Comment protéger ton entreprise contre les attaques de phishing

Le rapport 2023 de l'Internet Crime Center (IC3) du FBI a documenté 2,9 milliards de dollars en pertes causées par la compromission de courriel d'affaires (BEC) seulement. C'est pas du ransomware qui exploite une faille logicielle — c'est un courriel bien rédigé qui convainc la bonne personne de virer de l'argent au mauvais endroit. Et ce chiffre inclut même pas les attaques ransomware qui ont commencé par un lien cliqué dans un courriel de phishing.

Le phishing persiste parce que c'est cheap à exécuter et cher à défendre à grande échelle. T'as beau patcher un logiciel vulnérable — tu peux pas patcher un employé qui reçoit un courriel convaincant un lundi matin à 8h45.

Ce à quoi tu fais vraiment face

Le spear phishing est ciblé. L'attaquant connaît ton entreprise, ton organigramme, et souvent le format de tes adresses courriel. Le message arrive en semblant venir d'un fournisseur connu, d'un collègue, ou d'un contact bancaire — avec assez de contexte pour paraître légitime. Les filtres anti-spam attrapent facilement le phishing de masse générique. Le spear phishing, c'est une autre histoire.

Le whaling cible les dirigeants. Un courriel convaincant adressé à un PDG ou un directeur financier a un bien plus grand potentiel de gain qu'une attaque générique. Ces courriels usurpent souvent l'identité de membres du conseil, d'auditeurs, ou d'avocats — et demandent un virement urgent ou la divulgation de documents sensibles.

Le smishing (phishing par SMS) et le vishing (hameçonnage vocal) ont beaucoup augmenté, justement parce que le filtrage de courriel s'est amélioré. Un texto qui semble venir d'un service de livraison, d'une banque, ou d'un département TI contourne complètement ta pile de sécurité courriel. Les appels vocaux générés par IA — avec des voix clonées à partir d'enregistrements publics — sont de plus en plus signalés dans les enquêtes de BEC.

Les défenses techniques

SPF, DKIM, DMARC. Ces trois enregistrements DNS forment la base de la vérification des expéditeurs de courriel. SPF définit quels serveurs sont autorisés à envoyer des courriels au nom de ton domaine. DKIM ajoute une signature cryptographique à chaque message sortant. DMARC dit aux serveurs destinataires quoi faire quand un message échoue à SPF ou DKIM — le mettre en quarantaine, le rejeter, ou le livrer avec un rapport.

Sans DMARC enforced (politique réglée sur reject ou quarantine), des attaquants peuvent envoyer des courriels qui semblent venir de ton domaine sans aucune barrière technique. La configuration prend une heure si ton infrastructure courriel est simple. Commence en mode surveillance (p=none) et lis les rapports agrégés avant d'appliquer la politique.

Filtrage courriel au-delà du défaut. Microsoft Defender pour Office 365 Plan 1 (environ 2 $/utilisateur/mois, souvent inclus dans Microsoft 365 Business Premium) ajoute le scan des liens au moment du clic — les URLs sont vérifiées au moment où tu cliques, pas juste à la livraison. Proofpoint et Mimecast offrent des fonctionnalités similaires de sandboxing et de protection contre l'usurpation d'identité. Pour la plupart des PME, Defender Plan 1 est suffisant.

L'authentification multifacteur (MFA). Le MFA va pas empêcher un courriel de phishing d'arriver, mais il va empêcher l'attaquant d'utiliser des identifiants volés. Si un employé entre son mot de passe dans une fausse page de connexion, le MFA fait en sorte que l'attaquant peut toujours pas accéder au compte sans le deuxième facteur. Les clés de sécurité matérielles (YubiKey, par exemple) sont résistantes au phishing d'une façon que les codes TOTP et les SMS ne sont pas — une clé va refuser d'authentifier sur un domaine sur lequel elle a pas été enregistrée. Pour les comptes à haute valeur (dirigeants, finances, administrateurs TI), ça vaut le coût de 60 à 90 $ par utilisateur.

