Aller au contenu
FortaRisks
Retour au glossaireAttaques et incidents

Hameçonnage (phishing)

L'hameçonnage est une attaque qui manipule une personne pour lui faire révéler des informations sensibles ou exécuter une action dangereuse, en se faisant passer pour un tiers de confiance. C'est le vecteur d'intrusion le plus répandu, désormais amplifié par l'intelligence artificielle.

Mis à jour le 2 juillet 2026

Qu'est-ce que l'hameçonnage ?

L'hameçonnage, ou phishing, est une technique d'ingénierie sociale : plutôt que d'attaquer une machine, l'attaquant manipule une personne. En se faisant passer pour un interlocuteur légitime (une banque, un collègue, un fournisseur), il l'incite à cliquer sur un lien piégé, à ouvrir une pièce jointe malveillante, à saisir ses identifiants ou à effectuer un paiement.

C'est souvent la première étape d'une attaque plus large : un accès obtenu par hameçonnage sert ensuite à se déplacer dans le système, à déployer un rançongiciel ou à exfiltrer des données.

Pourquoi c'est important pour votre organisation

L'hameçonnage reste le point d'entrée le plus courant des cyberattaques, précisément parce qu'il contourne les défenses techniques en visant l'humain. Une seule personne trompée peut suffire à compromettre toute une organisation.

L'arrivée de l'IA générative a rendu ces attaques bien plus crédibles et personnalisées. Les repères habituels, comme les fautes de langue, disparaissent, et les deepfakes ajoutent une couche de tromperie sur la voix et l'image.

Comment réduire le risque

  • Authentification multifacteur pour limiter l'impact d'un identifiant volé.
  • Sensibilisation continue et exercices de simulation réalistes.
  • Filtrage des e-mails et protection des messageries (SPF, DKIM, DMARC).
  • Procédures de vérification pour les demandes sensibles, notamment les virements.
  • Signalement facilité pour que les employés alertent vite en cas de doute.

Où les organisations pèchent le plus souvent

L'erreur classique est de tout miser sur la formation en espérant un taux de clic nul, objectif irréaliste. Il vaut mieux partir du principe qu'un hameçonnage réussira un jour et limiter ses conséquences par l'authentification multifacteur, la segmentation et des procédures de vérification. L'autre écueil est de négliger la fraude au président, qui ne contient souvent aucun lien ni pièce jointe à détecter.

Questions fréquentes

Quelles sont les principales formes d'hameçonnage ?

L'hameçonnage de masse vise un grand nombre de destinataires. Le harponnage (spear phishing) cible une personne précise avec un message personnalisé. Le smishing passe par SMS, le vishing par la voix. La fraude au président, ou BEC, usurpe l'identité d'un dirigeant pour ordonner un virement ou une action urgente.

Comment l'IA change-t-elle l'hameçonnage ?

L'IA générative supprime les signaux qui trahissaient autrefois une tentative : fautes d'orthographe, tournures maladroites, incohérences. Elle permet de produire des messages crédibles à grande échelle, dans toutes les langues, et d'ajouter des deepfakes vocaux ou vidéo. La vigilance fondée sur la seule qualité du message ne suffit plus.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.