Retour aux actualités
    Guide

    Spear-phishing & BEC : se protéger des attaques email avancées

    Le phishing reste le premier vecteur d'attaque devant 90 % des incidents traités par l'ANSSI. Mais en 2025, les attaques se sont sophistiquées : spear-phishing hautement ciblé, Business Email Compromise (BEC), attaques AiTM qui contournent le MFA, et nouvelle vague de deepfake audio et vidéo. Le coût moyen d'une fraude BEC en France atteint désormais 140 000 € selon le rapport FBI IC3. Ce guide vous explique comment vous protéger efficacement.

    Phishing, spear-phishing, BEC : quelles différences ?

    Phishing de masse

    Email générique envoyé à des milliers de destinataires, usurpant une marque connue (banque, livreur, impôts). Faible taux de succès individuel mais volume massif.

    Spear-phishing

    Attaque ciblée sur une personne précise, après collecte d'informations sur LinkedIn, le site web et les réseaux sociaux. Le message est crédible et personnalisé. Taux de clic : 30 à 50 %.

    Whaling

    Variante du spear-phishing visant exclusivement les dirigeants (CEO, CFO, DG). Enjeu financier ou stratégique majeur.

    BEC (Business Email Compromise)

    Usurpation ou compromission d'une boîte mail légitime (dirigeant, fournisseur) pour obtenir un virement frauduleux ou détourner une facture. Pas toujours de pièce jointe ou lien : seul le contexte trahit l'attaque.

    AiTM (Adversary in the Middle)

    Page de phishing qui relaie en temps réel l'authentification et vole les tokens de session, contournant le MFA classique. Forte croissance depuis 2023.

    Les nouvelles techniques en 2025

    IA générative au service des attaquants

    Les grands modèles de langage permettent de générer des emails de phishing en français parfait, sans faute, adaptés au ton de l'entreprise visée. Les fautes d'orthographe ne sont plus un signe fiable. Des outils comme WormGPT ou FraudGPT sont vendus sur le dark web.

    Deepfake audio et vidéo

    En 2024, une PME de Hong Kong a perdu 25 M$ après une visioconférence deepfake où le « directeur financier » et plusieurs collègues étaient entièrement synthétiques. Quelques minutes d'audio public suffisent à cloner une voix.

    Quishing (QR code phishing)

    Insertion d'un QR code dans un email ou une fausse note d'authentification, qui redirige le téléphone personnel de la victime (hors périmètre de protection de l'entreprise) vers une page de capture d'identifiants.

    Détournement de fil de conversation

    Après compromission d'une boîte mail, l'attaquant répond à un fil légitime en cours, en injectant un lien malveillant ou en demandant un changement d'IBAN. Très difficile à détecter pour la victime.

    12 mesures techniques de protection

    DMARC en politique reject + alignement SPF/DKIM sur tous les domaines

    MFA résistant au phishing (FIDO2, passkeys) pour contrer les attaques AiTM

    Solution anti-phishing avancée avec sandboxing (Defender for O365, Proofpoint, Vade)

    Réécriture des URL (Safe Links) et analyse temps réel des pièces jointes

    Bannière visuelle « Email externe » sur tous les messages venant de l'extérieur

    Blocage des extensions exécutables (.exe, .iso, .img, .lnk, .hta) en pièce jointe

    Protection anti-usurpation : look-alike domains, anti-spoofing, impersonation protection

    Désactivation des règles de transfert externe automatiques sur Exchange

    Validation hors-bande (téléphone) pour tout virement > 5 000 € ou changement d'IBAN

    Surveillance des connexions impossibles et des téléchargements massifs (Defender for Cloud Apps)

    Supervision SIEM des logs Exchange / Entra ID avec alertes sur création de règles inbox

    Sauvegarde tierce des boîtes mail pour restaurer en cas de suppression malveillante

    Programme de sensibilisation efficace

    Aucune solution technique ne couvre 100 % des cas. Selon Verizon DBIR, 68 % des incidents impliquent un facteur humain. Un programme de sensibilisation continue est indispensable.

    1

    Formation initiale (1h)

    Module e-learning obligatoire à l'embauche : reconnaître le phishing, signaler un email suspect, processus en cas de doute.

    2

    Simulations mensuelles

    Campagnes de phishing simulé avec scénarios variés (livraison, RH, dirigeant, fournisseur). Mesurer le taux de clic et de signalement.

    3

    Micro-learning ciblé

    Pour chaque utilisateur ayant cliqué : module court de 5 minutes le jour même, sans sanction mais avec pédagogie.

    4

    Communication régulière

    Newsletter mensuelle avec exemples réels d'attaques détectées, témoignages anonymisés, focus sur les nouvelles techniques.

    5

    Bouton « Signaler un phishing »

    Plugin Outlook/Gmail intégré qui transmet directement l'email à l'équipe sécurité avec analyse automatique.

    6

    Exercices de crise BEC annuels

    Mise en situation des équipes finance/comptabilité face à une fausse demande de virement urgente du dirigeant.

    Que faire en cas de fraude BEC avérée ?

    • Heure 0 : contacter immédiatement la banque émettrice pour tenter le rappel du virement (efficace dans les premières heures)
    • Heure 1 : changer tous les mots de passe des comptes potentiellement compromis et révoquer les sessions actives
    • Heure 2 : rechercher et supprimer les règles de boîte mail malveillantes (forward, suppression auto)
    • Sous 24h : dépôt de plainte au commissariat ou en ligne sur THESEE, signalement sur cybermalveillance.gouv.fr
    • Sous 72h : notification CNIL si données personnelles concernées, déclaration assurance cyber
    • Investigation : analyse forensique des logs Entra ID / Exchange pour comprendre l'étendue de la compromission
    • Communication : alerter les clients/fournisseurs si leur boîte mail a pu être ciblée à leur tour

    Articles complémentaires

    Testez votre résistance au phishing

    Profitez d'un audit gratuit de 15 minutes pour évaluer votre exposition au spear-phishing et au BEC, et obtenir un plan d'action sur les mesures techniques et humaines prioritaires.

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.