top of page
Rechercher

Hameçonnage vs Usurpation d’Identité : Ce Que Les Propriétaires d’Entreprise Doivent Savoir

Vous terminez une réunion productive un mardi après-midi et vous retournez à votre bureau. En chemin, vous croisez Brenda, du service de comptabilité. Vous lui rappelez le prochain match de baseball de l’entreprise, vous faites une petite blague sur la personne qui risque probablement de rater son coup en premier, puis vous poursuivez votre route vers votre bureau, de bonne humeur.


Lorsque vous vous asseyez, vous remarquez un nouveau courriel d’Anthony, le PDG de Printatronics, le fournisseur d’imprimantes de votre entreprise.


Le courriel semble normal. Anthony mentionne qu’ils sont enthousiastes à l’idée du prochain match de baseball, où leur équipe affrontera la vôtre. Il ajoute même un commentaire amical qui semble correspondre à la conversation que vous venez tout juste d’avoir dans le corridor.


Puis, le ton change.


Il mentionne qu’il y a un solde impayé au compte et demande si le paiement peut être accéléré avant la fin de la journée. Il indique également que leurs renseignements bancaires ont récemment été mis à jour et fournit les nouvelles informations de paiement.


Le courriel contient son nom, sa signature et ce qui semble être son adresse courriel professionnelle :


Tout semble légitime, alors vous approuvez le paiement.

Malheureusement, vous venez d’être victime d’hameçonnage et d’usurpation d’identité par courriel en même temps.


Mais comment?


Le courriel semblait personnel. Il mentionnait un vrai fournisseur. Il faisait référence à un véritable événement d’entreprise. Il semblait provenir d’une adresse courriel professionnelle réelle.


Alors, quel petit détail avez-vous manqué?


Lorsque vous avez cliqué sur « Répondre » pour confirmer les détails, l’adresse de destination a subtilement changé.


L’entreprise avec laquelle vous faites affaire est Printatronics. La réponse au courriel, elle, a été envoyée à printotronics.com.


Une seule lettre a tout changé. Cette petite différence a suffi pour faire paraître un faux courriel comme étant réel, créer un sentiment d’urgence et pousser quelqu’un à envoyer de l’argent au mauvais endroit. Voilà pourquoi il est important, pour chaque propriétaire d’entreprise, de comprendre la différence entre l’hameçonnage et l’usurpation d’identité par courriel.

Décomposons le tout.


Qu’est-ce que l’hameçonnage?

Pour comprendre comment la fausse demande de paiement s’est produite, il faut revenir quelques semaines en arrière.


Avant même que le courriel usurpé soit envoyé, Anthony, le PDG de Printatronics, a reçu un courriel provenant d’un expéditeur inconnu. Le message prétendait qu’un avis juridique avait été émis et que les détails étaient joints sous forme de document PDF.


Naturellement, cela a attiré son attention.


Lorsqu’Anthony a cliqué sur le document, celui-ci ne s’est pas ouvert immédiatement. À la place, on lui a demandé de se connecter avec son compte courriel professionnel pour consulter le fichier.


Comme le message semblait potentiellement important, il a entré son adresse courriel et son mot de passe.


Le fichier s’est ouvert, mais après l’avoir examiné, Anthony a réalisé qu’il ressemblait à un pourriel. Il a supprimé le courriel et a poursuivi sa journée.


Malheureusement, le mal était déjà fait.


Anthony ne s’était pas connecté à un véritable portail de documents. Il avait entré ses identifiants professionnels sur une fausse page de connexion contrôlée par un attaquant.


Cette seule action a donné à l’attaquant accès à son compte courriel.


Une fois à l’intérieur, l’attaquant pouvait discrètement examiner les conversations, étudier la façon dont Anthony communiquait, observer ses relations avec les fournisseurs, repérer les événements à venir et chercher des occasions financières.


Il pouvait voir avec qui Anthony échangeait, à quoi ressemblaient les factures, quels employés géraient les paiements et comment l’entreprise communiquait normalement avec ses clients et ses fournisseurs.