Les politiques d'accès conditionnel. Dans Microsoft 365, l'accès conditionnel permet d'exiger le MFA depuis tout appareil ou emplacement non reconnu avant d'autoriser l'accès au courriel ou à SharePoint. Combiné avec la conformité des appareils Intune, tu peux bloquer complètement l'accès depuis des appareils non inscrits et non gérés. Ça réduit drastiquement la surface d'attaque si des identifiants sont compromis.

La formation qui fonctionne vraiment

La formation annuelle de sensibilisation à la sécurité marche pas. Une heure de vidéo une fois par an change pas les réflexes au moment de l'action — et les attaques de phishing arrivent à la journée, pas une fois l'an.

Ce qui fonctionne, ce sont des campagnes de phishing simulé menées chaque mois ou chaque trimestre. T'envoies à ton équipe de faux courriels de phishing qui imitent les patterns d'attaque actuels. Quand quelqu'un clique, il voit immédiatement un message de formation — pas une punition, une explication. Tu suis les taux de clics dans le temps. La plupart des organisations voient une chute significative après trois ou quatre campagnes simulées.

Des services comme KnowBe4, Proofpoint Security Awareness, et Microsoft Attack Simulator (inclus dans Microsoft 365 Defender Plan 2) automatisent ça. L'objectif, c'est de bâtir des réflexes — des gens qui s'arrêtent et vérifient avant de cliquer, plutôt que des gens qui savent en théorie que le phishing c'est dangereux.

Forme ton équipe spécifiquement sur : reconnaître l'usurpation d'identité de l'expéditeur (le nom d'affichage peut dire n'importe quoi — faut toujours vérifier l'adresse courriel réelle), survoler les liens avant de cliquer, et le pattern "urgence + demande inhabituelle" qui définit la plupart des attaques d'ingénierie sociale. Un message qui te demande d'agir immédiatement, de contourner les processus habituels, ou de garder quelque chose confidentiel est un signal d'alarme, peu importe de qui ça semble venir.

Quand quelqu'un clique quand même

Quelqu'un va cliquer. Prépare-toi pour ça.

La fenêtre de réponse est critique. Plus vite l'équipe TI est avertie que des identifiants pourraient être compromis, plus vite on peut réinitialiser les mots de passe, révoquer les sessions actives, et auditer ce que l'attaquant a pu accéder. Une culture de signalement — où cliquer sur un mauvais lien est quelque chose qu'on rapporte immédiatement plutôt qu'on cache par gêne — réduit dramatiquement les dommages.

Aie une liste de contrôle de réponse aux incidents prête avant d'en avoir besoin. Au minimum : comment isoler un appareil affecté, comment réinitialiser les identifiants sur tous les systèmes, comment vérifier les règles de transfert de courriel (les attaquants configurent souvent un transfert silencieux après avoir pris accès), et qui aviser — TI, direction, fournisseurs ou clients affectés, assurance cybersécurité si applicable.

Vérifie les règles de transfert de courriel immédiatement après toute compromission suspectée d'identifiants. C'est une des premières choses que les attaquants configurent, et une des dernières que les entreprises pensent à chercher.

L'objectif réaliste

Aucun contrôle technique n'élimine le risque de phishing complètement. L'objectif, c'est une défense en couches : l'authentification courriel arrête l'usurpation de domaine, le filtrage attrape les liens et pièces jointes malveillants connus, le MFA limite les dégâts des identifiants volés, le personnel formé attrape ce que la pile technique manque, et un processus clair de réponse aux incidents gère ce qui passe quand même.

Chaque couche réduit ton exposition. Ensemble, elles font de ton entreprise une cible plus difficile que celle qui a rien fait — ce qui, pour la plupart des attaquants, est assez pour passer à autre chose.