Quelle différence entre phishing et spear phishing ?

Le phishing de masse envoie le même message à des milliers de destinataires sans personnalisation. Le spear phishing cible une personne ou un petit groupe avec un message crafté après recherche préalable sur la victime — nom, fonction, collègues, projets en cours. Les taux de clic peuvent atteindre 50% contre 3-5% pour le phishing de masse.

Combien de temps prépare-t-on une attaque spear phishing ?

La phase de reconnaissance dure typiquement de quelques heures pour un profil public à plusieurs semaines pour un cadre dirigeant d'une grande entreprise. L'attaquant collecte des informations via LinkedIn, le site de l'entreprise, les communiqués de presse, les réseaux sociaux personnels et les fuites de données antérieures.

Le spear phishing cible-t-il uniquement les dirigeants ?

Non. Quand il cible spécifiquement les dirigeants, on parle de whaling. Le spear phishing en général peut viser n'importe quel profil avec des accès intéressants : comptables, RH, IT, juristes, commerciaux grands comptes. Les administrateurs système sont une cible privilégiée car leurs identifiants donnent accès à toute l'infrastructure.

Un antispam peut-il bloquer le spear phishing ?

Difficilement. Les emails de spear phishing sont rédigés individuellement, ne contiennent souvent ni lien piégé ni pièce jointe au premier message, et proviennent parfois de comptes légitimes compromis. Les filtres classiques basés sur la réputation et les signatures les laissent passer. La défense repose sur l'analyse comportementale et la formation humaine.

Spear phishing : définition, exemples et comment s'en protéger

Catégorie: Ingénierie sociale ciblée
Taux de compromission: Jusqu'à 50% (vs 3-5% phishing masse)
Préparation: De quelques heures à plusieurs semaines
Cibles privilégiées: Finance, RH, IT, dirigeants
Variante haut de gamme: Whaling (dirigeants) · BEC (fraude au président)

01 — DéfinitionQu'est-ce que le spear phishing ?

Le spear phishing — littéralement « pêche au harpon » — est une forme d'attaque par hameçonnage dans laquelle l'attaquant cible une personne précise ou un petit groupe de personnes, après avoir mené des recherches sur elles pour rendre son message particulièrement crédible.

Là où le phishing de masse lance un filet à la surface de l'océan en espérant attraper quelques poissons sur le volume, le spear phishing vise un poisson précis avec un harpon. C'est plus long à préparer, mais infiniment plus efficace : les taux de clic dépassent souvent 40%, et les pertes financières associées sont en moyenne 10 à 50 fois supérieures à celles d'un phishing classique.

Le spear phishing est à l'origine de la quasi-totalité des grandes compromissions médiatisées ces dix dernières années. Quand un incident cyber majeur fait la une, c'est presque toujours par là qu'il a commencé.

02 — ComparaisonPhishing vs spear phishing

Les deux attaques partagent la même technique de base — se faire passer pour une entité de confiance — mais tout le reste diffère.

Phishing classique

Volume : des milliers à des millions de destinataires.
Personnalisation : quasi nulle — « Cher client », message générique.
Préparation : quelques heures, souvent via des kits prêts à l'emploi.
Taux de clic moyen : 3 à 5%.
Objectif : ratisser large, automatiser la capture de credentials.

Spear phishing

Volume : une à quelques dizaines de cibles.
Personnalisation : forte — prénom, fonction, contexte professionnel, références à des collègues ou projets réels.
Préparation : jours à semaines de reconnaissance.
Taux de clic moyen : 30 à 50%.
Objectif : accès spécifique (réseau interne, virement, données sensibles).

03 — MécaniqueComment se déroule une attaque

1. Sélection de la cible

L'attaquant choisit une personne selon l'objectif visé : un comptable pour faire virer de l'argent, un administrateur système pour obtenir un accès persistant, un juriste pour accéder à des dossiers confidentiels, un dirigeant pour maximiser l'impact médiatique.

