Attaque ciblée Dirigeants · Direction Gravité maximale Mis à jour · Avril 2026

Whaling

Aussi appelé : whaling attack · chasse au gros poisson · attaque anti-dirigeants
En une phrase — Le whaling est une forme de spear phishing dirigée spécifiquement contre les dirigeants d'une organisation, qui concentrent l'accès, l'autorité et la visibilité publique — trois caractéristiques idéales pour un attaquant ciblé.
Cibles types
PDG, DAF, DG, membres du comex, DSI
Objectifs fréquents
Compromission de boîte email, vol de données stratégiques, rebond BEC
Préparation moyenne
De plusieurs jours à plusieurs mois
Taux de succès élevé
Lié au fort footprint public des dirigeants
Amplification IA
Clonage vocal, deepfake, personnalisation automatique

01 — DéfinitionQu'est-ce que le whaling ?

Le whaling — littéralement « chasse à la baleine » — est une forme d'attaque d'ingénierie sociale qui cible spécifiquement les dirigeants d'une organisation : PDG, directeur général, directeur financier, DSI, membres du comité exécutif, administrateurs. La métaphore est transparente : le phishing de masse pêche beaucoup de petits poissons, le spear phishing vise un poisson précis, le whaling chasse la baleine.

Le whaling est techniquement une variante particulière du spear phishing, mais sa spécificité justifie un traitement séparé : les enjeux, les méthodes, les signaux d'alerte et surtout les mesures de protection ont leurs propres caractéristiques dès lors qu'on parle de profils dirigeants.

L'attaquant peut chercher plusieurs résultats : compromettre directement la boîte email du dirigeant pour en exploiter les correspondances, voler des informations stratégiques (plans M&A, stratégie, innovations), ou utiliser l'accès obtenu comme tremplin pour des attaques secondaires — notamment une fraude au président lancée depuis la vraie boîte du PDG.

Dans la chaîne de valeur du cybercrime, compromettre un dirigeant vaut cher. Les accès résultants peuvent être exploités directement ou revendus à d'autres groupes criminels pour des opérations spécialisées.

02 — ComparaisonWhaling, spear phishing, fraude au président

Spear phishing — cadre général

Phishing ciblé vers une personne précise, avec reconnaissance préalable. Le spear phishing peut viser n'importe qui : dirigeant, administrateur système, comptable, chercheur, avocat. La cible est choisie pour ses accès, pas pour son statut.

Whaling — spear phishing anti-dirigeants

Sous-catégorie du spear phishing, mais spécifique aux dirigeants. Toutes les attaques de whaling sont du spear phishing. Tous les spear phishings ne sont pas du whaling.

Fraude au président (BEC) — direction inverse

L'attaquant se fait passer pour un dirigeant, auprès d'un subordonné. La cible est le collaborateur, pas le dirigeant. Mais attention : le whaling et la fraude au président sont souvent articulés. Un attaquant commence par un whaling pour compromettre la boîte du PDG, puis utilise cette boîte pour lancer des fraudes au président avec une crédibilité maximale.

Schéma fréquent : whaling → compromission du compte dirigeant → observation silencieuse de la correspondance → fraude au président lancée depuis le vrai compte dirigeant, au moment propice.

03 — LogiquePourquoi les dirigeants sont ciblés

Ils ont les accès les plus précieux

Un dirigeant dispose typiquement d'accès à la messagerie d'entreprise, aux systèmes financiers, à la documentation stratégique, aux contrats confidentiels, aux informations M&A, aux plans de restructuration, à la R&D, aux négociations salariales des autres cadres. Compromettre un dirigeant donne une vue panoramique exceptionnelle.

Leur autorité permet l'exploitation

Un ordre venant d'un dirigeant compromis ne sera pas contesté. Un virement ordonné, un accès donné, une information partagée seront exécutés sans remise en question. C'est la pierre angulaire de la bascule whaling → fraude au président.

Leur surface publique est énorme

Un dirigeant est publiquement identifiable. LinkedIn détaille leur parcours. Les interviews révèlent leur style de communication. Les conférences fournissent des échantillons vocaux exploitables par clonage IA. Les communiqués donnent les projets en cours. Les réseaux sociaux personnels livrent les centres d'intérêt. Aucun profil n'est plus facile à documenter pour un attaquant.

Ils sont souvent sous-protégés

Paradoxalement, de nombreux dirigeants bénéficient de dérogations aux mesures de sécurité de l'entreprise : accès privilégiés non audités, pas de MFA pour « ne pas ralentir », téléphones personnels utilisés pour la correspondance pro, applications non validées. Ces dérogations créent précisément les brèches.

