.svg)
![Spear phishing : détecter et protéger votre entreprise [Guide 2026]](https://cdn.prod.website-files.com/63d3877314a22f50a62a2aac/6993380ff70e8f6653c7c02c_spear%20phishing.jpg)
Qu'est-ce que le spear phishing ?
Le spear phishing est une forme de phishing ciblé où l'attaquant personnalise son message pour une personne ou un groupe spécifique au sein d'une entreprise. Contrairement au phishing classique envoyé en masse avec un message générique, le spear phishing s'appuie sur des informations collectées sur la cible : nom, poste, projets en cours, hiérarchie, habitudes de communication. Le résultat est un email très crédible, souvent indétectable par les filtres anti-spam traditionnels.
Selon le Verizon DBIR 2025, le phishing reste le troisième vecteur d'accès initial (16 % des violations), mais son coût moyen est parmi les plus élevés : 4,8 millions de dollars par incident selon IBM (Cost of a Data Breach Report 2025). Le rapport IBM 2025 révèle également que 16 % des violations impliquent désormais des attaquants utilisant l'IA, principalement pour le phishing (37 % des cas) et l'usurpation d'identité par deepfake (35 %).
Sources : Verizon DBIR 2025 — IBM Cost of a Data Breach Report 2025
Comment fonctionne une attaque de spear phishing ?
Phase 1 : La reconnaissance
L'attaquant collecte des informations via LinkedIn, le site web de l'entreprise, les réseaux sociaux et parfois des fuites de données antérieures. Il identifie les décisionnaires, les relations hiérarchiques et les projets en cours. Le Verizon DBIR 2025 note que l'implication de tiers dans les violations a doublé sur un an (30 % des violations), ce qui fournit aux attaquants encore plus de données pour personnaliser leurs messages.
Phase 2 : L'ingénierie sociale
L'email est rédigé pour imiter un expéditeur de confiance : un supérieur hiérarchique (fraude au président), un fournisseur, un partenaire. Le message crée un sentiment d'urgence ou de légitimité et incite à ouvrir une pièce jointe, cliquer sur un lien ou transférer des fonds. En 2025, l'IA générative rend ces messages grammaticalement parfaits et contextualisés, éliminant les indices classiques (fautes d'orthographe, formulations maladroites).
Phase 3 : L'exploitation
Si la cible clique, plusieurs scénarios se déclenchent : exécution d'une macro malveillante dans un document Office, téléchargement d'un malware via PowerShell, redirection vers une fausse page de connexion pour voler les identifiants. Le Verizon DBIR 2025 indique que 88 % des attaques contre les applications web impliquent des identifiants volés. C'est à cette étape que le hardening du poste de travail fait la différence : un poste durci bloque la majorité de ces vecteurs d'exploitation.
Source : Verizon DBIR 2025
Retrouvez nos solutions Protection des postes de travail et appareils mobiles
Pourquoi le hardening est votre meilleure défense technique contre le spear phishing
La sensibilisation des utilisateurs est nécessaire mais insuffisante. Selon le Verizon DBIR 2025, le taux de clic moyen sur les simulations de phishing reste autour de 1,5 % (médiane), et le rapport précise que « le taux d'échec n'est pas affecté par la formation ». Autrement dit, même les collaborateurs les mieux formés finissent par cliquer. La question n'est pas de savoir SI quelqu'un cliquera, mais QUAND.
C'est pourquoi la protection technique du poste de travail est essentielle. Le durcissement bloque la chaîne d'exploitation après le clic : les macros Office provenant d'Internet sont bloquées, PowerShell est en mode restreint (Constrained Language Mode), les règles ASR (Attack Surface Reduction) empêchent l'exécution de fichiers non fiables, le Print Spooler est désactivé sur les postes qui n'impriment pas. Même si l'utilisateur clique, le malware ne peut pas s'exécuter sur un poste durci.
Source : Verizon DBIR 2025
Vous souhaitez en savoir plus, découvrez le guide complet de hardening Windows
Les 5 mesures pour protéger votre entreprise du spear phishing
1. Durcir les postes de travail (hardening)
Bloquer les macros non signées, restreindre PowerShell, activer les règles ASR, désactiver les services inutiles. C'est la mesure la plus efficace car elle neutralise l'exploitation même quand la prévention humaine échoue. Le ransomware, souvent déclenché par un email de spear phishing, apparaît désormais dans 44 % des violations selon le Verizon DBIR 2025, contre 32 % l'année précédente.
Source : Verizon DBIR 2025
2. Déployer un EDR (Endpoint Detection and Response)
L'EDR détecte les comportements suspects post-clic et peut isoler automatiquement un poste compromis. Le rapport IBM 2025 montre que les organisations utilisant l'IA et l'automatisation dans leurs opérations de sécurité ont économisé en moyenne 1,9 million de dollars par incident et réduit le cycle de vie des violations de 80 jours.
Source : IBM Cost of a Data Breach Report 2025
3. Filtrer les emails en amont
Les solutions de filtrage avancé (Microsoft Defender for Office 365, Proofpoint, Vade Secure) analysent les liens et pièces jointes en temps réel et détectent les tentatives d'usurpation d'identité (DMARC, DKIM, SPF).
4. Sensibiliser et tester régulièrement
Des campagnes de simulation de phishing trimestrielles mesurent la résistance des équipes. Si le taux de clic est incompressible, le taux de signalement est en revanche améliorable : le Verizon DBIR 2025 note que les organisations investissant dans la formation régulière voient un taux de signalement 4 fois supérieur. Chaque email signalé est une alerte de sécurité gratuite.
Découvrez nos expertises en audit, pentest et campagne de phishing entreprise
5. Implémenter l'authentification multi-facteurs (MFA)
Même si les identifiants sont volés via une page de phishing, le MFA empêche l'attaquant d'accéder aux comptes. Microsoft indique que le MFA bloque plus de 99 % des attaques par mot de passe. Attention toutefois aux techniques de contournement MFA (prompt bombing, token theft) qui gagnent du terrain : le DBIR 2025 note que 14 % des incidents impliquent du prompt bombing.
Sources : Microsoft Digital Defense Report 2024 — Verizon DBIR 2025
.svg)