Alors que le phishing semblait être un classique de la cybermenace, il connaît depuis plusieurs mois un regain d’efficacité et de sophistication. Les entreprises de toutes tailles sont à nouveau ciblées, souvent avec des campagnes très personnalisées. Ce retour en force s’accompagne d’une montée des demandes de prestation, mêlant analyse de risques, gestion des incidents, et surtout… sensibilisation pratique. Plongée dans un fléau qui ne faiblit pas.
Depuis le début de l’année, les alertes concernant des campagnes de phishing se sont multipliées. Selon les derniers rapports de l’ANSSI et de Proofpoint, cette menace reste l’une des premières portes d’entrée des attaques informatiques en France et en Europe. Ce qui frappe, c’est la qualité croissante des contenus : usurpation d’outils cloud, mails imitant parfaitement les fournisseurs SaaS, ou encore pièges via signature électronique. L’époque du mail rempli de fautes est bel et bien révolue.
Les campagnes ciblées sur les PME, via les prestataires informatiques ou les services RH, se multiplient. Le phishing s’adapte à l’organisation de ses victimes. Il n’attaque plus au hasard : il réplique leur environnement, emprunte leur langage, s’intègre à leurs outils quotidiens. Certains attaquants scrutent même les communiqués de presse ou les réseaux sociaux internes pour adapter leur message à l’actualité de l’entreprise.
On pourrait croire que tout le monde connaît les mails de phishing. Mais la réalité, c’est que les attaquants ont pris une longueur d’avance. Ils exploitent la fatigue numérique, les outils internes mal connus, et la routine professionnelle. Le langage est adapté, les fautes ont disparu, les logos sont à jour. Et surtout, les signaux d’alerte ont changé : le simple fait qu’un mail provienne d’une adresse apparemment correcte ne garantit plus rien.
Plus récent encore, l’emploi d’intelligences artificielles pour générer des contenus mimétiques adaptés au style de l’entreprise. Certains outils simulent des appels vocaux d’urgence, usurpant la voix d’un responsable IT. D’autres créent des copies parfaites de pages d’authentification. L’efficacité est redoutable, et la confiance — ou la précipitation — font le reste.
Derrière chaque clic sur un lien frauduleux se cachent des scénarios bien huilés : vol d’identifiants Microsoft 365, virement bancaire détourné, accès persistant pour une attaque future. Le phishing n’est jamais qu’une première étape. Une porte discrètement entrouverte pour laisser entrer des charges utiles plus complexes : ransomware, exfiltration, mouvements latéraux.
«Et ce sont parfois les profils les mieux informés, pressés ou sursollicités, qui cliquent les premiers»
Les cas les plus fréquents : mails usurpant la direction ou la DSI, fausse demande de changement de RIB, lien vers un outil collaboratif demandant une reconnexion. L’entreprise est frappée dans son quotidien, avec une adresse interne pour expéditeur, un ton crédible, et souvent une urgence simulée. Et ce sont parfois les profils les mieux informés, pressés ou sursollicités, qui cliquent les premiers.
Face à cette recrudescence, les demandes de prestations se multiplient rapidement. Les entreprises recherchent du concret : audit de leur surface d’attaque, analyse des tentatives récentes, accompagnement à la réponse à incident. Mais surtout : tests de phishing simulé, pour mesurer le niveau de sensibilisation des équipes.
Les RSSI veulent des outils clairs, mesurables. Les dirigeants veulent une preuve que leurs équipes sont prêtes. Et les prestataires sont sollicités pour fournir des campagnes ciblées, adaptées à la réalité de chaque entreprise. Ces tests ne visent pas à sanctionner, mais à comprendre où se situent les réflexes faibles — et comment les corriger.
La grande tendance de 2025, c’est la sensibilisation par la pratique. Finies les formations descendantes ou les affiches peu regardées dans la salle de pause : place à la mise en situation. Une simulation de phishing bien conçue, suivie d’un retour en collectif, change radicalement la perception. Elle permet à chacun de comprendre où sont les pièges, de découvrir comment les repérer, et surtout de ne plus réagir par automatisme.
Des prestataires spécialisés conçoivent des campagnes s’étalant sur plusieurs semaines, voire plusieurs mois, avec des messages évolutifs et un suivi comportemental anonymisé. Ce n’est pas un test unique, mais une stratégie continue. À l’issue, des bilans sont dressés, accompagnés de recommandations concrètes : modification de processus internes, ajustement des filtres, ou encore révision des droits d’accès pour certains profils trop exposés.
L’enjeu ne se limite plus à former les équipes techniques. C’est l’ensemble de l’organisation qui doit s’impliquer. La technique seule ne suffit plus. Il faut construire une culture interne de la vigilance, où chacun comprend qu’il peut être ciblé, et qu’il est l’une des barrières de protection de l’entreprise. Cela passe par la formation continue, le droit à l’erreur encadré, le signalement sans culpabilisation.
Car le réflexe de signalement est souvent ce qui permet de bloquer une attaque en amont. Une campagne de phishing interceptée par un salarié averti peut éviter une crise. Encore faut-il que ce salarié sache à qui signaler, que la procédure soit simple, et que sa démarche soit valorisée.
En parallèle, les outils de filtrage et de blocage doivent évoluer. Mais ils ne remplaceront jamais le jugement humain. Une entreprise peut investir dans la meilleure solution anti-phishing du marché, elle restera vulnérable si ses collaborateurs ne sont ni formés ni impliqués.
«Dans un monde où le clic est roi, apprendre à ne pas cliquer reste une compétence critique»
Le phishing a changé. Il n’est plus grossier, ni aléatoire. Il s’insère dans les flux, imite les outils, se faufile dans les habitudes. Pour s’en protéger, les entreprises doivent combiner technicité, accompagnement humain, et culture de la prudence. Dans un monde où le clic est roi, apprendre à ne pas cliquer reste une compétence critique. C’est à la fois une exigence de sécurité, et une opportunité pour impliquer chaque collaborateur dans la défense collective de l’organisation.
C’est aussi un révélateur de posture : l’entreprise qui investit dans la sensibilisation ne se contente pas de cocher une case conformité. Elle prend acte que la menace est quotidienne, mouvante, souvent discrète. Et que sa meilleure défense ne réside pas seulement dans un pare-feu, mais dans la capacité de chacun à détecter l’anormal, à interrompre une action douteuse, à poser une question. Bref, à ne plus être un simple utilisateur, mais un acteur de la cybersécurité.
