Le phishing — ou hameçonnage — est l’attaque la plus banale et, en même temps, la porte d’entrée la plus fréquente des incidents graves. Un seul clic d’un seul employé suffit souvent à donner à un attaquant le pied dans la porte qui mènera à une fuite de données, une fraude au virement ou un ransomware. Au Maroc comme ailleurs, ce n’est pas un problème individuel : c’est un risque de sécurité d’entreprise. Ce guide explique comment reconnaître une tentative, que faire si vous êtes tombé dedans, et comment une organisation réduit réellement ce risque — au-delà de l’affiche de sensibilisation.
Qu’est-ce que le phishing (hameçonnage) ?
En une phrase : le phishing est une technique d’ingénierie sociale où un attaquant se fait passer pour un tiers de confiance — banque, fournisseur, collègue, administration — pour vous pousser à divulguer une information (identifiants, données bancaires) ou à exécuter une action (cliquer un lien, ouvrir une pièce jointe, valider un paiement).
L’attaque ne vise pas une faille technique : elle vise la personne. C’est ce qui la rend à la fois si répandue et si difficile à bloquer par la seule technologie. Le terme « hameçonnage » est l’exact équivalent français de phishing — l’image est la même : un appât crédible, un hameçon caché.
Quels sont les différents types de phishing ?
Réponse directe : le principe est unique — usurper la confiance — mais les canaux et les cibles varient.
- Phishing de masse. Le courriel générique envoyé à des milliers d’adresses, misant sur le volume.
- Spear phishing (harponnage). Un message ciblé et personnalisé, qui cite votre nom, votre fonction ou un dossier réel pour gagner en crédibilité.
- Whaling. Le spear phishing visant un dirigeant — la « grosse prise ».
- Smishing. Le phishing par SMS : un faux message de livraison, de banque ou d’administration avec un lien.
- Vishing. Le phishing par téléphone (voix), où l’attaquant se fait passer pour le support informatique ou la banque.
- Fraude au président (BEC). La compromission ou l’usurpation d’une messagerie d’entreprise pour ordonner un virement urgent au nom d’un dirigeant — l’une des fraudes les plus coûteuses pour les entreprises marocaines.
- Quishing. Le phishing par QR code, qui contourne les filtres en cachant le lien dans une image.
Comment reconnaître un email de phishing ? Les signaux
Réponse directe : aucun signal n’est décisif à lui seul, mais leur accumulation l’est.
Les signaux les plus fiables :
- Une adresse d’expéditeur qui ne correspond pas au nom affiché, ou un domaine presque juste (une lettre changée, un « .com » devenu autre chose).
- Un sentiment d’urgence ou de menace : compte bloqué, sanction, dernier délai — pour vous faire agir avant de réfléchir.
- Un lien dont la destination réelle diffère du texte affiché (survolez-le, sans cliquer, pour voir l’URL).
- Une demande d’identifiants, de paiement ou de données sensibles par message — une institution légitime ne procède pas ainsi.
- Une pièce jointe inattendue, surtout un document qui demande d’« activer les macros ».
- Une salutation générique, des tournures inhabituelles, ou un ton qui ne ressemble pas à l’expéditeur supposé.
En cas de doute sur un message professionnel, la règle d’or est la vérification par un autre canal : appelez la personne ou l’institution sur un numéro connu, jamais celui fourni dans le message.
Que faire en cas de phishing ?
Réponse directe : cela dépend de ce que vous avez fait — reçu, cliqué, ou saisi vos informations.
- Vous avez reçu le message sans cliquer. Ne cliquez pas, ne répondez pas. Signalez-le (à votre équipe de sécurité en entreprise, à l’institution usurpée), puis supprimez-le.
- Vous avez cliqué ou saisi vos identifiants. Agissez vite : changez immédiatement le mot de passe concerné — et tout autre compte qui partageait le même —, activez l’authentification multifacteur (MFA), et prévenez votre service informatique ou votre banque. Surveillez les connexions et opérations suspectes.
- C’est arrivé sur un poste professionnel. Prévenez sans délai votre équipe de sécurité : un identifiant volé est souvent le premier maillon d’une attaque plus large. Mieux vaut un signalement de trop qu’un accès laissé ouvert.
Ne cachez jamais un clic malheureux par gêne. Le temps entre le clic et le signalement est exactement la fenêtre dont l’attaquant a besoin.
Comment se protéger du phishing en entreprise ?
Réponse directe : une organisation réduit ce risque par une combinaison de mesures humaines et techniques — aucune seule ne suffit.
- Authentification multifacteur (MFA) partout. Même un mot de passe volé devient beaucoup moins exploitable. C’est la mesure au meilleur rapport effet/effort.
- Anti-usurpation du courriel. SPF, DKIM et DMARC correctement configurés empêchent une partie des messages qui se font passer pour votre domaine.
- Filtrage et détection. Passerelle de messagerie qui bloque les liens et pièces jointes malveillants en amont.
- Vérification hors canal des paiements. Toute demande de virement ou de changement de coordonnées bancaires confirmée par un canal connu — la parade directe à la fraude au président.
- Sensibilisation continue des employés. Pas une affiche une fois par an, mais une pratique régulière qui apprend à reconnaître et à signaler.
- Simulations de phishing. Des campagnes simulées, sans piège humiliant, qui mesurent le taux de clic réel et transforment la sensibilisation en réflexe — l’écart entre « nous avons formé les équipes » et « nous savons comment elles réagissent vraiment ».
- Une procédure de signalement simple. Un bouton ou une adresse pour signaler en un geste : plus c’est simple, plus les équipes signalent tôt.
