Quand une entreprise se fait piéger, ce n’est pas toujours par une faille technique spectaculaire. Très souvent, c’est par une action simple : un employé clique, saisit un mot de passe, valide une demande “urgente”, ou approuve une connexion. Et ce choix n’est pas le signe d’une “stupidité”. C’est le signe que l’attaque a été conçue pour exploiter une réalité : les humains travaillent sous pression, en multitâche, avec des outils qui normalisent l’urgence.
Le phishing interne n’est pas un sous-problème du phishing “grand public”. C’est une catégorie à part, parce qu’il vise des comptes qui ouvrent des portes : messagerie, SaaS, VPN, accès cloud, outils RH, facturation, support. Quand les attaques visent les employés plutôt que les clients, l’objectif n’est pas de voler une carte bancaire. L’objectif, c’est de prendre le contrôle de la machine.
Ce qui se passe vraiment : l’employé est un raccourci vers l’infrastructure
Les attaquants savent qu’ils n’ont pas besoin de casser un pare-feu si l’identifiant d’un employé leur donne accès au bon service. Une seule boîte mail compromise peut suffire à déclencher une chaîne : réinitialisations de mots de passe, récupération d’accès à d’autres comptes, usurpation interne crédible, fraude au virement, collecte de données, et rebond vers d’autres systèmes.
Le phishing interne est devenu plus efficace parce que la surface s’est déplacée : on travaille dans des navigateurs, des suites SaaS, des tickets, des workflows d’approbation, des liens de partage. Tout est “clickable”. Et tout ce qui est clickable est phishable.
Pourquoi les employés tombent : les attaques exploitent des réflexes professionnels
Les campagnes internes ne ressemblent pas forcément à un “colis bloqué”. Elles ressemblent souvent à :
- une demande de signature,
- une facture en attente,
- un document partagé,
- un message de “sécurité” qui simule le service IT,
- un changement de mot de passe “imposé”,
- ou une notification SaaS (Microsoft, Google, RH, CRM).
Le moteur, c’est la crédibilité contextuelle : logo, ton, vocabulaire, et surtout pression temporelle. L’attaquant ne vous bat pas techniquement, il vous bat cognitivement.
Tests de phishing : utiles, mais dangereux si vous les utilisez comme un piège
Les campagnes de test sont un outil de mesure et de progression. Mais elles détruisent la culture sécurité si elles servent à humilier, sanctionner, ou “prouver que les gens sont nuls”. À ce moment-là, vous obtenez exactement l’inverse de l’objectif : les employés cachent leurs erreurs, et une culture de silence remplace la remontée d’incidents.
Un test interne crédible doit mesurer quelque chose d’actionnable : quels scénarios trompent le plus ? quels départements reçoivent le plus de sollicitations externes ? quels patterns sont récurrents ? Et surtout : quelles protections manquent (MFA, durcissement mail, restrictions d’app, validation d’URL, alertes)?
La métrique qui compte n’est pas “taux de clic”. C’est le taux de signalement : combien de personnes remontent un email suspect, et à quelle vitesse.
Formation : la pédagogie qui marche n’est pas celle qui récite des règles
La formation efficace est celle qui colle au réel : montrer des exemples internes, expliquer les signes faibles (domaine, URL, demande anormale), et donner des réflexes simples. Un bon programme de formation ne dit pas “ne cliquez jamais”. Il dit : “quand c’est urgent, c’est précisément là que vous devez ralentir”.
La formation doit aussi clarifier les “règles de la maison” : qui peut demander quoi, par quel canal, et avec quelles vérifications. Sans règles organisationnelles, vous demandez aux employés d’être des analystes forensiques en plus de leur travail.
Culture sécurité : le levier le plus rentable
Une culture sécurité, ce n’est pas des posters. C’est une norme implicite : signaler sans honte, vérifier sans se justifier, et interrompre une action quand le doute apparaît.
Une entreprise mature fait comprendre que :
- le signalement rapide est valorisé,
- l’erreur est un incident à traiter, pas un crime,
- et la sécurité est un effort collectif, pas une obligation punitive.
Sans ça, même les meilleurs outils échouent, parce que l’organisation rend le phishing rentable.
Exigence : votre programme anti-phishing doit réduire le risque, pas augmenter le cynisme
Un dispositif sérieux combine trois couches : prévention (durcissement mail, MFA, contrôle des accès), entraînement (tests calibrés + feedback), et réaction (canal de signalement simple + réponse rapide). Si vous n’avez que des tests, vous jouez au théâtre. Si vous n’avez que des règles, vous créez du contournement. Si vous n’avez que de la tech, vous ignorez la variable humaine.
Le phishing interne n’est pas un problème de “sensibilisation”. C’est un problème de système : outils, processus, incitations. Et tant que vous ne traitez pas le système, l’attaquant continuera de viser les employés — parce que c’est là que le retour sur investissement est le meilleur.
