituer un contexte professionnel suffisamment précis pour construire un prétexte crédible.
Étape 2 : la construction du prétexte
Avec ces informations, l’attaquant fabrique un scénario. Il peut s’appuyer sur une facture en attente, une demande de validation urgente, un document partagé sur une plateforme collaborative, ou une instruction de la direction. Le message fait référence à des éléments réels — un projet, un nom de collègue, une réunion — ce qui court-circuite le réflexe de méfiance naturel de la cible.
Étape 3 : l’usurpation d’identité
L’usurpation d’identité peut prendre trois formes techniques distinctes :
- L’usurpation du nom affiché : le nom de l’expéditeur visible est falsifié, mais l’adresse email réelle est différente. Sur mobile, de nombreux clients de messagerie n’affichent que le nom, ce qui favorise une confiance immédiate et aveugle.
- L’usurpation de domaine : l’attaquant envoie depuis une adresse qui semble identique à celle d’un expéditeur légitime. Les protocoles SPF, DKIM et DMARC permettent de détecter et bloquer ce type de falsification.
- L’usurpation par domaine proche (lookalike domain) : l’adresse email utilise un domaine très similaire au domaine original — par exemple @entreprlse.fr au lieu de @entreprise.fr. Dans ce cas, SPF et DMARC sont inefficaces car ils protègent les domaines exacts, pas leurs variantes.
Étape 4 : le piège
Le message contient un vecteur d’attaque. Il peut s’agir :
- d’une URL pointant vers un faux site de connexion conçu pour voler des identifiants ;
- d’une pièce jointe contenant un malware (les extensions à risque incluent notamment .pif, .exe, .vbs, .bat, .lnk) ;
- d’une demande directe — virement, modification de coordonnées bancaires, achat de cartes-cadeaux — sans lien ni pièce jointe, ce qui contourne les filtres techniques.
Étape 5 : l’exploitation
Si la cible cède, les conséquences peuvent être immédiates et graves : prise de contrôle d’un compte de messagerie professionnelle, déclenchement d’un rançongiciel sur le réseau, fraude financière, exfiltration de données clients ou de secrets industriels. Les impacts documentés incluent des pertes financières directes, des atteintes à la réputation, des interruptions de service et des coûts de remédiation souvent très élevés.
Signes qui doivent alerter dans un email ciblé
Reconnaître un email de spear phishing est difficile précisément parce qu’il est conçu pour ressembler à un message légitime. Pourtant, plusieurs indices concrets permettent de déclencher un réflexe de vérification avant d’agir.
Les signaux liés à l’expéditeur
- L’adresse email réelle de l’expéditeur ne correspond pas au domaine de l’entreprise qu’il prétend représenter (vérifiez toujours l’adresse complète, pas seulement le nom affiché).
- Le domaine de l’expéditeur ressemble au domaine légitime mais comporte une lettre en plus, en moins ou remplacée (entreprlse.fr, entreprise-rh.fr).
- Le format général de l’email — signature, mise en page, police — diffère subtilement de l’habitude de l’expéditeur supposé.
Les signaux liés au contenu
- Une urgence artificielle : la demande doit être traitée immédiatement, avant la fin de la journée, sans possibilité de délai.
- Une demande inhabituelle par email : virement, modification de coordonnées bancaires, fourniture d’identifiants, téléchargement d’un fichier non sollicité.
- Une référence à un projet, un collègue ou une situation réelle — mais dans un contexte légèrement incohérent ou que vous n’avez pas initié.
- Une pièce jointe inattendue ou une facture que vous n’avez pas demandée.
Les signaux liés aux liens
Avant de cliquer sur une URL, survolez-la (sans cliquer) pour voir l’adresse réelle affichée dans la barre d’état du navigateur ou du client mail. Une lettre différente, un sous-domaine suspect, un domaine en .xyz ou .ru là où vous attendez un .fr ou .com connu — ce sont des signaux d’alerte. Préférez toujours saisir l’adresse directement dans la barre du navigateur plutôt que de cliquer sur un lien reçu par email. Vérifiez que l’URL commence bien par https, sans pour autant considérer cela comme une garantie absolue de légitimité.
