Le phishing ne se combat pas avec une seule arme
91 % des cyberattaques commencent par un email de phishing (source : Deloitte). Face à ce constat, beaucoup de PME réagissent en déployant un antispam. C'est un bon début, mais c'est insuffisant.
Le phishing moderne est multi-vecteurs. L'email n'est que le point d'entrée. Le lien malveillant, le site frauduleux, le comportement de l'utilisateur : chaque étape de l'attaque nécessite une couche de défense spécifique. Retirer une seule de ces couches, et l'édifice s'effondre.
Comment fonctionne une attaque de phishing en 2024
Avant de parler solutions, comprenons le déroulement d'une attaque type :
- L'email arrive : il imite un fournisseur connu, Microsoft 365, ou même un collègue dont le compte a été compromis
- Le collaborateur clique : le lien mène vers un site qui reproduit parfaitement la page de connexion légitime
- Les identifiants sont volés : l'utilisateur entre son login et mot de passe, pensant se connecter normalement
- L'attaquant exploite : avec ces identifiants, il accède aux emails, aux fichiers, voire lance un ransomware
Chaque étape est un point d'interception possible. Chaque couche de défense bloque une étape différente.
Couche 1 : L'antispam, le premier filtre
Ce qu'il bloque
Un antispam professionnel analyse chaque email entrant avant qu'il n'atteigne la boîte de réception :
- Emails de masse frauduleux : les campagnes de phishing envoyées à des milliers d'adresses
- Pièces jointes malveillantes : fichiers Office vérolés, PDF piégés, exécutables déguisés
- Usurpation d'identité (spoofing) : emails qui prétendent venir de votre banque ou d'un fournisseur
- Liens connus malveillants : URLs déjà répertoriées dans les bases de menaces
Ce qui passe au travers
Même le meilleur antispam laisse passer certaines attaques :
- Le spear phishing : emails ultra-ciblés, rédigés spécifiquement pour votre entreprise, sans les marqueurs habituels du spam
- Les comptes compromis : un email de phishing envoyé depuis le vrai compte M365 d'un partenaire passe les vérifications SPF, DKIM et DMARC
- Les liens vers des sites légitimes détournés : Google Docs, SharePoint, Dropbox utilisés comme vecteurs
- Les attaques zero-day : nouveaux domaines malveillants pas encore référencés
Taux de blocage typique : 95 à 99 % des menaces connues.
Les 1 à 5 % restants sont les plus dangereux, car ce sont les attaques les plus sophistiquées.
Couche 2 : Le filtrage DNS, le filet de sécurité
Ce qu'il bloque
Le filtrage DNS intervient au moment critique : quand un utilisateur clique sur un lien malveillant. Au lieu de résoudre l'adresse du site frauduleux, le filtre DNS bloque la connexion :
- Sites de phishing : pages imitant Microsoft, Google, banques, fournisseurs
- Domaines malveillants : serveurs de commande et contrôle (C2) de malwares
- Sites de téléchargement de malware : pages qui déclenchent le téléchargement automatique de logiciels malveillants
- Typosquatting : domaines qui ressemblent à des sites légitimes (miicrosoft.com, goggle.com)
Ce qui passe au travers sans filtrage DNS
Sans filtrage DNS, un seul clic suffit. L'utilisateur qui clique sur un lien dans un email qui a échappé à l'antispam arrive directement sur le site de l'attaquant. Pas de deuxième chance.
Le filtrage DNS est particulièrement efficace contre les attaques qui utilisent des domaines nouvellement créés. Ces domaines n'ont pas encore eu le temps d'être référencés par les antispam, mais les filtres DNS basés sur la réputation les bloquent dès les premières heures.
Nombre de menaces DNS bloquées typique : 300 à 1 000 tentatives par mois pour une PME de 30 personnes, dont une grande partie provient de publicités malveillantes et de redirections involontaires.
Votre PME est-elle protégée sur les 3 couches ?
Notre audit gratuit teste votre protection email, DNS et le niveau de sensibilisation de vos équipes. Résultat en 48h.
Demander un audit anti-phishing completCouche 3 : La formation, le dernier rempart humain
Ce qu'elle bloque
La formation et les campagnes de phishing simulé transforment vos collaborateurs en capteurs de menace :
- Le doute réflexe : un collaborateur formé hésite avant de cliquer, vérifie l'expéditeur, survole le lien
- Le signalement : au lieu de cliquer ou d'ignorer, le collaborateur signale l'email suspect au service IT
- La résistance au stress : les attaques de phishing jouent sur l'urgence ("votre compte va être bloqué"). La formation apprend à ne pas céder à la pression
Ce qui se passe sans formation
Sans formation, même avec un antispam et un filtrage DNS parfaits, vos collaborateurs restent vulnérables :
- Ils transmettent des informations sensibles par téléphone à un faux support technique
- Ils contournent les protections ("je vais ouvrir le fichier sur mon téléphone personnel")
- Ils ne signalent pas les emails suspects par peur de "déranger" ou par honte
Réduction du taux de clic mesurée : après 6 mois de campagnes régulières, le taux de clic sur les phishings simulés passe en moyenne de 30 % à moins de 5 %.
Un scénario réel : l'attaque bloquée à chaque couche
Voici une attaque réelle arrêtée par une PME cliente de Dhala, protégée sur les 3 couches :
Lundi 9h : Un attaquant envoie 200 emails de phishing imitant une notification SharePoint. L'antispam en bloque 194. 6 emails passent.
Lundi 9h15 : 3 collaborateurs cliquent sur le lien. Le filtrage DNS bloque la connexion vers le faux site Microsoft. Les 3 sont protégés.
Lundi 9h20 : L'attaquant change de domaine. Un 4e collaborateur clique et le nouveau domaine n'est pas encore dans la base DNS. Il arrive sur le faux site.
Lundi 9h21 : Le collaborateur, formé depuis 4 mois, reconnaît les signes : URL étrange, certificat suspect, demande de mot de passe inhabituelle. Il ferme l'onglet et signale l'email.
Résultat : 200 tentatives, 0 compromission. Chaque couche a joué son rôle.
La couverture combinée : pourquoi 99,9 % n'est pas 100 %
| Menace | Antispam seul | + Filtrage DNS | + Formation |
|---|---|---|---|
| Phishing de masse | Bloqué (99%) | Bloqué | Bloqué |
| Spear phishing | Passe parfois | Bloqué au clic | Détecté par l'humain |
| Compte compromis | Passe | Bloqué au clic | Détecté par l'humain |
| Site zero-day | Passe | Passe parfois | Détecté par l'humain |
| Phishing vocal/SMS | Non couvert | Non couvert | Détecté par l'humain |
Avec une seule couche, vous laissez des brèches exploitables. Avec les 3 couches, chaque faille d'une couche est couverte par les deux autres.
Le bundle anti-phishing Dhala
Chez Dhala Cyberdéfense, nous déployons les 3 couches de manière intégrée :
- Antispam professionnel : filtrage avancé avec IA, sandboxing des pièces jointes, protection contre l'usurpation d'identité
- Protection DNS : filtrage en temps réel de tous les accès web, blocage des domaines malveillants, reporting détaillé
- Campagnes de phishing simulé : simulations mensuelles, micro-formations automatisées, tableau de bord de progression
Le tout supervisé par notre SOC, avec une visibilité unifiée sur les 3 couches. Un seul tableau de bord, un seul interlocuteur.
Déployez les 3 couches anti-phishing en 2 semaines
Audit gratuit, déploiement rapide, résultats mesurables dès le premier mois. Protégez votre PME avant la prochaine attaque.
Demander mon audit anti-phishing gratuit
