Phishing 2025 : pourquoi les e-mails deviennent (presque) impossibles à reconnaître

Introduction

Les vagues d’hameçonnage de 2025 n’ont plus rien à voir avec celles d’hier. Les textes sont parfaits, les logos nickel, les domaines trompeurs, les signatures cohérentes — merci les modèles IA et les kits de campagne accessibles à bas coût. Résultat : même un collaborateur vigilant peut cliquer. La bonne stratégie ne consiste plus à « reconnaître un mauvais français », mais à empiler des couches techniques et humaines.

1) Ce qui a changé en 2024-2025

1. IA générative : messages contextuels (ton RH/finance), sans fautes, avec références crédibles.
2. BEC 2.0 (Business Email Compromise) : usurpation de cadres/fournisseurs, demandes de virement ou de changement d’IBAN.
3. MFA fatigue : bombardement de demandes d’authentification jusqu’au « oui » réflexe.
4. QRishing : QR codes collés dans des lieux physiques ou insérés en PJ.
5. Deepfake voix/visioconférence : faux « DG » pressant, réunion en urgence.
6. Chaînes hybrides : message → lien raccourci → site clone → téléchargement -> vol de session.

2) Exemples réalistes à connaître

1. Fausse facture fournisseur : même mise en page, seule la ligne d’IBAN change.
2. Microsoft 365 / Google Workspace : « Votre session a expiré, reconnectez-vous » (site clone parfait, domaine à peine altéré).
3. Note RH / Paie : « Mise à jour des avantages », lien vers un portail SIRH contrefait.
4. Transport/Colis : SMS puis e-mail demandant un paiement de douane minime.
5. Comptable / Expert-comptable : PJ « bilan à valider » renvoyant vers un connecteur cloud malveillant.

Astuce : le domaine (et le sous-domaine) reste la meilleure barrière mentale. compte-secure.vraifournisseur.com n’est pas secure.vraifournisseur.com.compte-update.co.

3) Les 6 couches de protection (défense en profondeur)

1. Authentification de domaine
2. SPF : autorise explicitement vos IP d’envoi.
3. DKIM : signature cryptographique de vos messages.
4. DMARC (p=quarantine / p=reject) : politique claire vis-à-vis des non-conformes.
5. Durcissement de la messagerie
6. Filtrage avancé, sandbox de pièces jointes, réécriture sécurisée des liens.
7. Drapeaux « expéditeur externe », bannière d’avertissement sur domaines récents.
8. MFA partout, mais intelligent
9. MFA sans fatigue : limites, alertes, push avec numéro à saisir.
10. Interdire les mots de passe réutilisés (SSO/IdP).
11. Navigateur & postes
12. Isolation des liens douteux (containers), mises à jour agressives, EDR actif.
13. Bloquer macros par défaut, liste blanche d’applications.
14. Processus financiers
15. Jamais de changement d’IBAN par e-mail seul : double validation hors bande (téléphone connu).
16. Seuils d’achats, 4-yeux, journalisation.
17. Sensibilisation continue
18. Simulations régulières, badges de progression, culture du signalement (zéro blâme).

4) La check-list « ouvrir/cliquer ou pas ? »

1. L’adresse d’expédition exacte est-elle celle du contact habituel ?
2. Le domaine est-il correctement orthographié (pas d’homographes, pas d’inversion) ?
3. Y a-t-il une urgence financière inhabituelle ?
4. Le lien pointe-t-il vers un domaine tiers sans rapport ?
5. La demande peut-elle être vérifiée hors bande (téléphone connu, Teams, etc.) ?
6. L’IBAN ou le canal de paiement change-t-il subitement ?
7. Le message a-t-il été reçu par d’autres collaborateurs simultanément ? (campagne de masse)

5) Programme de sensibilisation qui marche (PME)

1. Mensuel : micro-module (5 minutes) + 1 simulation.
2. Trimestriel : atelier ciblé (finance/RH/achats).
3. Semestriel : exercice « phishing -> incident » avec le SOC (chaîne complète).
4. KPIs : taux de clic, délai de signalement, progression par service.
5. Culture : valoriser le signalement (« merci d’avoir levé le doute »), bannir la culpabilisation.

6) Que faire si quelqu’un a cliqué ?

1. Débrancher le câble réseau (ou couper le Wi-Fi) du poste concerné.
2. Ne pas fermer la session ni redémarrer.
3. Capturer l’heure, l’objet, l’expéditeur, l’URL complète.
4. Prévenir l’IT/SOC via le canal officiel (ticket interne).
5. Changer le mot de passe et invalider les sessions ouvertes (IdP).
6. Rechercher des connexions OAuth/« apps » récemment autorisées.
7. Lancer une analyse EDR et vérifier les autres boîtes (campagne).

Conclusion

En 2025, personne ne repère à coup sûr tous les e-mails piégés à l’œil nu. La bonne stratégie, c’est la défense en profondeur : configuration de messagerie solide (SPF/DKIM/DMARC), MFA intelligent, filtrage avancé, et formation continue orientée comportements.