La règle du canal alternatif
Face à toute demande sensible reçue par email — virement, changement de coordonnées, accès à un document confidentiel — la vérification par un canal indépendant est le réflexe le plus efficace. Appelez directement l’expéditeur supposé sur un numéro que vous connaissez déjà (pas celui fourni dans l’email). Ne répondez pas au même fil de messagerie. Cette simple habitude déjoue la grande majorité des tentatives de spear phishing et de fraude au président.
Bonnes pratiques immédiates pour s’en protéger au quotidien
La protection contre le harponnage ne repose pas uniquement sur des outils techniques. Les comportements individuels constituent la première ligne de défense — et souvent la plus décisive.
Gérer ses mots de passe sérieusement
Un mot de passe unique par service, long et aléatoire, rend la compromission d’un compte bien moins catastrophique si un autre service est attaqué. Un gestionnaire de mots de passe permet de générer et stocker ces identifiants sans effort mémoriel. C’est aujourd’hui l’outil de base de toute hygiène numérique sérieuse.
-
Atlancube Gardien de Mots de Passe Hors Ligne, Gérer Vos Mots de Passe - Clé USB Bluetooth, Cryptage de Niveau Militaire, Fonction de Remplissage Auto, 1 000 identifiants, CP001Fonction de remplissage automatique : dites adieu aux tracas de la saisie manuelle des mots de passe PasswordPocket remplit automatiquement vos informations d'identification en un seul clic. Protection des données sans Internet : utilisez le Bluetooth comme support de communication avec votre appareil. Éliminer le besoin d'accéder à Internet et réduire le risque d'accès non autorisé. Cryptage de qualité militaire : utilise des techniques de cryptage avancées pour protéger vos informations sensibles, vous offrant une confidentialité et une sécurité améliorées. -
Locknest, Le gestionnaire Physique de Mots de Passe sans dépendance au Cloud - Stockage chiffré en AES 256 - Connexion USB et Bluetooth - Jusqu’à 512 entrées protégéesProtège jusqu'à 512 entrées (titre, identifiant, mot de passe, site, description) Générateur de mots de passe intégré (TRNG matériel) Stockage chiffré en AES 256 Aucune dépendance au Cloud Connexion Bluetooth et USB (rechargeable en USB-C, câble USB-C vers USB-A fourni) -
Kensington VeriMark Guard Clé USB-A biométrique - Sécurité biométrique FIDO2/WebAuthn/U2F pour PC, Mac, iPad- Compatible Google, Microsoft, Safari, gestionnaires de mots de passeAUTHENTIFICATION FIDO2 UNIQUEMENT: Compatible avec les gestionnaires de mots de passe Google, Microsoft et les principaux navigateurs sur Windows, macOS, ChromeOS. (Ne permet pas la connexion à un PC ou un ordinateur portable). COMPATIBLE AVEC WINDOWS HELLO ENTREPRISE: Les clés FIDO2 fonctionnent avec Windows Hello uniquement en environnement professionnel (Microsoft Entra ID requis). Non compatible avec les connexions sur appareils personnels ou domestiques. LECTEUR D’EMPREINTES PRÉCIS ET PORTABLE: Prend en charge jusqu’à 10 empreintes. Dépasse les normes du secteur avec un taux de rejet de 2 % (FRR) et d’acceptation de 0,001 % (FAR). Idéal pour une authentification biométrique sécurisée en déplacement. DESIGN COMPACT ET PRATIQUE POUR LES DÉPLACEMENTS: Livré avec un capuchon de protection et un cordon. S’intègre facilement aux stations d’accueil, hubs USB ou configurations de voyage. CONTENU DU COLIS: 1x Clé biométrique USB- A VeriMark Guard, 1x Capuchon de protection USB VeriMark Guard, 1x Guide de bienvenue, 1x Informations sur la garantie.
Activer le MFA partout où c’est possible
L’authentification multifacteur (MFA) ajoute une couche de vérification au-delà du mot de passe. Même si un attaquant parvient à voler vos identifiants via un faux site de connexion, il lui sera très difficile de finaliser la connexion sans le second facteur (code temporaire, notification push, clé physique). Activez le MFA en priorité sur votre messagerie professionnelle, vos comptes bancaires et tout service donnant accès à des données sensibles.
