Les attaques de phishing sont devenues une véritable industrie, abaissant les barrières à l'entrée et submergeant les défenses traditionnelles, selon le rapport Etat de la Cybersécurité en 2025 de Sopra Steria.
Le phishing devient un modèle économique à part entière
Le phishing n’est plus une simple escroquerie opportuniste, c’est désormais un modèle économique parfaitement industrialisé. Avec l’émergence du Phishing-as-a-Service (PhaaS), les outils nécessaires pour usurper, manipuler et exploiter sont accessibles au plus offrant, et même à toute personne disposant d’une connexion internet et de quelques euros.
Le rapport Etat de la Cybersécurité en 2025 de Sopra Steria révèle que le phishing a constitué le principal vecteur d'attaque en 2024 : il est impliqué dans près de 60 % des intrusions réseau. La nouveauté ne réside pas seulement dans la fréquence croissante des attaques, mais dans l'écosystème sophistiqué qui les sous-tend. Les plateformes PhaaS proposent des kits de phishing prêts à l'emploi, des domaines préenregistrés, des outils d'automatisation performants et même un support technique dédié, transformant ainsi la cybercriminalité en un véritable service par abonnement.
Cette commercialisation du phishing a considérablement démocratisé la cybercriminalité. Les acteurs malveillants n'ont désormais plus besoin de compétences avancées en codage ni d'infrastructures complexes pour mener des campagnes d'envergure. Les barrières à l'entrée étant particulièrement faibles, de plus en plus d'individus se lancent dans cette activité, ce qui augmente mécaniquement le volume, la portée et la sophistication des attaques.
Ce changement de paradigme a des conséquences majeures pour la sécurité des entreprises. Les e-mails de phishing utilisent désormais des techniques d'évasion particulièrement sophistiquées, comme le HTML smuggling, les fichiers ZIP chiffrés ou encore des proxys inversés capables de contourner efficacement l'authentification multifacteur (MFA). Face à ces évolutions, les défenses traditionnelles s'avèrent largement insuffisantes.
Le phishing multicanal s'impose
L'un des constats les plus préoccupants du rapport concerne la montée en puissance du phishing multicanal. Les campagnes malveillantes ne se limitent désormais plus aux seuls e-mails, elles s'étendent aux SMS, aux appels téléphoniques et aux applications de messagerie. Les attaquants se font passer pour des équipes informatiques ou des partenaires de confiance. Ils exploitent des domaines usurpés, des pages de connexion clonées et des serveurs mandataires AiTM (adversary-in-the-middle) pour intercepter les identifiants en temps réel.
La sophistication remarquable de ces attaques est due, notamment, à l'usage répandu de kits PhaaS, qui offrent des outils particulièrement aboutis. Par exemple, des plateformes comme Evilginx ou Tycoon fournissent des tableaux de bord intuitifs et des guides détaillés permettant de cibler précisément des secteurs, des fonctions ou des individus spécifiques, un niveau de précision autrefois exclusivement réservé à des acteurs étatiques.
Les cybercriminels exploitent également les réseaux sociaux en temps réel pour optimiser la synchronisation de leurs attaques. Ils créent, par exemple, des profils de faux recruteurs sur LinkedIn, des CV générés par intelligence artificielle et envoient des messages parfaitement ciblés et adaptés à des promotions ou à des changements de poste. C’est devenu monnaie courante.
Ces attaques sophistiquées ne se contentent plus de compromettre un simple e-mail : leur objectif est désormais d’établir un accès persistant au système d’information. Une fois infiltrés, les attaquants se déplacent latéralement avec discrétion, exfiltrent des volumes importants de données sensibles ou déploient d’autres malwares. Ils mettent en place des règles de transfert automatiques, enregistrent de nouveaux postes de travail ou modifient les paramètres d’authentification multifacteur (MFA), afin de consolider et prolonger leur présence dans l’environnement cible.
Le risque dépasse largement le seul service informatique. Les dirigeants, équipes financières et services RH sont particulièrement visés en raison de leur accès privilégié à des données sensibles et de leur autorité décisionnelle sur les transactions critiques. Cette situation change la donne : les entreprises doivent repenser leur approche du phishing.
Repenser la résilience des entreprises
Pour contrer cette professionnalisation, les entreprises doivent impérativement adopter une posture défensive plus mature. Cela commence par la mise en place systématique de MFA résistants au phishing, comme les jetons physiques ou l'authentification basée sur des certificats, qui complique très sensiblement les attaques AiTM.
La formation à la cybersécurité ne doit absolument plus se limiter à un simple rappel annuel : elle doit devenir continue, parfaitement ciblée et profondément ancrée dans les pratiques quotidiennes. Des campagnes de simulation ciblées selon les menaces actuelles améliorent la détection et la réaction face aux attaques.
Les investissements technologiques s'avèrent tout aussi essentiels dans cette démarche. Les outils de détection et de réponse sur les postes de travail (EDR), les solutions de sécurité e-mail cloud-native et les analyses comportementales en temps réel permettent de repérer efficacement et de stopper rapidement les attaques les plus sophistiquées.
Les entreprises doivent également revoir fondamentalement leur capacité à réagir promptement aux incidents. Les attaques de phishing modernes s'étendent souvent sur plusieurs jours ou semaines. La détection en temps réel de règles d'e-mail inhabituelles, de mouvements latéraux suspects ou de connexions anormales d'appareils devient un prérequis absolu.
Mais la réponse ne peut en aucun cas être uniquement technologique. L'implication directe des dirigeants s'avère cruciale dans cette démarche. À mesure que le phishing devient un risque véritablement systémique, la résilience ne peut définitivement plus être déléguée à la seule DSI. Les comités de direction doivent impérativement comprendre les enjeux réels et allouer les ressources nécessaires.
Une véritable course aux armements
La marchandisation accélérée du phishing redéfinit profondément l'économie de la cybercriminalité. Avec des coûts d'entrée particulièrement faibles et des rendements potentiellement élevés, ce modèle attire inexorablement toujours plus d'acteurs malveillants. Les défenseurs, quant à eux, doivent composer avec une pression constamment croissante qui exige impérativement une stratégie équilibrée mêlant technologie, formation continue et gouvernance rigoureuse.
Le phishing ne doit plus être perçu comme une menace ponctuelle, mais comme un défi permanent et évolutif. Il s'agit désormais d'un secteur parfaitement structuré, rapide, entièrement automatisé et fondé sur l'exploitation systématique des failles humaines.
Face à des attaquants toujours plus organisés, les entreprises doivent adopter des systèmes de sécurité adaptatifs, pilotés par une bonne compréhension des menaces. Tout relâchement constitue une invitation directe à la compromission.
Lisez l’intégralité du rapport ici