Table des matières
Les tentatives de phishing ou hameçonnage ne visent pas uniquement les profils les moins avertis. Ces attaques s’adaptent aux comportements, métiers, habitudes numériques et même à la position hiérarchique d’un individu. Si tout le monde est susceptible d’être visé un jour, certains profils se retrouvent bien plus souvent dans le viseur des cybercriminels.
Les employés représentent l’une des principales portes d’entrée pour les attaques par courriel malveillant. Les pirates envoient souvent des emails imitant ceux des supérieurs hiérarchiques, du service comptable ou d’un fournisseur habituel. Il suffit d’un seul clic malheureux pour compromettre l’ensemble d’un réseau interne.
Selon une étude Proofpoint de 2024, près de 74 % des entreprises ont subi au moins une attaque de phishing réussie à cause d’une erreur humaine. Cela montre à quel point le facteur humain reste vulnérable, même avec des dispositifs de sécurité en place.
Les services les plus ciblés sont généralement :
Les personnes occupant des fonctions à responsabilité, comme les PDG, DAF ou DRH, sont souvent la cible de campagnes dites « de spear phishing » : des attaques personnalisées, soigneusement préparées, avec une usurpation d’identité crédible.
L’entreprise Barracuda Networks a rapporté que les cadres recevaient en moyenne 7 fois plus d’emails frauduleux que les autres collaborateurs. Les attaquants misent sur leur niveau d’autorité pour initier des virements, partager des documents confidentiels ou débloquer des accès internes.
Les personnes peu habituées aux outils en ligne, comme certains retraités ou nouveaux usagers peu formés, tombent plus facilement dans les pièges visuels des emails frauduleux. Un message bien présenté, imitant une administration ou un service bancaire, suffit souvent à les induire en erreur.
En 2023, le ministère de l’Intérieur français a enregistré une hausse de 22 % des plaintes liées au phishing chez les particuliers de plus de 60 ans. L’absence d’automatismes en matière de cybersécurité joue un rôle majeur.
Les comptes très actifs sur des plateformes comme Facebook, Instagram ou LinkedIn sont souvent exploités pour obtenir des informations à réutiliser dans des campagnes ciblées. Les cybercriminels exploitent ces données publiques pour envoyer des messages contenant le prénom, l’emploi, la localisation ou d’autres éléments qui donnent un sentiment de légitimité.
Un rapport de la CNIL indique que près de 38 % des attaques de phishing en France en 2024 utilisaient une information tirée des réseaux sociaux. Les utilisateurs qui publient régulièrement sur leur vie personnelle ou professionnelle augmentent sans le savoir leur niveau d’exposition.
Les jeunes inscrits dans des établissements supérieurs sont aussi fortement exposés, notamment au moment de la rentrée ou des examens. Les pirates envoient des faux mails administratifs, prétendant demander un paiement pour un dossier, ou fournissant un lien malveillant pour accéder à des résultats ou à des bourses.
D’après une enquête menée par Cybermalveillance.gouv.fr, près de 1 étudiant sur 4 reconnaît avoir déjà cliqué sur un lien suspect dans un courriel. Leur besoin constant de connexion à des outils numériques, souvent à partir de réseaux publics, les expose davantage.
Les freelances, autoentrepreneurs ou travailleurs indépendants gèrent souvent seuls leurs échanges administratifs, fiscaux ou bancaires. Cette autonomie attire les cybercriminels, qui savent qu’un email usurpant l’identité de l’Urssaf, de l’INSEE ou de la Sécurité sociale peut provoquer une réaction immédiate sans vérification approfondie.
La Fédération des auto-entrepreneurs a recensé plus de 8 500 signalements de tentatives de phishing en 2024, visant principalement les déclarations trimestrielles ou les appels de cotisations.