Traiter les pièces jointes et les liens avec méfiance
- N’ouvrez jamais une pièce jointe non sollicitée, même si l’expéditeur semble connu.
- Méfiez-vous des extensions à risque : .exe, .pif, .bat, .vbs, .lnk, .com.
- Avant de cliquer sur un lien, vérifiez l’URL réelle. En cas de doute, saisissez l’adresse manuellement.
Appliquer les mises à jour sans délai
Les correctifs de sécurité (patchs) corrigent des failles exploitées activement par les attaquants. Un système non mis à jour est une porte entrouverte. Cela vaut pour le système d’exploitation, le navigateur, les plugins et les applications métier.
Travailler avec un compte utilisateur standard
Pour les tâches quotidiennes, évitez d’utiliser un compte avec des droits administrateur. En cas d’infection par un malware, les dégâts sont considérablement limités si le compte compromis n’a pas de privilèges élevés.
Appliquer une double validation pour tout mouvement financier
Toute demande de virement, de modification de RIB ou d’achat inhabituel reçue par email doit être confirmée par téléphone, sur un numéro connu indépendamment de l’email reçu. Cette règle simple bloque les fraudes de type BEC avant qu’elles n’atteignent le service comptable.
Ces réflexes individuels sont nécessaires, mais insuffisants à l’échelle d’une organisation. Les mesures techniques et organisationnelles viennent les compléter et les renforcer.
Mesures organisationnelles et techniques qui bloquent le spear phishing
Côté entreprise, la défense contre le spear phishing repose sur une combinaison de protections techniques, de procédures et de culture de sécurité. Aucune de ces couches n’est suffisante seule.
Authentifier les domaines d’envoi : SPF, DKIM, DMARC
Ces trois protocoles forment le socle de l’authentification des emails sortants :
- SPF (Sender Policy Framework) : liste les serveurs autorisés à envoyer des emails au nom de votre domaine. Un email envoyé depuis un serveur non listé peut être rejeté ou marqué comme suspect.
- DKIM (DomainKeys Identified Mail) : appose une signature cryptographique sur chaque email, permettant au destinataire de vérifier que le message n’a pas été altéré et provient bien du domaine déclaré.
- DMARC : s’appuie sur SPF et DKIM pour définir une politique de traitement des emails qui échouent à ces vérifications (mise en quarantaine, rejet). Il ajoute une couche de détection de l’usurpation d’identité de domaine et permet de recevoir des rapports sur les tentatives d’abus de votre domaine.
Ces protocoles protègent efficacement contre l’usurpation exacte de domaine. En revanche, ils ne couvrent pas les domaines proches (lookalike domains), ce qui justifie une vigilance humaine complémentaire.
Déployer un filtrage anti-phishing et une passerelle de messagerie sécurisée
Un filtrage anti-phishing au niveau de la messagerie analyse les emails entrants, détecte les URLs malveillantes, les pièces jointes suspectes et les expéditeurs frauduleux avant qu’ils n’atteignent la boîte de réception. Une passerelle de messagerie sécurisée (Secure Email Gateway) bloque une grande partie des attaques email, y compris les malwares et le spam sophistiqué. Ces outils ne sont pas infaillibles — les attaques très ciblées peuvent les contourner — mais ils réduisent considérablement la surface d’exposition.
Appliquer le principe de moindre privilège
Chaque collaborateur ne doit accéder qu’aux ressources strictement nécessaires à ses fonctions. En cas de compromission d’un compte, cette segmentation limite la propagation latérale de l’attaquant dans le réseau. Combiner ce principe avec un MFA conditionnel (déclenché selon le contexte de connexion, la localisation, l’appareil) renforce encore la protection.
Former et sensibiliser régulièrement
Les simulations de phishing internes permettent de mesurer le niveau de vigilance des équipes et d’identifier les profils les plus exposés. La formation ne doit pas se limiter à une session annuelle : des rappels réguliers, des exemples concrets tirés de l’actualité et des procédures claires de signalement sont bien plus efficaces. Les données indiquent que plus de la moitié des cyberattaques contre les PME impliquent le phishing ou l’ingénierie sociale — la formation reste donc un investissement à fort retour.