2. Reconnaissance (OSINT)

C'est la phase qui fait tout le travail. L'attaquant collecte un maximum d'informations publiques sur la cible via des techniques d' OSINT :

LinkedIn — fonction, parcours, collègues, diplômes, contacts récents.
Site de l'entreprise — organigramme, communiqués, trombinoscope.
Réseaux sociaux personnels — centres d'intérêt, famille, voyages récents.
Bases de données de fuites — email professionnel, mots de passe anciens, téléphone.
Presse spécialisée — projets récents de l'entreprise, levées de fonds, partenariats.
Métadonnées de documents publics (photos, PDF) — logiciels utilisés, noms de serveurs internes.

3. Conception du message

Muni de ces informations, l'attaquant rédige un email qui ne pourra pas sembler suspect parce qu'il s'inscrit parfaitement dans le contexte professionnel réel de la victime. Il s'appuie sur un levier psychologique précis :

Autorité : usurpation du PDG, d'un client important, d'une autorité administrative.
Urgence : délai serré, conséquences graves en cas de non-action.
Confidentialité : consigne de ne pas en parler aux collègues.
Familiarité : référence à un projet, une réunion ou une personne réels.

4. Exécution et exploitation

L'attaque peut prendre plusieurs formes : demande de virement urgent, envoi d'une pièce jointe prétendument liée à un projet en cours, lien vers un faux portail Microsoft 365 ressemblant à celui de l'entreprise, ou simple échange anodin au début pour gagner la confiance avant de passer à l'attaque réelle (technique du pretexting).

04 — CiblesQui est visé en priorité

Certains profils concentrent l'essentiel des attaques car ils offrent un retour sur investissement élevé aux attaquants.

Direction financière — comptabilité, trésorerie, direction financière : cibles idéales pour la fraude au président et les virements frauduleux.
Ressources humaines — accès aux données personnelles des salariés, RIB, fiches de paie ; porte d'entrée vers l'usurpation d'identité à grande échelle.
Services IT et administrateurs — leurs credentials ouvrent tout le système d'information. Un admin compromis = game over.
Dirigeants (whaling) — accès stratégique, données confidentielles, capacité à ordonner des actions sensibles.
Juristes et secrétariats de direction — accès à des informations hautement confidentielles (M&A, contentieux, stratégie).
Service client — accès aux bases clients pour rebond vers les clients eux-mêmes (supply chain social).

05 — ExemplesCas réels en France

Fraude au président dans une PME industrielle

La DAF reçoit un email semblant provenir du PDG, en déplacement à l'étranger. Le message fait référence à un projet d'acquisition confidentiel dont elle a effectivement entendu parler. L'email demande un virement urgent de 140 000 € vers un nouveau fournisseur, avec consigne de ne pas en parler en interne par souci de confidentialité. L'adresse d'expédition utilise un domaine subtilement différent (.co au lieu de .com). Le virement part. Le PDG, joignable deux heures plus tard, n'a bien sûr rien envoyé.

Compromission d'un administrateur IT

Un administrateur système reçoit sur sa boîte personnelle un message LinkedIn d'un recruteur proposant un poste senior bien rémunéré dans une entreprise qu'il connaît. Après plusieurs échanges cordiaux, le « recruteur » lui envoie un fichier PDF d'offre d'emploi détaillée. Le PDF contient un malware qui s'exécute à l'ouverture et déploie un accès persistant. L'attaquant attend ensuite plusieurs semaines avant d'exploiter cet accès pour rebondir vers le réseau de l'employeur de la victime.

Attaque contre un avocat d'affaires

Un associé d'un cabinet d'avocats reçoit un email prétendument envoyé par un confrère partenaire, faisant référence à un dossier en cours qu'ils traitent ensemble. Le message invite à consulter un document sur un faux portail sécurisé. L'associé saisit ses identifiants Microsoft 365, qui sont capturés et utilisés pour accéder à sa messagerie. L'attaquant exfiltre pendant trois semaines des documents confidentiels liés à une opération de M&A avant d'être détecté.

06 — DéfenseComment s'en protéger

Le spear phishing est l'une des attaques les plus difficiles à bloquer techniquement parce qu'elle exploite la confiance et la personnalisation. La défense repose sur trois piliers complémentaires.

