Le phishing expliqué : reconnaître et déjouer la première porte d'entrée
Le phishing reste, de très loin, la première porte d'entrée des cyberattaques. Et il ne se limite plus au mail mal écrit : en 2026, il est boosté par l'IA, se cache dans des QR codes et passe par téléphone. Bonne nouvelle : quelques réflexes simples permettent d'en déjouer la grande majorité.
L'essentieldécideur Le phishing cherche à vous faire cliquer, saisir un mot de passe ou payer en exploitant l'urgence et la confiance — pas une faille technique, mais l'humain. Les variantes explosent : BEC (usurpation du dirigeant pour un virement), quishing (QR codes, +146 % en 2026), vishing (faux support par téléphone). La défense combine trois choses : des outils, des réflexes humains, et une MFA résistante au phishing.
Anatomie d'un mail piégé : les signaux à repérer
Quatre signaux : domaine qui imite, urgence émotionnelle, lien réel différent du texte, pièce jointe ou QR code pour échapper aux filtres.
Le phishing n'est plus un seul canal : c'est un portefeuille
Les formes du phishing en 2026 technique
Le phishing est devenu un portefeuille de techniques, pas un canal unique :
Spear phishing & BEC (Business Email Compromise) : message ciblé usurpant un dirigeant ou un fournisseur pour déclencher un virement ou détourner une facture. Souvent sans pièce jointe — donc invisible pour un antivirus.
Quishing : le lien malveillant est encodé dans un QR code (image), ce qui le rend invisible aux filtres mail classiques conçus pour analyser du texte. L'utilisateur scanne avec son téléphone perso → l'attaque sort du périmètre de l'entreprise. En forte hausse en 2026.
Vishing : appel téléphonique usurpant le support IT pour soutirer identifiants ou validation MFA. L'usurpation du helpdesk est devenue un pivot majeur.
Lures générés par IA : fini les fautes d'orthographe. Les messages sont désormais fluides, contextualisés, parfois personnalisés à partir d'infos publiques.
Les signaux qui trahissent
Sur le plan technique, vérifiez : domaine expéditeur (sosie type micr0soft.com), écart entre le texte du lien et l'URL réelle (survol), authentification mail (SPF/DKIM/DMARC), et toute urgence ou pression émotionnelle inhabituelle. Un QR code dans un mail pro doit déclencher la méfiance.
Aucun filtre n'arrête 100 % du phishing — surtout le quishing et le BEC sans pièce jointe. La détection technique réduit le volume ; c'est la vigilance humaine qui attrape le reste. Les deux sont nécessaires.
Que faire — avant et après
Avant : activez SPF/DKIM/DMARC, déployez une MFA résistante au phishing (voir le guide dédié), et sensibilisez par des simulations régulières.
Le réflexe : en cas de doute sur une demande (virement, identifiants), vérifiez par un autre canal (appel direct au vrai numéro connu). Ne jamais valider une MFA non sollicitée.
Après un clic : changez immédiatement le mot de passe concerné, révoquez les sessions actives, prévenez l'IT/le responsable sécurité, surveillez le compte.
Signalez : en France, les contenus malveillants peuvent être signalés (Signal Spam, Pharos selon le cas).