Établir des procédures de validation des opérations sensibles
Toute demande de virement, de modification de coordonnées bancaires ou de transfert de données sensibles doit suivre un circuit de validation formalisé, impliquant au minimum deux personnes et une confirmation hors email. Ces procédures doivent être connues de tous et appliquées même — surtout — lorsque la demande semble venir de la direction.
Assurer la détection et la capacité de réponse
Un antivirus à jour, un pare-feu correctement configuré et une solution de détection des comportements anormaux (EDR) permettent de repérer une infection ou une intrusion après qu’un email malveillant a franchi les filtres. La rapidité de détection et de réponse est déterminante pour limiter les dégâts en cas de compromission.
Que faire en cas de suspicion ou de clic : les bons réflexes
Même avec toutes les précautions du monde, un clic malheureux peut arriver. La réaction dans les premières minutes est souvent ce qui détermine l’ampleur des dégâts.
Check-list de réaction immédiate
- Couper l’action en cours : si vous avez cliqué sur un lien ou ouvert une pièce jointe, fermez immédiatement la page ou le fichier. Si vous avez saisi des identifiants, notez-le pour la suite.
- Déconnecter le poste du réseau si vous suspectez une infection par malware ou rançongiciel (désactivez le Wi-Fi, débranchez le câble réseau) pour limiter la propagation.
- Alerter immédiatement le service informatique ou le responsable de la sécurité (RSSI). Ne pas attendre. Ne pas tenter de régler le problème seul.
- Changer les mots de passe des comptes potentiellement compromis, en commençant par la messagerie professionnelle, depuis un appareil sain.
- Révoquer les sessions actives sur les comptes concernés (la plupart des services proposent une option « déconnecter toutes les sessions »).
- Conserver les preuves : ne supprimez pas l’email suspect. Faites une capture d’écran, notez l’heure et les actions effectuées. Ces éléments sont indispensables pour l’analyse forensique et, le cas échéant, pour un dépôt de plainte.
- Prévenir la banque si des informations financières ont été communiquées ou si un virement a été initié. Plus la réaction est rapide, plus les chances de blocage ou de remboursement sont élevées.
- Informer les clients ou partenaires si leurs données ont pu être exposées, conformément aux obligations légales (notamment le RGPD).
- Déclencher la procédure de réponse à incident si elle existe : isolation du système, investigation, remédiation, communication interne et externe.
La honte ou la peur de mal paraître ne doit jamais retarder le signalement. Les attaquants comptent sur ce silence. Un incident signalé rapidement peut être contenu ; un incident découvert des semaines plus tard devient souvent une catastrophe. Ces réflexes s’appliquent aussi bien à un individu qu’à une organisation — et ils prennent tout leur sens à la lumière des scénarios concrets que les attaquants déploient le plus fréquemment.
Exemples concrets de spear phishing et scénarios fréquents
Les attaques de harponnage suivent des schémas récurrents. Les connaître permet de les anticiper et de relier chaque situation aux signaux d’alerte et aux protections adaptées.
Scénario 1 : la fraude au président (BEC)
Un email arrive dans la boîte du responsable comptable. Il semble provenir du PDG, en déplacement à l’étranger. Le ton est confidentiel, l’urgence est soulignée : un virement doit être effectué avant la clôture des marchés pour finaliser une acquisition stratégique. L’adresse email utilise un domaine proche du domaine officiel. Le signal d’alerte : une demande financière urgente, hors procédure habituelle, par email uniquement. La protection : procédure de double validation des virements, vérification téléphonique sur un numéro connu, DMARC sur le domaine de l’entreprise.
Scénario 2 : le faux fournisseur
Un fournisseur habituel envoie une facture avec un nouveau RIB, en expliquant un changement de banque. L’email provient d’une adresse très proche de celle du fournisseur réel. Le paiement est effectué — vers le compte de l’attaquant. Signal d’alerte : changement de coordonnées bancaires par email, sans confirmation préalable. Protection : règle systématique de rappel téléphonique pour tout changement de RIB, indépendamment de l’email reçu.