C’est là que l’hameçonnage devient bien plus qu’un simple faux courriel.


L’hameçonnage n’a pas toujours pour objectif de voler de l’argent immédiatement. Parfois, le premier objectif est de voler un accès. Une fois qu’un attaquant a accès à une boîte de réception, il peut utiliser cette information pour rendre la prochaine attaque beaucoup plus crédible.


Dans ce cas, l’attaquant a utilisé le compte compromis d’Anthony pour en apprendre davantage sur le match de baseball de l’entreprise, sur la relation avec votre entreprise et sur le bon moment pour envoyer une fausse demande de paiement.


C’est pourquoi le courriel du premier exemple semblait si réel.


Ce n’était pas une arnaque aléatoire préparée en quelques minutes. Elle a été construite à partir d’informations recueillies par l’attaquant après une tentative d’hameçonnage réussie.


C’est ce qui rend l’hameçonnage si dangereux pour les entreprises. Un employé peut croire qu’il a simplement ouvert un mauvais courriel, l’a supprimé, puis est passé à autre chose. Mais si des identifiants ont été saisis, l’attaquant détient peut-être déjà les clés du compte.


Le courriel d’hameçonnage est l’appât.


La fausse page de connexion est le piège.


Le mot de passe volé ouvre la porte.


Et une fois cette porte ouverte, l’attaquant peut commencer à chercher sa prochaine occasion.


Qu’est-ce que l’usurpation d’identité par courriel?

Une fois que l’attaquant a recueilli les renseignements dont il a besoin dans la boîte de réception d’Anthony, il fait face à un dernier défi : comment vous transmettre le piège sans éveiller les soupçons.


Il lui faut un déguisement. C’est là que l’usurpation d’identité par courriel entre en jeu.


L’usurpation d’identité par courriel se produit lorsqu’un attaquant falsifie l’en-tête d’un courriel afin que le message semble provenir directement d’une personne de confiance. Dans ce scénario, l’attaquant veut que le courriel entrant affiche l’adresse professionnelle exacte et légitime que vous vous attendez à voir :


Pour y arriver, l’attaquant vérifie les enregistrements publics de sécurité courriel de l’entreprise, plus précisément SPF, DKIM et DMARC. Ces protocoles d’authentification agissent comme des signatures numériques, aidant les systèmes de messagerie récepteurs à vérifier si un courriel provient réellement du domaine autorisé.


Si une entreprise laisse ces enregistrements de sécurité manquants, mal configurés ou non appliqués, l’attaquant trouve exactement ce qu’il cherche. Votre serveur de messagerie acceptera simplement l’identité falsifiée telle quelle et livrera le faux message directement dans votre boîte de réception, avec le vrai nom d’Anthony, sa signature et le domaine de l’entreprise.


Mais cela crée un problème majeur pour l’escroc : si vous répondez simplement à ce courriel, votre réponse sera acheminée vers le vrai Anthony, ce qui exposera immédiatement la fraude.


Pour contourner ce problème, l’attaquant utilise une deuxième couche de tromperie grâce à un paramètre caché appelé l’en-tête Reply-To.


Même si le courriel entrant prétend provenir du véritable domaine de l’entreprise, l’attaquant indique à votre logiciel de messagerie d’acheminer toute réponse subséquente vers un domaine similaire qu’il a acheté et qu’il contrôle :


La véritable entreprise est printatronics.com, mais la destination de réponse est printotronics.com.


Une seule lettre a été changée.


L’attaquant peut aussi modifier le nom affiché pour qu’il indique Anthony | Printatronics. Lorsque le courriel apparaît dans votre boîte de réception chargée, vous vous concentrez sur le nom familier et sur les détails exacts concernant le match de baseball. Lorsque vous cliquez sur « Répondre » pour confirmer les instructions de virement, votre client de messagerie remplace automatiquement la destination par le domaine similaire de l’attaquant.