Le phishing n’est pas un problème individuel, c’est un risque d’entreprise
Le clic d’un employé n’est pas une faute morale : c’est un événement de sécurité prévisible qu’il faut concevoir pour absorber. Le phishing est le premier vecteur d’accès initial des attaques sérieuses — il précède la plupart des incidents de ransomware et porte la fraude au président qui coûte cher aux entreprises marocaines. C’est pourquoi la bonne question n’est pas « nos employés sont-ils assez prudents ? » mais « que se passe-t-il, concrètement, quand l’un d’eux clique ? ». Une organisation résiliente part du principe que quelqu’un cliquera, et fait en sorte que ce clic ne suffise pas — par la MFA, la segmentation, la détection et un signalement rapide.
Sensibilisation et simulations de phishing : ce que nous apportons
Mesurer la réaction réelle de vos équipes vaut mieux que supposer leur vigilance. Dans le cadre d’une mission de red teaming et de simulation d’attaque, nous intégrons l’ingénierie sociale — y compris des campagnes de phishing simulées, sous règles d’engagement strictes — pour révéler comment une attaque réaliste se propagerait depuis un premier clic, et où votre détection et votre réponse tiennent ou cèdent. Une évaluation de sécurité plus large situe le phishing dans l’ensemble de votre exposition, et un conseil GRC aide à inscrire la sensibilisation dans une gouvernance durable plutôt qu’un événement ponctuel. Chaque mission est menée par des praticiens seniors et se conclut par des preuves et un plan d’action — pas un rapport d’alarme.
Le contexte marocain : à qui signaler un phishing ?
Au Maroc, les administrations, organismes publics et infrastructures d’importance vitale sont invités par le maCERT — l’équipe nationale de réponse aux incidents, rattachée à la DGSSI — à signaler tout incident, dont le phishing, à l’adresse incident@macert.gov.ma. Si des données personnelles sont compromises, la loi 09-08 et la CNDP peuvent imposer des obligations distinctes, et la loi 05-20 encadre les entités concernées. Pour une entreprise privée, la première démarche reste interne — équipe de sécurité, direction — et auprès de l’institution usurpée (votre banque, par exemple). Nous ne fournissons pas de conseil juridique : l’étendue exacte de vos obligations relève de votre conseil.
Par où commencer
Si vous voulez savoir comment vos équipes réagiraient réellement à une attaque — et où un premier clic mènerait dans votre système d’information —, une mission de red teaming ou une évaluation de sécurité cadrée vous donne une réponse mesurée, pas une supposition.
Demander un échange de cadrage · Voir le red teaming
Questions fréquentes
Qu’est-ce que le phishing ?
Une technique d’ingénierie sociale où un attaquant se fait passer pour un tiers de confiance afin de vous pousser à divulguer des informations (identifiants, données bancaires) ou à exécuter une action (cliquer, payer, ouvrir une pièce jointe). Le mot français est « hameçonnage ».
Comment reconnaître un email de phishing ?
Par l’accumulation de signaux : adresse d’expéditeur qui ne correspond pas, urgence ou menace, lien dont la destination diffère du texte affiché, demande d’identifiants ou de paiement, pièce jointe inattendue, salutation générique. En cas de doute professionnel, vérifiez par un autre canal connu.
Que faire si j’ai cliqué sur un lien de phishing ?
Changez immédiatement le mot de passe concerné et ceux qui le partageaient, activez l’authentification multifacteur, et prévenez votre service informatique ou votre banque. S’il s’agit d’un poste professionnel, signalez-le sans délai à votre équipe de sécurité — un identifiant volé est souvent le premier maillon d’une attaque plus large.
Quels sont les principaux types de phishing ?
Le phishing de masse vise large par courriel ; le spear phishing est un message ciblé et personnalisé ; le smishing est un phishing par SMS. Les variantes incluent le vishing (par téléphone), le whaling (visant un dirigeant) et la fraude au président (BEC).
Comment protéger mon entreprise contre le phishing ?
Par plusieurs couches : MFA partout, anti-usurpation du courriel (SPF, DKIM, DMARC), filtrage des messages, vérification hors canal des paiements, sensibilisation continue, simulations de phishing et une procédure de signalement simple. La technologie seule ne suffit pas ; l’humain et la détection complètent le dispositif.
Qu’est-ce que la fraude au président (BEC) ?
Une attaque où l’on usurpe ou compromet une messagerie d’entreprise pour ordonner un virement urgent au nom d’un dirigeant. La parade la plus efficace est la vérification systématique de toute demande de paiement ou de changement de coordonnées bancaires par un canal connu.
À qui signaler un phishing au Maroc ?
Les administrations, organismes publics et infrastructures d’importance vitale peuvent signaler les incidents, dont le phishing, au maCERT (rattaché à la DGSSI) à incident@macert.gov.ma. Une entreprise privée signale d’abord en interne et à l’institution usurpée ; en cas de données personnelles compromises, des obligations CNDP peuvent s’appliquer — à valider avec votre conseil.
Services associés
- Red teaming et simulation d’attaque — l’ingénierie sociale et les campagnes de phishing simulées, pour mesurer la réaction réelle de vos équipes.
- Évaluations de sécurité — situer le phishing dans l’ensemble de votre exposition.
- Test d’intrusion (pentest) — vérifier où mènerait un premier accès obtenu par hameçonnage.
- Conseil GRC et conformité — inscrire la sensibilisation dans une gouvernance durable.
À lire aussi : Ransomware au Maroc : que faire et comment s’en protéger. Vous opérez au Maroc ? Découvrez comment nous travaillons : Cybersécurité au Maroc.