Actualités

Le phishing a longtemps été synonyme de mails mal traduits, remplis de fautes grossières. Ce temps est révolu : aujourd’hui, les attaques sont mieux ciblées, plus crédibles et nettement plus dangereuses. Le phishing 2.0 s’appuie sur des méthodes modernes et une automatisation poussée, souvent portée par l’intelligence artificielle.

Pour un DSI, même non spécialiste en cybersécurité, comprendre ces évolutions est devenu indispensable.

 

Phishing : ce qui a changé

Des attaques plus ciblées, plus crédibles

Les campagnes de phishing ne sont plus massives, elles sont personnalisées. Les attaquants exploitent les données publiques (organigrammes, réseaux sociaux, communiqués de presse) pour produire des messages parfaitement crédibles :

Par exemple, un mail semblant venir du PDG, demandant un virement urgent ou le partage d’un document confidentiel. Signature correcte, ton adapté, adresse quasi-identique : un collaborateur non averti peut tomber dans le piège en quelques secondes.

 

L’IA au service des cybercriminels

Les modèles d’IA générative comme ChatGPT ou WormGPT permettent aujourd’hui de produire :

• des mails sans fautes, adaptés au ton d’une entreprise,
• des réponses dynamiques en temps réel dans des échanges de phishing conversationnel,
• des pages de phishing visuellement identiques à celles des outils officiels (Microsoft 365, Dropbox, PayPal…).

Cela rend les filtres traditionnels moins efficaces et renforce le caractère indétectable de certaines attaques.

 

3 techniques récentes à connaître

Le quishing (QR code piégé)

Les attaquants intègrent des QR codes dans des emails, des supports imprimés ou des faux messages internes. En scannant, l’utilisateur est redirigé vers une page piégée (identique à un portail pro, un outil RH, etc.).

→ Problème : un QR code n’est pas analysé par les solutions antiphishing classiques.
→ Contexte fréquent : campagne interne, onboarding RH, mise à jour sécurité.

 

Le phishing conversationnel

C’est l’une des formes les plus efficaces du phishing 2.0. Le cybercriminel prend part à un échange d’emails en cours (via une compromission ou une imitation) ou simule une conversation qui aurait déjà été entamée.

Exemple : "Comme évoqué avec toi hier, peux-tu valider cette facture ?" avec la pièce jointe infectée à la clé.

→ L’effet de continuité et la pression sociale rendent ce type d’attaque redoutable.

 

Les campagnes multicanales

Les attaques ne se limitent plus au mail. Elles peuvent démarrer sur LinkedIn, se poursuivre par SMS, puis par mail.

Exemple : un faux recruteur contacte un collaborateur avec une offre intéressante, puis envoie un “document de présentation” infecté.

→ L'objectif : établir une relation de confiance sur plusieurs canaux avant d’injecter l’attaque.

 

Comment s’en protéger concrètement ?

Former (sans perdre de temps)

La sensibilisation reste la première ligne de défense. Mais elle doit être :

• régulière : 1 à 2 fois par an, formats courts,
• contextuelle : exemples tirés du métier ou des outils utilisés,
• non culpabilisante : le but n’est pas de sanctionner mais de faire progresser.

 

Mettre à jour les protections techniques

Certaines protections techniques sont encore trop négligées :

• SPF/DKIM/DMARC pour vérifier l’authenticité des mails entrants,
• Filtrage avancé, capable de bloquer les liens malveillants en temps réel,
• Analyse comportementale, qui détecte des anomalies d’usage (accès depuis un pays inconnu, transfert massif de fichiers, etc.).

L’enjeu n’est pas de multiplier les outils, mais de s’assurer que ceux déjà en place sont correctement configurés.

 

Simuler des attaques pour tester les équipes

Les campagnes de phishing simulées permettent de mesurer le niveau de vigilance réel, adapter les formations, et de renforcer la culture cybersécurité sans créer de stress.

 

Le mot du DSI : ce que vous pouvez mettre en place dès demain

• Faire un point rapide avec votre RSSI ou prestataire sécurité sur les attaques récentes observées
• Valider que vos configurations SPF/DKIM/DMARC sont à jour
• Programmer une session de sensibilisation courte et ciblée pour les équipes sensibles (compta, RH, direction)

 

Le phishing ne disparaîtra pas. Mais avec les bons réflexes et des actions ciblées, vous pouvez largement réduire le risque pour votre organisation.