Aller au contenu principal
Retour aux blog
Phishing en entreprise : BEC, spear phishing et whale phishing expliqués
BlogDanger élevé

Phishing en entreprise : BEC, spear phishing et whale phishing expliqués

BEC, spear phishing, whale phishing : comprendre les attaques ciblées en entreprise et former efficacement vos employés pour s'en protéger.

Partager

Le phishing professionnel : une menace qui coûte des milliards

Le phishing en entreprise n'a rien à voir avec les arnaques grossières que reçoivent les particuliers. Les attaques ciblant les organisations sont sophistiquées, personnalisées et dévastatrices. Selon le FBI, les attaques de type BEC (Business Email Compromise) ont causé plus de 50 milliards de dollars de pertes dans le monde entre 2013 et 2023.

En France, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) classe le phishing comme la première porte d'entrée des cyberattaques contre les entreprises. PME, ETI et grands groupes sont tous concernés.

Cet article détaille les différentes formes de phishing professionnel et propose un plan concret pour former et protéger vos collaborateurs.

Les trois niveaux du phishing en entreprise

Niveau 1 : Le phishing de masse (spray phishing)

C'est le phishing "classique" : un email générique envoyé à des milliers de destinataires dans l'espoir que quelques-uns mordent à l'hameçon.

Exemples courants en entreprise :

  • "Votre boîte email est pleine, cliquez ici pour augmenter votre espace"
  • "Mettez à jour votre mot de passe Microsoft 365"
  • "Votre session Outlook a expiré"
  • "Document partagé sur OneDrive par un collègue"

Taux de réussite : environ 3 à 5 % des destinataires cliquent. C'est peu en apparence, mais sur 1 000 employés, cela représente 30 à 50 comptes potentiellement compromis.

Niveau 2 : Le spear phishing (hameçonnage ciblé)

Le spear phishing est une attaque personnalisée visant une personne ou un groupe spécifique au sein de l'entreprise. L'attaquant fait des recherches préalables sur sa cible :

  • LinkedIn : poste, entreprise, collègues, projets
  • Site web de l'entreprise : organigramme, actualités, partenaires
  • Réseaux sociaux : centres d'intérêt, événements récents
  • Fuites de données : emails et mots de passe déjà compromis

Exemple d'attaque par spear phishing :

Un comptable reçoit un email semblant provenir de son directeur financier : "Marie, peux-tu traiter ce virement urgent pour le fournisseur Dupont SA ? Le RIB a changé, voici le nouveau. Merci de faire ça avant 17h, je suis en réunion." L'email utilise le vrai nom du directeur, le bon format d'email interne, et fait référence à un fournisseur réel de l'entreprise.

Taux de réussite : 30 à 50 % des cibles tombent dans le piège. La personnalisation rend l'attaque beaucoup plus crédible.

Niveau 3 : Le whale phishing (attaque à la baleine)

Le whale phishing cible les cadres dirigeants (CEO, CFO, DRH, etc.) : les "baleines" de l'entreprise. Ces personnes ont accès aux informations les plus sensibles et peuvent autoriser des transactions financières importantes.

Pourquoi les dirigeants sont des cibles privilégiées :

  • Ils ont le pouvoir de décision sur les paiements
  • Ils sont souvent moins formés à la cybersécurité que les équipes techniques
  • Leur emploi du temps chargé les pousse à traiter les emails rapidement
  • Ils ont accès aux données stratégiques de l'entreprise

Exemple d'attaque whale phishing :

Le PDG reçoit un email prétendument envoyé par un cabinet d'avocats gérant une opération confidentielle (fusion-acquisition). L'email demande de transférer des fonds sur un compte séquestre. L'urgence et la confidentialité empêchent la victime de vérifier auprès de tiers.

Le BEC : l'arnaque la plus coûteuse au monde

Qu'est-ce que le BEC exactement

Le Business Email Compromise (BEC) est une forme avancée de fraude par email qui cible spécifiquement les processus financiers de l'entreprise. Contrairement au phishing classique, le BEC ne contient souvent aucun lien malveillant ni pièce jointe infectée, ce qui le rend invisible aux filtres anti-spam traditionnels.

Les 5 variantes du BEC

1. La fraude au président (CEO fraud)

L'escroc usurpe l'identité du PDG et demande un virement urgent à un employé ayant accès aux comptes bancaires de l'entreprise.

Caractéristiques :

  • Ton autoritaire et urgent
  • Demande de confidentialité absolue
  • Virement vers un compte étranger
  • Souvent le vendredi après-midi ou veille de vacances

2. La compromission de compte email

L'escroc pirate réellement la boîte email d'un employé et envoie des demandes de paiement depuis ce compte compromis. Les destinataires n'ont aucune raison de se méfier puisque l'email provient d'une adresse légitime.

3. La fraude au changement de RIB

L'escroc se fait passer pour un fournisseur et informe le service comptabilité d'un changement de coordonnées bancaires. Les prochaines factures sont alors réglées sur le compte de l'escroc.

4. L'arnaque à l'avocat

L'escroc se présente comme un avocat ou un représentant juridique chargé d'une opération confidentielle et urgente nécessitant un transfert de fonds.

5. Le vol de données

Variante moins connue : l'escroc usurpe l'identité d'un dirigeant pour demander aux RH des informations confidentielles sur les employés (fiches de paie, numéros de sécurité sociale, coordonnées bancaires).