Réduire la surface d'attaque

Limiter les informations publiques sensibles (organigramme détaillé, emails génériques type prenom.nom@).
Sensibiliser aux risques liés aux publications LinkedIn des collaborateurs.
Masquer les métadonnées dans les documents publics (PDF, photos).
Configurer DMARC en mode reject pour empêcher l'usurpation de votre domaine.

Renforcer la détection

Déployer une passerelle email avec détection d'anomalies (BEC, impersonation, domaines lookalikes).
Activer les bannières automatiques « Email externe » sur les messages venant de l'extérieur.
Surveiller les tentatives d'usurpation de domaine et d'identité via des outils dédiés.
Mettre en place un bouton « Signaler comme phishing » accessible dans Outlook/Gmail.

Former et organiser

Sensibilisation ciblée des profils les plus exposés (finance, RH, IT, direction).
Procédure de double validation obligatoire pour tout virement, changement d'IBAN ou action sensible.
Consigne explicite : aucune demande urgente confidentielle ne passe par email seul. Canal d'escalade alternatif (téléphone vers un numéro connu) obligatoire.
Simulations régulières de spear phishing sur les profils sensibles pour maintenir la vigilance.
Culture du doute raisonnable : valoriser les questions et les vérifications, même si elles s'avèrent inutiles.

07 — DétectionReconnaître une tentative

Un email de spear phishing bien conçu est très difficile à distinguer d'un email légitime. Certains signaux subsistent cependant, et doivent déclencher une vérification systématique.

Demande inhabituelle venant d'un supérieur — surtout si elle contourne les procédures habituelles et exige la discrétion.
Urgence artificielle combinée à la confidentialité — un attaquant pressé qui te demande de ne rien dire à personne, c'est le combo signature.
Adresse email proche mais pas identique — lettre manquante, .co au lieu de .com, -fr ajouté, sous-domaine exotique.
Changement de canal — un interlocuteur habituel qui te sollicite soudain depuis une nouvelle adresse « parce que j'ai un problème avec mon email pro ».
Changement d'IBAN fournisseur — le vecteur numéro un de la fraude par compromission d'email professionnel.
Pièce jointe ou lien inhabituel dans un contexte pourtant crédible — la charge malveillante arrive souvent après plusieurs échanges anodins destinés à bâtir la confiance.

Règle d'or : devant un doute, utilise un canal alternatif vérifié — un numéro de téléphone interne, un collègue en direct, jamais les coordonnées fournies dans l'email suspect lui-même.

08 — FAQQuestions fréquentes

Le spear phishing peut-il être détecté automatiquement ?

Partiellement. Les passerelles modernes utilisent l'IA pour détecter les usurpations de dirigeants, les domaines lookalikes et les anomalies comportementales. Mais un email rédigé individuellement depuis une adresse légitime compromise reste très difficile à bloquer. La détection humaine reste indispensable.

Quel est le lien avec la fraude au président ?

La fraude au président (aussi appelée BEC ou FOVI) est une forme particulière de spear phishing dans laquelle l'attaquant se fait passer pour un dirigeant afin d'ordonner un virement frauduleux. C'est la manifestation la plus coûteuse du spear phishing : plusieurs centaines de millions d'euros de pertes annuelles rien qu'en France.

Les petites entreprises sont-elles concernées ?

Oui, et de plus en plus. Historiquement, les attaquants visaient les grands comptes. Mais les PME — moins bien protégées, avec des procédures financières moins strictes, et des dirigeants souvent joignables directement — sont devenues des cibles rentables. Un attaquant peut préparer et exécuter une attaque contre une PME en quelques jours avec un ROI excellent.

L'IA change-t-elle la donne ?

Oui, dans les deux sens. Pour les attaquants, elle permet d'industrialiser la reconnaissance et la personnalisation des messages — ce qui coûtait cher en temps humain peut désormais être scalé. Pour les défenseurs, elle améliore la détection comportementale et l'analyse de cohérence. Le clone vocal par IA (deepfake audio) permet aussi des attaques par téléphone extrêmement convaincantes.