Scénario 3 : le faux partage de document
Un email imitant une notification Microsoft 365 ou Google Workspace indique qu’un collègue a partagé un document confidentiel. Le lien pointe vers une fausse page de connexion qui collecte les identifiants. Signal d’alerte : URL ne correspondant pas au domaine officiel du service, demande de reconnexion inattendue. Protection : MFA activé (même avec les identifiants volés, la connexion échoue), filtrage anti-phishing qui détecte les URLs malveillantes.
Scénario 4 : le faux support informatique
Un email du « service informatique interne » demande de cliquer sur un lien pour mettre à jour les identifiants avant expiration du compte. La page de destination imite parfaitement le portail interne. Signal d’alerte : demande de saisie d’identifiants par email, urgence artificielle. Protection : les équipes IT légitimes ne demandent jamais les mots de passe par email — cette règle doit être connue de tous les collaborateurs.
Scénario 5 : l’offre d’emploi piégée
Un recruteur contacte un profil ciblé (chercheur, ingénieur, cadre) via LinkedIn, puis envoie par email une « offre détaillée » sous forme de document Word contenant une macro malveillante. À l’ouverture, le malware s’installe silencieusement. Signal d’alerte : pièce jointe non sollicitée d’un expéditeur inconnu, demande d’activation des macros. Protection : désactivation des macros par défaut dans les paramètres Office, antivirus à jour, prudence face aux fichiers reçus de contacts récents.
Dans chacun de ces cas, la combinaison d’un réflexe humain de vérification et d’une protection technique adaptée aurait suffi à stopper l’attaque. Le spear phishing n’est pas invincible — il est simplement conçu pour exploiter les moments où l’on baisse la garde.
FAQ
C’est quoi le spear phishing ?
Le spear phishing (ou harponnage) est une attaque d’ingénierie sociale ciblée qui prend généralement la forme d’un email frauduleux personnalisé. Contrairement au phishing classique envoyé en masse, il vise une personne ou un groupe précis, en s’appuyant sur des informations réelles collectées au préalable pour rendre le message crédible. L’objectif peut être un vol d’identifiants, une fraude financière ou l’installation d’un malware.
Qu’est-ce que le spear phishing en cybersécurité ?
En cybersécurité, le spear phishing désigne l’un des vecteurs d’attaque initiaux les plus utilisés pour compromettre des systèmes d’information. Il constitue souvent la première étape d’une chaîne d’attaque plus large : prise de contrôle d’un compte, déploiement d’un rançongiciel, fraude BEC ou exfiltration de données. Sa dangerosité tient à son niveau de personnalisation, qui le rend difficile à détecter par les filtres automatiques comme par les utilisateurs.
Différence entre phishing et spear phishing ?
Le phishing classique envoie un message générique à un très grand nombre de destinataires en imitant une marque connue (banque, service public). Le spear phishing cible une personne précise en imitant une personne connue d’elle (collègue, supérieur, fournisseur). Le niveau de personnalisation est radicalement différent, ce qui rend le spear phishing bien plus difficile à repérer et statistiquement plus efficace.
Comment se protéger du phishing ?
La protection repose sur plusieurs niveaux combinés : activer le MFA sur tous les comptes sensibles, utiliser un gestionnaire de mots de passe, vérifier systématiquement l’adresse réelle de l’expéditeur et les URLs avant de cliquer, ne jamais valider une demande financière uniquement sur la base d’un email, et maintenir ses systèmes à jour. Côté organisation : déployer SPF, DKIM et DMARC, mettre en place un filtrage anti-phishing, former régulièrement les équipes et établir des procédures de validation des opérations sensibles.
Le spear phishing prospère sur la confiance, l’urgence et l’inattention. Chaque réflexe de vérification, chaque couche de protection technique et chaque procédure de validation est un obstacle supplémentaire qui force l’attaquant à dépenser plus d’efforts — jusqu’à ce que la cible ne soit plus rentable. La vigilance n’est pas une contrainte : c’est le seul bouclier qui fonctionne vraiment contre une attaque conçue sur mesure.