Pourquoi le BEC est si difficile à détecter

| Phishing classique | BEC | |---|---| | Contient un lien malveillant | Souvent aucun lien ni pièce jointe | | Expéditeur inconnu | Imite un contact connu ou utilise un vrai compte piraté | | Message générique | Message personnalisé et contextuel | | Détectable par les filtres | Passe les filtres anti-spam | | Fautes d'orthographe fréquentes | Rédaction soignée et professionnelle | | Demande des identifiants | Demande un virement ou des données |

Former les employés : un plan en 6 étapes

Étape 1 : Sensibilisation initiale

Organisez une session de formation obligatoire pour tous les collaborateurs, du stagiaire au dirigeant. Abordez :

  • Les différents types de phishing avec des exemples concrets
  • Les conséquences financières et juridiques pour l'entreprise
  • Les signaux d'alerte à reconnaître
  • Les procédures de signalement internes

Étape 2 : Campagnes de phishing simulé

Mettez en place des tests réguliers de phishing simulé :

  • Envoyez de faux emails de phishing à vos employés
  • Mesurez le taux de clic et le taux de signalement
  • Formez individuellement les employés qui sont tombés dans le piège
  • Répétez tous les 2 à 3 mois en variant les scénarios

Outils recommandés : Gophish (gratuit et open source), KnowBe4, Cofense, Proofpoint Security Awareness.

Étape 3 : Procédures de double validation

Pour toute opération financière sensible, imposez une double validation :

  • Virement supérieur à un seuil défini : validation par deux personnes
  • Changement de RIB fournisseur : vérification téléphonique sur un numéro connu (pas celui fourni dans l'email)
  • Demande urgente d'un dirigeant : confirmation par un canal différent (téléphone, en personne)

Étape 4 : Politique de signalement

Créez une culture du signalement où les employés se sentent à l'aise de reporter un email suspect :

  • Mettez en place un bouton de signalement dans le client email (plugin Outlook / Gmail)
  • Établissez une adresse email dédiée (ex: phishing@votreentreprise.fr)
  • Remerciez les signalements même quand il s'agit d'un faux positif
  • Ne sanctionnez jamais un employé qui signale à tort : la peur de mal faire conduit au silence

Étape 5 : Protection technique

Complétez la formation humaine par des protections techniques :

  • SPF, DKIM, DMARC : protocoles d'authentification des emails qui empêchent l'usurpation de votre domaine
  • Filtrage avancé des emails : solutions comme Microsoft Defender for Office 365, Proofpoint, Mimecast
  • Authentification multifacteur (MFA) : obligatoire sur tous les comptes professionnels
  • Analyse comportementale : détection des anomalies dans les patterns d'envoi d'emails
  • Sandbox : exécution des pièces jointes dans un environnement isolé

Étape 6 : Plan de réponse aux incidents

Préparez un plan de réponse en cas d'attaque réussie :

  1. Isolation : déconnecter le compte ou l'appareil compromis
  2. Évaluation : déterminer l'étendue de la compromission
  3. Confinement : empêcher la propagation (changement de mots de passe, blocage de transferts)
  4. Communication : informer les parties prenantes (direction, clients concernés, autorités)
  5. Remédiation : corriger la faille exploitée
  6. Retour d'expérience : analyser l'incident pour améliorer les défenses

Les signaux d'alerte que chaque employé doit connaître

Affichez cette liste dans les bureaux et intégrez-la dans les formations :

  • Urgence inhabituelle : "C'est urgent", "À traiter immédiatement"
  • Demande de confidentialité : "N'en parle à personne", "C'est confidentiel"
  • Changement de procédure : nouveau RIB, nouveau processus de paiement
  • Pression hiérarchique : demande venant d'un supérieur avec interdiction de vérifier
  • Canal inhabituel : le directeur vous écrit depuis une adresse Gmail personnelle
  • Fautes dans l'adresse email : une lettre en plus ou en moins dans le domaine
  • Pièces jointes inattendues : fichiers .exe, .zip, macros Word/Excel
  • Ton émotionnel : urgence, peur, opportunité exclusive

Les chiffres clés à retenir

  • 91 % des cyberattaques commencent par un email de phishing
  • Le coût moyen d'un incident BEC est de 125 000 euros pour une PME
  • 60 % des PME victimes d'une cyberattaque majeure cessent leur activité dans les 6 mois
  • Un employé formé est 70 % moins susceptible de cliquer sur un lien de phishing
  • Le retour sur investissement de la formation à la cybersécurité est estimé à 5x le coût de la formation

Conclusion : l'humain est le premier rempart

La technologie seule ne suffit pas à protéger une entreprise contre le phishing. Les attaques BEC et le spear phishing exploitent les failles humaines : confiance, urgence, respect de la hiérarchie. La formation continue des employés, combinée à des procédures de validation strictes et des protections techniques, constitue la meilleure défense.

Investir dans la sensibilisation de vos équipes n'est pas une dépense, c'est une assurance. Car le coût d'une formation est infiniment moindre que celui d'un virement frauduleux de 500 000 euros.

Articles similaires

Comment protéger sa boîte email professionnelle contre le phishing

Guide complet pour sécuriser votre messagerie d'entreprise contre le BEC, le spear phishing et la fraude au président. Méthodes et outils concrets.

Lire

Un VPN protège-t-il contre le phishing ? Mythes et réalités

Beaucoup pensent qu'un VPN suffit pour se protéger du phishing. Découvrez ce qu'un VPN fait vraiment, ses limites, et les vraies protections anti-phishing.

Lire

Masterclass : Analyser un Email Suspect Comme un Expert en Cybersécurité

Le guide ultime pour analyser un email suspect en 10 étapes. En-têtes, liens, domaines, SPF/DKIM, IA : devenez un expert de la détection de phishing.

Lire