Contact
En 2025, le phishing s’impose comme une menace redoutablement diversifiée et sophistiquée, exploitant désormais plusieurs canaux tels que les SMS, les réseaux sociaux ou encore les appels vidéo truqués. Cette évolution s’accompagne d’une personnalisation poussée des attaques grâce à l’intelligence artificielle générative, rendant les messages faciles à confondre avec des communications légitimes. Les petites et moyennes entreprises, souvent moins équipées en cybersécurité, deviennent des cibles privilégiées, amplifiant leurs risques financiers et réputationnels. Identifier les signaux d’alerte s’avère crucial, tout comme déployer des stratégies de prévention adaptées et intégrer des technologies avancées capables de neutraliser ces tentatives en temps réel.

Nouvelles menaces de phishing en 2025 : détection et protection avancées

Le phishing en 2025 : une menace multi-canal, sophistiquée et personnalisée

En 2025, le phishing dépasse largement le cadre du simple e-mail et s’étend sur des canaux variés tels que le SMS (smishing), les appels téléphoniques (vishing), les réseaux sociaux, les appels vidéo truqués et même les QR codes. Cette diversification complique fortement la détection des attaques.

L’utilisation généralisée de l’intelligence artificielle générative permet aux cybercriminels de créer des messages ultra-personnalisés, parfaitement adaptés au profil de leur cible grâce à l’analyse des habitudes numériques et des informations publiques sur les réseaux sociaux. Ces messages, d’une grande finesse, deviennent ainsi indétectables à première vue.

Manipulation psychologique et deepfakes : nouveaux leviers d’attaque

Les attaques exploitent intensément la psychologie humaine en s’appuyant sur la confiance, la pression temporelle (urgence) et le stress pour désarmer même des utilisateurs expérimentés.

La sophistication des deepfakes vocaux et vidéo permet de reproduire fidèlement la voix ou l’image d’une personne connue, rendant ces tentatives d’hameçonnage vocal ou vidéo d’une crédibilité redoutable.

Spear phishing et thread hijacking : ciblage précis des cadres et des départements sensibles

Le spear phishing, qui cible en priorité les cadres et dirigeants, repose sur des informations très précises contextualisées pour contourner la vigilance.

Parallèlement, le thread hijacking exploite des comptes compromis réels pour s’intégrer dans des conversations email légitimes, visant particulièrement les services finance, juridique et ressources humaines, et ainsi contourner aussi bien les filtres que les mécanismes psychologiques de défense (1)(2).

La vulnérabilité accrue des PME face au phishing en 2025

Les PME restent la cible principale en 2025, représentant plus de 60 % des attaques de phishing. Elles sont particulièrement vulnérables en raison de ressources humaines et financières limitées pour déployer des dispositifs cyber efficaces, avec souvent l’absence de DSI dédiés et des protocoles de sécurité insuffisants.

De plus, leur rôle dans les chaînes d’approvisionnement en fait des points d’entrée de choix pour atteindre des organisations plus grandes, exacerbant ainsi leur exposition.

Manque de politique et conséquences lourdes

Un déficit de politique de sécurité formelle, l’absence de référent cybersécurité et une formation insuffisante adaptée aux différents rôles démultiplient la vulnérabilité des PME.

Les conséquences d’une seule attaque peuvent se traduire par des pertes financières importantes, des vols de données stratégiques et des atteintes graves à la réputation commerciale, mettant en péril leur pérennité économique (2)(3).

Les signaux d’alerte pour reconnaître les attaques de phishing modernes

Reconnaître un phishing en 2025 nécessite une vigilance accrue sur plusieurs signaux :

  • Analyse minutieuse de l’expéditeur pour détecter incohérences ou usurpations d’identité, même lorsque le message semble provenir d’un contact connu ou d’un compte compromis (thread hijacking).
  • Absence de liens directs, petites erreurs subtiles de syntaxe, incohérences dans le contenu et sollicitations émotionnelles telles que la menace, l’urgence ou une opportunité exceptionnelle.
  • Double vérification des demandes sensibles via un canal alternatif comme un appel téléphonique ou un contact en personne pour contrer les fraudes basées sur l’ingénierie sociale.
  • Attention particulière à la technique dite « MFA fatigue » qui vise à épuiser l’utilisateur avec des demandes d’authentification répétées, dans le but d’obtenir une validation par lassitude (4).

