Cybersécurité

Phishing et ransomware : comment se protéger efficacement

6 min de lecture
Phishing et ransomware : comment se protéger efficacement

Le phishing (hameçonnage) usurpe l’identité d’un organisme de confiance pour voler des identifiants ou installer un malware. Le ransomware (rançongiciel) chiffre les fichiers d’une victime et exige un paiement pour les restituer. Ces deux menaces fonctionnent souvent en tandem : le phishing ouvre la porte, le ransomware verrouille tout. En 2025, l’ANSSI a recensé une hausse de 35 % des attaques par rançongiciel, avec un coût moyen de 130 000 euros par incident pour les PME.

Le phishing : anatomie d’une attaque

Le scénario classique en 4 étapes

Le phishing exploite la confiance et l’urgence. Le mécanisme suit un schéma rodé.

  1. L’appât — Un email imitant votre banque, un fournisseur ou un service interne arrive dans votre boîte. L’objet évoque une urgence : facture impayée, compte bloqué, colis en attente
  2. Le leurre — Le message contient un lien vers un site frauduleux, visuellement identique à l’original, hébergé sur un domaine proche (bnp-paribas-securite.com au lieu de bnpparibas.com)
  3. La capture — La victime saisit ses identifiants sur le faux site. L’attaquant les récupère en temps réel
  4. L’exploitation — L’attaquant accède au compte, exfiltre des données, installe un malware ou lance un virement frauduleux

Les variantes qui montent en puissance

TypeCanalCibleTendance 2026
Spear phishingEmail cibléIndividu précis (DAF, DRH)Utilisation de l’IA pour personnaliser les messages
WhalingEmail cibléDirection généraleFraude au président en hausse de 40 %
SmishingSMSGrand publicFaux Colissimo, Ameli, impôts
VishingAppel téléphoniqueTous profilsDeepfake vocal pour usurper un dirigeant
QuishingQR codeTous profilsQR codes piégés sur faux PV, affiches, menus

Le quishing (phishing par QR code) représente une menace en forte croissance : 600 % d’augmentation entre 2023 et 2025 selon Abnormal Security. Les filtres anti-spam classiques ne détectent pas les QR codes malveillants intégrés dans une image.

Les 5 signaux d’alerte à vérifier

Avant de cliquer sur un lien ou d’ouvrir une pièce jointe, vérifiez systématiquement :

  • L’adresse expéditeur réelle — Survolez le nom affiché pour voir l’adresse complète. “Service client BNP” peut masquer [email protected]
  • L’urgence artificielle — “Votre compte sera bloqué dans 24h” est un classique de manipulation
  • La demande inhabituelle — Un fournisseur qui change de RIB par email, un collègue qui demande un virement urgent : vérifiez par téléphone
  • Le lien suspect — Survolez sans cliquer. L’URL affichée et l’URL réelle doivent correspondre au domaine officiel
  • Les incohérences visuelles — Logo pixelisé, mise en page approximative, fautes dans le nom de domaine

Le ransomware : comprendre pour anticiper

Le déroulement d’une attaque type

Un ransomware ne frappe pas au hasard. L’attaquant prépare le terrain pendant plusieurs jours, parfois plusieurs semaines.

  1. Intrusion — Via un email de phishing (65 % des cas), une faille non corrigée (20 %) ou un accès RDP exposé sur Internet (15 %)
  2. Reconnaissance — L’attaquant cartographie le réseau, identifie les serveurs, les sauvegardes, les comptes administrateurs
  3. Élévation de privilèges — Compromission d’un compte administrateur pour accéder à l’ensemble du système
  4. Exfiltration — Copie des données sensibles vers un serveur externe (double extorsion : “payez ou nous publions”)
  5. Chiffrement — Activation simultanée du ransomware sur tous les systèmes accessibles, destruction des sauvegardes connectées au réseau
  6. Demande de rançon — Note de rançon sur chaque poste, paiement exigé en cryptomonnaie sous 72 heures

Pourquoi il ne faut pas payer

La position de l’ANSSI et d’Europol est ferme : ne payez pas la rançon. Les données le confirment.

