Phishing 2025 : nouvelles techniques & protection

Le phishing en chiffres : une menace grandissante

Selon l'ENISA (Agence européenne de cybersécurité), le phishing reste le vecteur d'attaque le plus utilisé en Europe. En 2025 :

91% des cyberattaques commencent par un email de phishing
Les pertes financières liées au phishing ont augmenté de 65% en Europe
Le Luxembourg a enregistré une hausse de 40% des signalements au CIRCL
Le coût moyen d'une attaque de phishing réussie est de 4,76 millions d'euros pour une entreprise

Les nouvelles techniques des cybercriminels

1. Le phishing assisté par IA

Les cybercriminels utilisent désormais l'intelligence artificielle pour générer des emails de phishing quasi parfaits. Fini les fautes d'orthographe évidentes : les messages sont rédigés dans un français impeccable, avec un ton professionnel adapté au contexte de l'entreprise ciblée.

Signe d'alerte : Un email parfaitement rédigé ne garantit plus sa légitimité. Vérifiez toujours l'adresse de l'expéditeur et les liens avant de cliquer.

2. Le « Quishing » — Phishing par QR code

Nouvelle tendance en 2025 : les attaquants envoient des emails contenant des QR codes malveillants. Le QR code redirige vers un faux site de connexion (Microsoft 365, banque, etc.). Cette technique contourne les filtres email classiques qui ne scannent pas les QR codes.

3. Le « Spear Phishing » hyper-ciblé

Contrairement au phishing de masse, le spear phishing vise une personne spécifique. Les attaquants étudient vos profils LinkedIn, votre organigramme et vos relations d'affaires pour créer un email sur mesure, par exemple en se faisant passer pour votre directeur financier.

4. Le « Smishing » — Phishing par SMS

Les SMS frauduleux se multiplient : faux colis, fausse alerte bancaire, faux message de l'administration luxembourgeoise. Le taux de clic sur les SMS est 3 à 5 fois supérieur à celui des emails, ce qui en fait un vecteur très efficace.

Les 7 réflexes anti-phishing essentiels

Vérifiez l'adresse email de l'expéditeur

Survolez le nom de l'expéditeur pour voir la vraie adresse. Un email de « Microsoft » venant de support@micr0soft-secure.xyz est frauduleux.

Ne cliquez jamais sous la pression

« Votre compte sera suspendu dans 2h » — c'est la technique classique. Une entreprise légitime ne vous menace jamais par email.

Survolez les liens AVANT de cliquer

Passez votre souris sur le lien pour voir l'URL réelle en bas de votre navigateur. Si l'URL ne correspond pas au site attendu, ne cliquez pas.

Méfiez-vous des pièces jointes inattendues

N'ouvrez jamais une pièce jointe que vous n'attendiez pas, surtout les fichiers .zip, .exe, .doc avec macros, ou .html.

Activez l'authentification à double facteur (2FA)

Même si vos identifiants sont volés, le 2FA empêche l'accès à vos comptes. Utilisez une app d'authentification (DUO, Microsoft Authenticator) plutôt que les SMS.

Signalez tout email suspect

Transférez les emails suspects à votre équipe IT. Au Luxembourg, vous pouvez aussi signaler au CIRCL via info@circl.lu.

Vérifiez par un autre canal

Si un email vous demande un virement ou un changement de coordonnées bancaires, appelez directement la personne par téléphone pour confirmer.

Comment IT-Secure protège votre entreprise

En tant que Sophos Gold Partner, IT-Secure déploie des solutions de protection email avancées qui filtrent les tentatives de phishing avant qu'elles n'atteignent vos collaborateurs :

Sophos Email Security — Analyse IA en temps réel de chaque email entrant
Sophos Intercept X — Protection endpoint contre les malwares délivrés par phishing
DUO 2FA — Authentification multi-facteur pour bloquer les accès même en cas de vol d'identifiants
Formation et sensibilisation — Campagnes de test de phishing pour entraîner vos équipes

Testez la résistance de votre équipe au phishing

IT-Secure propose des campagnes de simulation de phishing personnalisées pour évaluer et renforcer la vigilance de vos collaborateurs.

Demander un test de phishing