Stratégies de prévention efficaces pour se protéger du phishing en entreprise

La prévention reste la meilleure défense contre les attaques de phishing :

  • Former régulièrement les collaborateurs avec des simulations réalistes, adaptées aux profils et aux responsabilités, afin d’affûter leur capacité à identifier les tentatives d’hameçonnage.
  • Mettre en œuvre des solutions techniques robustes : filtres anti-spam et anti-phishing constamment mis à jour, authentification multifactorielle renforcée (2FA améliorée), chiffrement systématique des emails et gestion rigoureuse des mots de passe.
  • Établir des protocoles stricts de validation pour toutes demandes urgentes ou sensibles, incluant une double vérification, afin de limiter les décisions précipitées exploitables par les cybercriminels.
  • Évaluer continuellement les risques liés aux tiers et sous-traitants, en incluant les exigences cybersécurité dans la chaîne d’approvisionnement pour réduire les vecteurs d’intrusion indirects.

Les entreprises pourront ainsi construire une résilience opérationnelle solide face à ces menaces très évolutives (1)(3).

Schéma multicanal de phishing illustrant les différentes techniques d'attaque en 2025.
Schéma multicanal de phishing illustrant les différentes techniques d'attaque en 2025.

L’intégration de technologies avancées pour détecter et neutraliser le phishing en temps réel

L’intelligence artificielle intégrée dans les infrastructures IT révolutionne la détection. Ces systèmes analysent en temps réel liens, pièces jointes, anomalies syntaxiques, comportements utilisateurs et patterns inhabituels pour signaler les attaques sophistiquées.

Les solutions de sécurité intégrée associent chiffrement, authentification renforcée et filtrage avancé. Elles permettent de contrer efficacement les menaces multi-canal et évolutives, limitant ainsi drastiquement le risque de compromission.

Surveillance automatisée et plateformes personnalisées

Des outils automatisés détectent des menaces insidieuses telles que le thread hijacking ou les deepfakes vocaux/vidéos en croisant les données contextuelles et historiques des échanges.

Par ailleurs, des plateformes adaptatives mesurent en continu le niveau de sensibilisation des employés, personnalisent les formations selon les résultats et anticipent les évolutions des risques.

Alliance entre innovation technique et culture de cybersécurité

Une approche combinant innovations technologiques et renforcement d’une culture commune de cybersécurité optimise la capacité de l’organisation à s’adapter à l’évolution constante des attaques de phishing, renforçant ainsi la résilience globale (3)(4).

Pour aller plus loin, vous pouvez consulter notre dossier sur la sécurisation des infrastructures cloud en 2025, un élément clé pour protéger l’entreprise contre les intrusions diverses.

Sources

  • fcmicro.net - https://fcmicro.net/phishing-comment-reconnaitre-une-attaque
  • comdev.ch - https://comdev.ch/lexique-informatique/phishing-en-2025-les-nouvelles-arnaques-a-connaitre-pour-mieux-se-proteger
  • ava6.fr - https://www.ava6.fr/les-nouvelles-menaces-cyber-en-2025-comment-proteger-votre-entreprise
  • lucysecurity.com - https://lucysecurity.com/fr/top5-cybersecurity-threats-2025
Photo de Futuris
Informations sur l'auteur
Futuris
Curieuse insatiable, Maya Moreau scrute le futur de la technologie, de l’intelligence artificielle aux smart cities. Elle privilégie l'exploration des usages émergents et des grandes tendances, questionnant toujours l’impact sociétal et éthique de l’innovation. Son écriture se distingue par une vision prospective, une écoute active des acteurs de la tech et une touche poétique assumée.