  • 20 % des entreprises qui paient ne récupèrent jamais leurs données (source : Sophos State of Ransomware, 2025)
  • 80 % des entreprises qui paient sont attaquées à nouveau dans les 12 mois
  • Les données exfiltrées finissent sur le dark web dans 60 % des cas, même après paiement
  • Le paiement finance directement les organisations criminelles et alimente le cercle vicieux

Le coût moyen d’une rançon pour une PME française atteint 250 000 euros en 2025 — sans compter l’arrêt d’activité, la restauration et l’atteinte à la réputation.

Les mesures de prévention

Contre le phishing

Former les équipes concrètement. Deux sessions de sensibilisation par an, complétées par des simulations de phishing trimestrielles. Le taux de clic passe de 25 % à 5 % après trois campagnes (source : KnowBe4, 2025).

Déployer un filtrage email avancé. Solutions anti-spam et anti-phishing en amont du serveur de messagerie. Microsoft Defender for Office 365 et Proofpoint détectent 99 % des emails de phishing connus. Les 1 % restants passent par des techniques de contournement que seule la vigilance humaine peut rattraper.

Activer le MFA sur tous les comptes. L’authentification multifacteur bloque l’exploitation des identifiants volés. Même si un collaborateur tombe dans le piège, le MFA protège le compte.

Vérifier par un second canal. Tout changement de RIB, toute demande de virement urgent, tout accès inhabituel : confirmation par téléphone sur un numéro connu (pas celui indiqué dans l’email suspect).

Contre les ransomwares

Sauvegarder hors ligne. Au moins une copie déconnectée du réseau, inaccessible en cas d’attaque. La règle 3-2-1-1 impose une copie air-gapped testée trimestriellement.

Corriger les vulnérabilités sans délai. 60 % des ransomwares exploitent des failles connues depuis plus de 30 jours. Appliquez les correctifs critiques dans les 72 heures suivant leur publication.

Segmenter le réseau. Un ransomware se propage de machine en machine via le réseau local. La segmentation en VLAN limite la propagation à un seul sous-réseau.

Appliquer le principe du moindre privilège. Chaque utilisateur n’accède qu’aux ressources nécessaires à son travail. Un comptable n’a pas besoin d’un accès administrateur au serveur de fichiers.

Désactiver les macros Office par défaut. Les macros VBA restent un vecteur de livraison fréquent. Autorisez-les uniquement pour les utilisateurs qui en ont un besoin documenté.

Que faire en cas d’attaque

Si vous êtes victime, chaque minute compte. Suivez cette procédure dans l’ordre.

  1. Isoler — Déconnectez les machines infectées du réseau (câble Ethernet débranché, Wi-Fi coupé). N’éteignez pas les machines : la mémoire vive contient des indices forensiques
  2. Alerter — Prévenez votre prestataire IT, votre direction et votre assureur cyber
  3. Conserver les preuves — Ne supprimez rien, ne réinstallez pas. Photographiez les notes de rançon. Conservez les logs
  4. Déposer plainte — Brigade de lutte contre la cybercriminalité (OCLCTIC) ou gendarmerie (C3N). Le portail cybermalveillance.gouv.fr guide la démarche
  5. Notifier la CNIL — Si des données personnelles sont concernées, notification obligatoire sous 72 heures
  6. Restaurer — À partir de sauvegardes vérifiées, sur des systèmes nettoyés. Changez tous les mots de passe avant la remise en service

La mise en oeuvre d’un plan de continuité d’activité testé réduit le temps de restauration de 60 % en moyenne.

Les tendances 2026 à surveiller

Ransomware-as-a-Service (RaaS). Les groupes criminels louent leur infrastructure à des affiliés peu techniques. Le ticket d’entrée pour lancer une attaque descend à quelques centaines de dollars.

IA offensive. Les emails de phishing générés par IA sont grammaticalement parfaits et personnalisés à partir de données LinkedIn. Les deepfakes vocaux permettent de simuler un appel du PDG.

Attaques sur la supply chain. Compromission d’un éditeur logiciel pour atteindre ses clients. L’affaire MOVEit (2023) a touché plus de 2 500 organisations en cascade.

Triple extorsion. Au-delà du chiffrement et de la publication, les attaquants contactent directement les clients de la victime pour amplifier la pression.

Prochaine étape

Lancez une simulation de phishing cette semaine. Envoyez un faux email à votre équipe (des outils gratuits comme GoPhish le permettent) et mesurez le taux de clic. Ce chiffre brut révèle votre niveau de risque réel — et justifie le budget de sensibilisation auprès de la direction.