La hiérarchie bloque les signalements

Un assistant qui remarque une anomalie sur la boîte de son PDG hésitera souvent à remonter l'information. Un RSSI qui veut imposer une mesure contraignante au dirigeant peut rencontrer des résistances organisationnelles. La pression hiérarchique joue contre la sécurité.

04 — MécaniqueComment se déroule une attaque

1. Sélection et reconnaissance

L'attaquant choisit un dirigeant selon l'objectif : PDG pour l'autorité, DAF pour le financier, DSI pour les accès techniques. La reconnaissance combine :

  • LinkedIn — parcours, contacts, publications, interactions.
  • Site de l'entreprise — biographie, photos, organigramme.
  • Presse économique — projets récents, partenariats, acquisitions.
  • Réseaux sociaux personnels — hobbies, famille, voyages.
  • Conférences et podcasts — voix, style, sujets de prédilection.
  • Bases de données de fuites — mots de passe anciens, emails exposés.
  • Registres publics — mandats, participations, adresses.

2. Conception du scénario

Le scénario doit s'inscrire dans le contexte professionnel réel du dirigeant. Exemples typiques :

  • Invitation à prendre la parole lors d'une conférence prestigieuse — avec « lien de confirmation » piégé.
  • Assignation judiciaire prétendue, via un email faux cabinet d'avocats.
  • Proposition exclusive d'un chasseur de têtes pour un poste senior.
  • Document stratégique à valider transmis par un membre du conseil d'administration.
  • Faux message LinkedIn ou faux DM Twitter d'un pair reconnu.
  • Alerte fiscale ou URSSAF personnalisée.

3. Exécution

L'email ou le message est envoyé, souvent à l'adresse pro mais de plus en plus à l'adresse personnelle — moins protégée, et tout aussi dangereuse puisqu'elle peut donner accès à des appareils partagés avec le pro (clone de session, synchronisation, BYOD).

4. Exploitation et persistance

Après compromission, l'attaquant établit un accès persistant (règles de transfert d'emails, boîtes déléguées invisibles, OAuth tokens). Il surveille silencieusement, parfois pendant des mois, avant de lancer l'attaque finale : virement, fuite de données, fraude au président, vente d'accès à un groupe ransomware.

05 — ExemplesCas documentés

RSA Security — 2011

L'un des incidents les plus emblématiques. Des employés clés de RSA (dont des cadres) ont reçu un email avec une pièce jointe Excel prétendument liée au recrutement. La macro a ouvert un accès persistant utilisé pour voler les données SecurID, qui ont ensuite servi à pénétrer chez Lockheed Martin. Coût total estimé à plusieurs centaines de millions de dollars.

Twitter — juillet 2020

Combinaison vishing + whaling. Des employés de Twitter avec des accès aux comptes administratifs ont été appelés par de faux membres du support IT, qui ont obtenu leurs identifiants. Les comptes de Barack Obama, Joe Biden, Bill Gates, Elon Musk, Jeff Bezos ont été détournés pour une arnaque aux cryptomonnaies. Les attaquants auraient pu faire bien pire — influence politique, manipulation de marché — mais se sont contentés d'une opération financière.

Uber — septembre 2022

Un attaquant adolescent a compromis un sous-traitant d'Uber via phishing, puis a utilisé une combinaison de MFA fatigue et de vishing pour obtenir l'accès d'un employé interne. Il a ensuite accédé aux outils internes d'Uber (Slack, G Suite, AWS, SentinelOne) et exfiltré des données. L'incident a mis en évidence la vulnérabilité des entreprises même très mures face à des attaques ciblant les humains.

Arup Hong Kong — 2024

Exemple le plus marquant d'évolution IA. Un employé d'Arup a été invité à une visioconférence avec ce qui semblait être le directeur financier du groupe et d'autres cadres. Tous étaient des deepfakes vidéo et vocaux. À l'issue de la réunion, 25 millions de dollars ont été virés. Le whaling industrialisé par IA est entré dans le réel.

