74% des PME victimes de phishing subissent une compromission de compte
En 2025, le phishing reste le vecteur d'attaque n°1 contre les PME. Et les campagnes les plus dangereuses ciblent directement vos pages de connexion Microsoft 365 via des faux sites ADFS.
Le scénario : votre comptable reçoit un email "Mise à jour de sécurité requise" avec le logo Microsoft. Elle clique, saisit son mot de passe et son code MFA sur une page parfaitement imitée. En 30 secondes, le hacker a accès à son email, son OneDrive, et tous les fichiers partagés de l'entreprise.
Ce n'est pas de la science-fiction. Nous le voyons chaque semaine chez les PME qui nous contactent après une compromission.
Comment fonctionne le phishing ADFS
L'attaque en 4 étapes
- L'email piège : votre collaborateur reçoit un email imitant Microsoft, l'URSSAF, DocuSign ou votre propre service IT. L'email demande de se connecter "pour une mise à jour de sécurité"
- La fausse page de connexion : le lien mène vers un site identique à votre page ADFS/Entra ID. L'URL est proche (microsft-login.com, m365-auth.net...)
- Capture en temps réel : le collaborateur saisit son mot de passe ET son code MFA. Le site pirate transmet les identifiants en temps réel à Microsoft pour se connecter à sa place
- Accès total : le hacker est connecté au compte. Il lit les emails, télécharge les fichiers, envoie des emails en se faisant passer pour le collaborateur
Pourquoi le MFA classique ne suffit pas
La plupart des PME pensent être protégées parce qu'elles ont activé le MFA. C'est faux. Les attaques ADFS modernes utilisent des proxys temps réel (EvilGinx, Modlishka) qui capturent le code MFA au moment où il est saisi et l'utilisent instantanément.
| Type de MFA | Résistant au phishing ADFS ? |
|---|---|
| Code SMS | Non — capturé par le proxy |
| Code TOTP (Authenticator) | Non — capturé par le proxy |
| Notification push | Partiellement — fatigue de l'utilisateur |
| Clé FIDO2 (YubiKey) | Oui — liée au domaine, impossible à proxyer |
| Windows Hello | Oui — biométrie liée à l'appareil |
| Passkey | Oui — authentification sans mot de passe |
Ce que ça coûte quand ça arrive
Scénario réel : fraude au virement après phishing
Un cabinet de conseil parisien de 15 personnes. La directrice administrative reçoit un phishing ADFS. Son compte est compromis. Le hacker :
- Lit les emails pendant 3 semaines (sans se manifester)
- Identifie un gros virement en préparation (facture fournisseur de 45 000€)
- Envoie un email depuis le compte de la DA au service comptabilité : "Le fournisseur a changé de RIB, voici le nouveau"
- 45 000€ virés sur un compte à l'étranger. Irrécupérables.
Coût total : 45 000€ de virement frauduleux + 8 000€ de remédiation IT + 3 semaines de perturbation. Et la réputation auprès du fournisseur.
Les coûts cachés d'une compromission
| Coût | Montant estimé (PME 10-50 postes) |
|---|---|
| Remédiation technique | 5 000 - 15 000€ |
| Fraude au virement | 10 000 - 100 000€ |
| Notification CNIL + patients/clients | 2 000 - 5 000€ |
| Perte de productivité | 5 000 - 20 000€ |
| Perte de réputation | Incalculable |
| Total | 22 000 - 140 000€ |
L'offre anti-phishing complète de Dhala
Chez Dhala, nous ne déployons pas "un outil". Nous mettons en place 4 couches de protection qui se complètent :
Couche 1 — Empêcher les emails de phishing d'arriver
Notre solution antispam filtre les emails avant qu'ils n'atteignent vos collaborateurs. Les liens et pièces jointes sont analysés en sandbox. Les emails imitant Microsoft, l'URSSAF ou vos partenaires sont interceptés.
Couche 2 — Rendre le phishing inutile (MFA résistant)
Nous déployons des politiques d'accès conditionnel Entra ID qui imposent :
- MFA résistant au phishing (FIDO2, Windows Hello) pour les comptes sensibles
- Blocage des connexions depuis des pays ou appareils non autorisés
- Impossible de se connecter sans un appareil conforme (géré par Intune)
Couche 3 — Détecter les compromissions en temps réel
Notre SOC 24/7 surveille les connexions suspectes sur vos comptes Microsoft 365 :
- Connexion depuis un pays inhabituel → alerte + blocage automatique
- Règles de transfert d'email créées → alerte immédiate
- Téléchargement massif de fichiers → isolation du compte
Couche 4 — Entraîner vos équipes
Nos campagnes de simulation de phishing testent régulièrement vos collaborateurs avec des scénarios réalistes (faux email Microsoft, faux DocuSign, faux URSSAF). Après 3 campagnes :
| Métrique | Avant Dhala | Après 3 campagnes |
|---|---|---|
| Taux de clic sur phishing | 25-35% | < 5% |
| Signalement de l'email suspect | < 10% | > 60% |
| Temps de signalement | Jamais | < 2 minutes |
Tarification
Toute la stack anti-phishing est incluse dans notre offre Cyber Sérénité à 44€/poste/mois. Pour une PME de 20 postes : 880€/mois — soit le coût d'un seul virement frauduleux évité.
Checklist anti-phishing pour votre PME
- MFA résistant au phishing déployé sur tous les comptes (FIDO2 ou Windows Hello)
- Accès conditionnel configuré (blocage pays, appareils non conformes)
- Antispam avancé avec analyse sandbox des liens et pièces jointes
- SOC/surveillance des connexions suspectes sur Microsoft 365
- Formation anti-phishing des collaborateurs (au moins trimestrielle)
- Politique de virement : double validation pour tout changement de RIB
- Alertes configurées pour les règles de transfert d'email et les connexions impossibles
Pour aller plus loin : découvrez notre guide technique sur l'accès conditionnel Entra ID et notre page campagne de phishing simulée.
