Spear-phishing & BEC : se protéger des attaques email avancées
Le phishing reste le premier vecteur d'attaque devant 90 % des incidents traités par l'ANSSI. Mais en 2025, les attaques se sont sophistiquées : spear-phishing hautement ciblé, Business Email Compromise (BEC), attaques AiTM qui contournent le MFA, et nouvelle vague de deepfake audio et vidéo. Le coût moyen d'une fraude BEC en France atteint désormais 140 000 € selon le rapport FBI IC3. Ce guide vous explique comment vous protéger efficacement.
Phishing, spear-phishing, BEC : quelles différences ?
Phishing de masse
Email générique envoyé à des milliers de destinataires, usurpant une marque connue (banque, livreur, impôts). Faible taux de succès individuel mais volume massif.
Spear-phishing
Attaque ciblée sur une personne précise, après collecte d'informations sur LinkedIn, le site web et les réseaux sociaux. Le message est crédible et personnalisé. Taux de clic : 30 à 50 %.
Whaling
Variante du spear-phishing visant exclusivement les dirigeants (CEO, CFO, DG). Enjeu financier ou stratégique majeur.
BEC (Business Email Compromise)
Usurpation ou compromission d'une boîte mail légitime (dirigeant, fournisseur) pour obtenir un virement frauduleux ou détourner une facture. Pas toujours de pièce jointe ou lien : seul le contexte trahit l'attaque.
AiTM (Adversary in the Middle)
Page de phishing qui relaie en temps réel l'authentification et vole les tokens de session, contournant le MFA classique. Forte croissance depuis 2023.
Les nouvelles techniques en 2025
IA générative au service des attaquants
Les grands modèles de langage permettent de générer des emails de phishing en français parfait, sans faute, adaptés au ton de l'entreprise visée. Les fautes d'orthographe ne sont plus un signe fiable. Des outils comme WormGPT ou FraudGPT sont vendus sur le dark web.
Deepfake audio et vidéo
En 2024, une PME de Hong Kong a perdu 25 M$ après une visioconférence deepfake où le « directeur financier » et plusieurs collègues étaient entièrement synthétiques. Quelques minutes d'audio public suffisent à cloner une voix.
Quishing (QR code phishing)
Insertion d'un QR code dans un email ou une fausse note d'authentification, qui redirige le téléphone personnel de la victime (hors périmètre de protection de l'entreprise) vers une page de capture d'identifiants.
Détournement de fil de conversation
Après compromission d'une boîte mail, l'attaquant répond à un fil légitime en cours, en injectant un lien malveillant ou en demandant un changement d'IBAN. Très difficile à détecter pour la victime.
12 mesures techniques de protection
DMARC en politique reject + alignement SPF/DKIM sur tous les domaines
MFA résistant au phishing (FIDO2, passkeys) pour contrer les attaques AiTM
Solution anti-phishing avancée avec sandboxing (Defender for O365, Proofpoint, Vade)
Réécriture des URL (Safe Links) et analyse temps réel des pièces jointes
Bannière visuelle « Email externe » sur tous les messages venant de l'extérieur
Blocage des extensions exécutables (.exe, .iso, .img, .lnk, .hta) en pièce jointe
Protection anti-usurpation : look-alike domains, anti-spoofing, impersonation protection
Désactivation des règles de transfert externe automatiques sur Exchange
Validation hors-bande (téléphone) pour tout virement > 5 000 € ou changement d'IBAN
Surveillance des connexions impossibles et des téléchargements massifs (Defender for Cloud Apps)
Supervision SIEM des logs Exchange / Entra ID avec alertes sur création de règles inbox
Sauvegarde tierce des boîtes mail pour restaurer en cas de suppression malveillante
Programme de sensibilisation efficace
Aucune solution technique ne couvre 100 % des cas. Selon Verizon DBIR, 68 % des incidents impliquent un facteur humain. Un programme de sensibilisation continue est indispensable.
Formation initiale (1h)
Module e-learning obligatoire à l'embauche : reconnaître le phishing, signaler un email suspect, processus en cas de doute.
Simulations mensuelles
Campagnes de phishing simulé avec scénarios variés (livraison, RH, dirigeant, fournisseur). Mesurer le taux de clic et de signalement.
Micro-learning ciblé
Pour chaque utilisateur ayant cliqué : module court de 5 minutes le jour même, sans sanction mais avec pédagogie.
Communication régulière
Newsletter mensuelle avec exemples réels d'attaques détectées, témoignages anonymisés, focus sur les nouvelles techniques.
Bouton « Signaler un phishing »
Plugin Outlook/Gmail intégré qui transmet directement l'email à l'équipe sécurité avec analyse automatique.
Exercices de crise BEC annuels
Mise en situation des équipes finance/comptabilité face à une fausse demande de virement urgente du dirigeant.
Que faire en cas de fraude BEC avérée ?
- • Heure 0 : contacter immédiatement la banque émettrice pour tenter le rappel du virement (efficace dans les premières heures)
- • Heure 1 : changer tous les mots de passe des comptes potentiellement compromis et révoquer les sessions actives
- • Heure 2 : rechercher et supprimer les règles de boîte mail malveillantes (forward, suppression auto)
- • Sous 24h : dépôt de plainte au commissariat ou en ligne sur THESEE, signalement sur cybermalveillance.gouv.fr
- • Sous 72h : notification CNIL si données personnelles concernées, déclaration assurance cyber
- • Investigation : analyse forensique des logs Entra ID / Exchange pour comprendre l'étendue de la compromission
- • Communication : alerter les clients/fournisseurs si leur boîte mail a pu être ciblée à leur tour
Articles complémentaires
Testez votre résistance au phishing
Profitez d'un audit gratuit de 15 minutes pour évaluer votre exposition au spear-phishing et au BEC, et obtenir un plan d'action sur les mesures techniques et humaines prioritaires.