06 — ProtectionMesures spécifiques aux dirigeants

Authentification durcie
  • MFA FIDO2 obligatoire (clé matérielle ou passkey). Pas de MFA par SMS, pas de push simple. La dérogation sécurité au profit du dirigeant est l'erreur classique.
  • Procédure de récupération très stricte en cas de perte de clé — vérification d'identité physique, jamais par téléphone ou email.
  • Sessions courtes, binding d'appareil actif, pas de remember me permanent.
Hygiène numérique
  • Téléphones professionnels sous MDM avec politique durcie (pas de sideload, filtrage DNS).
  • Séparation stricte pro/perso sur les appareils.
  • Navigation via un VPN d'entreprise et filtrage web professionnel.
  • Pas d'utilisation d'applications non validées par la DSI pour la correspondance professionnelle.
  • Audit régulier des règles de transfert d'email et des délégations de boîte.
Procédures organisationnelles
  • Assistant ou secrétariat de direction formé à filtrer les demandes suspectes.
  • Mot-code ou question de vérification connu uniquement du dirigeant et de son cercle rapproché.
  • Procédure de double validation pour toute décision financière urgente, quelle que soit son origine apparente.
  • Règle explicite : aucun dirigeant n'envoie jamais d'instruction financière par email ou SMS seul. Si ça arrive, c'est une fraude.
  • Canal dédié (messagerie sécurisée ou appel vérifié) pour les communications réellement confidentielles.
Réduction du footprint
  • Audit de la visibilité publique : qu'est-ce qui est accessible facilement sur chaque dirigeant ?
  • Retrait ou masquage des informations non essentielles (téléphones directs, adresses personnelles, membres de la famille).
  • Sensibilisation des proches sur les publications réseaux sociaux qui peuvent servir à l'OSINT.
  • Pour les dirigeants très exposés : services spécialisés de réduction de l'empreinte numérique personnelle.
Sensibilisation ciblée
  • Formation dédiée aux dirigeants, avec scénarios spécifiques à leur profil (whaling, fraude au président, deepfake).
  • Simulations régulières et confidentielles, avec restitution privée pour éviter les enjeux d'ego.
  • Briefing spécial avant événements sensibles (M&A, restructuration, déménagement, présence médiatique).

07 — GouvernanceLes enjeux organisationnels

Le whaling expose une limite récurrente de la cybersécurité en entreprise : les dirigeants sont à la fois les plus ciblés et les moins faciles à protéger, précisément à cause de leur statut.

  • L'ego comme obstacle — beaucoup de dirigeants vivent les mesures de sécurité comme une suspicion à leur égard ou comme une contrainte indigne de leur fonction. Le RSSI doit dépasser cette réticence avec pédagogie.
  • La dérogation comme habitude — « j'ai besoin de mes outils partout, tout le temps, sans friction » est l'argument fréquent des dirigeants pour contourner les politiques. Or chaque dérogation est une faille.
  • L'hostilité au test — certaines organisations exemptent les dirigeants des simulations de phishing, « par respect ». C'est exactement l'inverse qu'il faut faire : les cibles les plus exposées doivent être les plus entraînées.
  • NIS2 et responsabilité personnelle — la directive renforce la responsabilité des dirigeants, qui peuvent désormais être sanctionnés personnellement pour manquement à la supervision des mesures de cybersécurité. Argument juridique utile au RSSI.
  • Sponsoring explicite — les programmes fonctionnent lorsque le PDG lui-même montre l'exemple (MFA FIDO2, simulation assumée, formation suivie) et soutient explicitement le RSSI dans l'application des règles au reste du comex.

08 — FAQQuestions fréquentes

Le whaling concerne-t-il aussi les PME ?

Oui. Le dirigeant de PME cumule souvent les rôles (PDG + DAF + DG) et a donc tous les accès critiques. Il est souvent plus accessible et moins protégé qu'un dirigeant de grand groupe. Des attaques de whaling contre des PME peuvent rapporter plusieurs centaines de milliers d'euros pour quelques jours de préparation.

Un dirigeant peut-il refuser les mesures de sécurité ?

En théorie, il en est le premier responsable sous NIS2 ou via son obligation fiduciaire. En pratique, le refus se paie par un accroissement du risque organisationnel et, désormais, personnel. Le bon équilibre consiste à choisir des mesures qui allient sécurité et fluidité (passkeys plutôt que codes OTP, assistant formé, SSO bien configuré).

Les dirigeants non-exécutifs sont-ils concernés ?

Oui. Les administrateurs, membres de conseil de surveillance, dirigeants de filiales sont régulièrement ciblés. Ils ont typiquement accès à des informations confidentielles (pactes d'actionnaires, rapports stratégiques) et sont souvent plus mal protégés que les exécutifs permanents. Le conseil d'administration doit être inclus dans le périmètre de protection whaling.

Que faire en cas de suspicion de compromission ?

Réaction immédiate : révoquer toutes les sessions actives de la boîte concernée, changer le mot de passe, vérifier règles de transfert et délégations, auditer les 30 derniers jours de correspondance, activer la surveillance renforcée via le SOC. Informer le conseil, le DAF et le RSSI. Envisager une investigation forensique externe si des signaux sérieux existent.

Une cyber-assurance couvre-t-elle le whaling ?

Indirectement. Les conséquences d'un whaling réussi — fraude au président, exfiltration de données, ransomware — sont typiquement couvertes. Le whaling en lui-même n'est pas un poste distinct. La plupart des assureurs exigent désormais MFA FIDO2 et sensibilisation régulière des dirigeants comme conditions de couverture.