NouveauLe phishing reste la porte d'entrée la plus courante
Le bilan 2025 de Cybermalveillance.gouv.fr rappelle que l'hameçonnage figure parmi les menaces les plus signalées par les professionnels : courriels, SMS et appels visent à obtenir un identifiant, un mot de passe ou un paiement frauduleux. Aux États-Unis, le rapport annuel 2023 du FBI IC3 place toujours le phishing et les arnaques associées parmi les plaintes les plus fréquentes.
Pour une PME, le risque n'est pas théorique : un seul clic sur un lien malveillant peut suffire à compromettre la messagerie, un compte administrateur ou un accès fournisseur. En 2026, les campagnes combinent souvent faux message urgent, page de connexion imitée et relance par SMS ou appel.
Ce que recouvre le phishing aujourd'hui
Hameçonnage par e-mail
Message qui imite un banque, un fournisseur cloud ou un collègue, avec un lien vers un site frauduleux ou une pièce jointe piégée.
Smishing et vishing
Même scénario par SMS ou par téléphone : on pousse l'utilisateur à agir vite, avant vérification.
Usurpation ciblée
Attaque personnalisée sur un profil précis (dirigeant, comptabilité, support) pour déclencher un virement ou une fuite de données.
Pourquoi les accès métier sont visés
Les attaquants ne cherchent pas seulement un mot de passe personnel. Ils visent les comptes qui ouvrent des droits réels :
- Messagerie professionnelle : relais vers d'autres victimes, factures modifiées, demandes de virement.
- Comptes cloud et outils métiers : accès aux données clients, sauvegardes, configurations.
- Comptes à privilèges : administration réseau, VPN, annuaire, gestion des accès.
Une campagne bien préparée peut imiter le logo, le ton et le contexte métier de votre secteur. Les pages de connexion clonées sont de plus en plus convaincantes sur mobile, où l'URL complète est peu visible.
Signaux à repérer avant qu'il ne soit trop tard
Quelques réflexes simples, applicables sans outil coûteux :
- Adresse d'expéditeur incohérente : domaine proche du vrai (
lorigina1.devau lieu deloriginal.dev) ou compte gratuit utilisé au nom d'une grande marque. - Lien qui ne correspond pas au texte affiché : survol obligatoire sur ordinateur, copier-coller de l'URL dans un bloc-notes sur mobile.
- Demande inhabituelle : changement de RIB, achat de cartes cadeaux, partage de code MFA, réinitialisation « urgente » d'un compte admin.
- Pièce jointe inattendue : facture, bon de livraison ou archive
.zipsans contexte métier clair.
Former les équipes sur ces signaux reste plus rentable qu'un déploiement technique lancé sans culture du risque.
Mesures techniques et organisationnelles
Réduire la surface d'attaque
- Activer l'authentification multifacteur sur la messagerie, le VPN et les outils critiques.
- Limiter les comptes administrateurs et journaliser les connexions sensibles.
- Filtrer et signaler les e-mails externes marqués comme tels.
- Bloquer ou alerter sur les domaines récemment enregistrés imitant votre marque.
Préparer la réponse
- Définir qui contacter en cas de clic suspect (RSSI, prestataire, référent IT).
- Prévoir la révocation rapide de session et le changement de mot de passe forcé.
- Tester un scénario simple deux fois par an : que fait-on si la messagerie d'un comptable est compromise ?
Les passkeys en entreprise ne remplacent pas la vigilance, mais elles retirent une partie du risque lié au vol de mot de passe réutilisé.
Checklist pour protéger vos accès métier
- Sensibiliser les nouveaux arrivants et les fonctions finance, RH et direction.
- Exiger le MFA sur messagerie, VPN et applications contenant des données clients.
- Interdire la réutilisation du mot de passe professionnel sur des services personnels.
- Vérifier les demandes de virement ou de changement de coordonnées bancaires par un second canal.
- Conserver des sauvegardes testées, indépendantes des comptes cloud exposés au quotidien.
- Documenter une procédure d'incident courte, lisible sans jargon.
Pour aller plus loin sur le blog
- Cyberattaques en 2026 : pourquoi la connexion devient plus dangereuse que le piratage pur
- Les passkeys en entreprise en 2026 : réduire le phishing sur les accès sensibles
Sources
- Cybermalveillance.gouv.fr. Hameçonnage (phishing) en 2025
- ANSSI et DGE. La cybersécurité pour les TPE/PME en 13 questions
- France Num. Rapport d'activité 2025 de Cybermalveillance
- CISA. Recognize and report phishing
Protéger les accès métier en 2026 repose sur trois piliers : formation régulière, MFA généralisé et procédure de réponse connue avant le premier incident.