À moins d’inspecter attentivement l’adresse dans votre brouillon de réponse actif, vous ne réaliserez jamais que vous n’êtes plus en train de parler au véritable fournisseur.


C’est ce qui rend l’usurpation d’identité combinée aux domaines similaires si dangereuse. Ce n’est pas une arnaque évidente remplie de mauvais français, d’anglais maladroit ou de liens aléatoires.

C’est un piège hautement personnalisé et techniquement coordonné, conçu pour exploiter une journée de travail occupée.


L’usurpation d’identité est le déguisement. L’hameçonnage est la façon dont ils ont volé

l’information qui rend le tout crédible. Et lorsqu’ils fonctionnent ensemble, la tromperie est assez propre pour coûter des millions à une entreprise.


Le coût de l’hameçonnage, de l’usurpation d’identité et de la compromission de courriels d’affaires

L’hameçonnage et l’usurpation d’identité ne sont pas seulement des courriels agaçants. Ce sont des risques d’affaires coûteux.


Selon le rapport 2025 de l’Internet Crime Complaint Center du FBI, l’IC3 a reçu 1 008 597 plaintes en 2025, avec des pertes déclarées totalisant 20,877 milliards de dollars. Cela représente une augmentation de 26 % des pertes par rapport à 2024.


L’hameçonnage et l’usurpation d’identité étaient également les cybercrimes les plus signalés en 2025 selon le nombre de plaintes, avec 191 561 plaintes. La compromission de courriels d’affaires, souvent appelée Business Email Compromise ou BEC, qui implique souvent des comptes courriel compromis, de fausses instructions de paiement, l’usurpation de fournisseurs et des demandes frauduleuses de virements, a entraîné 24 768 plaintes et 3,046 milliards de dollars en pertes déclarées.


Ce dernier chiffre est particulièrement important pour les propriétaires d’entreprise, car la BEC est souvent la catégorie où l’hameçonnage et l’usurpation d’identité se transforment en pertes financières directes. Le FBI définit la BEC comme des fraudes ciblant les entreprises ou les personnes qui travaillent avec des fournisseurs ou qui effectuent régulièrement des virements, souvent au moyen de comptes courriel compromis ou d’autres méthodes de communication manipulées par ingénierie sociale ou intrusion informatique.


L’Anti-Phishing Working Group a également signalé que l’hameçonnage est demeuré élevé tout au long de 2025, avec 3,8 millions d’attaques d’hameçonnage observées durant l’année, soit une légère hausse par rapport aux 3,76 millions observées en 2024. Au quatrième trimestre de 2025 seulement, l’APWG a observé 853 244 attaques d’hameçonnage.


Pour les propriétaires d’entreprise, la leçon est simple : ces attaques ne sont pas rares et elles ne visent pas seulement les grandes organisations. Une seule fausse page de connexion, un courriel usurpé ou une demande de paiement frauduleuse peut entraîner des pertes financières, des comptes compromis, des interruptions d’activité, des problèmes juridiques et une perte de confiance.


Comment protéger votre entreprise?

La bonne nouvelle, c’est qu’il n’est pas impossible de se défendre contre l’hameçonnage et l’usurpation d’identité. La clé est de combiner les bons outils de sécurité, la sensibilisation des employés et des procédures internes claires.


Voici quelques protections importantes :


Activer l’authentification multifacteur

Même si un attaquant vole un mot de passe, l’authentification multifacteur peut l’empêcher de se connecter. C’est particulièrement important pour les comptes courriel, les comptes administrateurs, les utilisateurs du service de comptabilité et les dirigeants.


Examiner SPF, DKIM et DMARC

Ces enregistrements d’authentification courriel aident à protéger votre domaine contre l’usurpation d’identité. S’ils sont absents, désuets ou mal configurés, les attaquants peuvent avoir plus de marge de manœuvre pour abuser de votre domaine ou créer des courriels qui semblent légitimes.


Former les employés à ralentir

De nombreuses attaques fonctionnent parce qu’elles créent un sentiment d’urgence. Les employés doivent être formés à faire une pause lorsqu’un courriel demande de l’argent, des mots de passe, des changements bancaires, des cartes-cadeaux, des fichiers sensibles ou une action rapide en dehors du processus normal.


Vérifier les changements de paiement en dehors du courriel

Toute demande de changement de renseignements bancaires, de méthode de paiement, de dépôt direct ou de détails de compte fournisseur doit être vérifiée au moyen d’un numéro de téléphone de confiance ou d’un processus interne approuvé. Ne vous fiez pas uniquement au fil de courriel.


Utiliser un filtrage courriel plus robuste

Les outils modernes de sécurité courriel peuvent aider à détecter les liens suspects, les pièces jointes malveillantes, les tentatives d’usurpation d’identité et les comportements inhabituels des expéditeurs avant que le message n’atteigne la boîte de réception.


Surveiller les règles de boîte aux lettres et les connexions

Les attaquants qui obtiennent accès à un compte courriel créent souvent des règles de transfert, cachent des messages ou surveillent les conversations discrètement. Examiner régulièrement les règles de boîte aux lettres, les emplacements de connexion et les activités suspectes peut aider à détecter les problèmes plus rapidement.


Créer un processus de signalement clair

Les employés doivent savoir exactement quoi faire lorsqu’un courriel semble suspect. Signaler un courriel douteux doit être simple, rapide et encouragé. Personne ne devrait se sentir gêné de demander : « Est-ce que c’est réel? »


Avoir un plan de réponse avant qu’un incident se produise

Si un compte est compromis ou si un paiement est envoyé au mauvais endroit, chaque minute compte. Les entreprises doivent savoir qui contacter, quels comptes désactiver, comment réinitialiser les identifiants, comment examiner les journaux et quand aviser les banques, les fournisseurs ou les clients.


Conclusion

L’hameçonnage et l’usurpation d’identité sont différents, mais ils travaillent souvent ensemble.


L’hameçonnage est le piège. L’usurpation d’identité est le déguisement. Lorsqu’ils sont combinés, ils peuvent rendre un faux courriel assez personnel, urgent et crédible pour tromper même un employé prudent.


Pour les propriétaires d’entreprise, l’objectif n’est pas de transformer chaque employé en expert en cybersécurité. L’objectif est de bâtir un environnement plus sécuritaire où les employés savent quoi surveiller, où les messages suspects sont faciles à signaler et où les contrôles techniques fonctionnent en arrière-plan pour réduire les risques.


Et si tout cela semble compliqué, ne vous inquiétez pas. C’est exactement pour cela que les fournisseurs de services gérés existent.


Chez Innosoft Engineering, nous aidons les entreprises à examiner leur sécurité courriel, à configurer des protections comme SPF, DKIM et DMARC, à renforcer les environnements Microsoft 365, à améliorer la sensibilisation des employés et à mettre en place des processus pratiques qui réduisent les risques d’hameçonnage, d’usurpation d’identité et de compromission de courriels d’affaires.


Votre entreprise ne devrait pas avoir à deviner si ses courriels sont sécurisés.


Quelques protections intelligentes aujourd’hui peuvent éviter une erreur très coûteuse demain.


 
 
 

Commentaires

INNOSOFT

ENGINEERING

Serving:

San Bernardino County

Riverside County

San Diego County

info@innosoftengineering.com

(951)336-0969

Innosoft Engineering Logo
Coverage Area
Southern California Coverage Area

California, United States

Hours: 

Mon

       8:00 AM - 7:00 PM

Tue

       8:00 AM - 7:00 PM

Wed

       8:00 AM - 7:00 PM

Thu

       8:00 AM - 7:00 PM

Fri

       8:00 AM - 7:00 PM

Sat

       10:00 AM - 4:00 PM

Sun

       Closed

© 2035 by Unite. Powered and secured by Wix

bottom of page