Réponse aux incidentsPhishing8 min de lecture

GUIDE OPÉRATIONNEL · ÉDITION 2026

Phishing ciblé.
Identifier la brèche.

Quelqu'un dans l'organisation a cliqué. L'email avait l'air d'un vrai, expéditeur reconnaissable, contexte cohérent. Maintenant la question c'est : qu'est-ce qui est accessible depuis ce compte, et depuis combien de temps l'attaquant s'y est promené sans qu'on le sache.

91%des attaques démarrent par un phishing (Verizon DBIR)

1,6 mindélai médian avant le premier clic sur un lien malveillant

26 Mds $pertes BEC mondiales en 2023 (FBI IC3)

ANATOMIE

Ce qui se passe entre l'envoi et la compromission

Un spear phishing réussi repose sur un alignement rarement dû au hasard. L'expéditeur semble connu ou fait autorité, le contexte colle avec la réalité de la victime, et il y a une urgence qui pousse à agir sans vraiment réfléchir. Ce n'est pas la naïveté de la victime qui est en cause. C'est la précision du ciblage.

Chaîne d'attaque — simulation○ IDLE

IT Security Team<security@micros0ft-corp.net>

[URGENT] Votre compte Microsoft 365 sera suspendu dans 24h

Aujourd'hui, 09:14

Bonjour Julien,

Suite à une activité inhabituelle détectée sur votre compte, votre accès Microsoft 365 sera suspendu dans 24 heures si vous ne vérifiez pas votre identité immédiatement.

Votre responsable Marie Leclerc a déjà été informée. Pour éviter toute interruption de service, cliquez sur le lien ci-dessous :

→ Vérifier mon compte Microsoft 365

ENVOI

Email forgé reçu

OUVERT

Email ouvert

CLIC

Lien malveillant cliqué

HARVEST

Credentials saisis

COMPROMIS

Compte compromis

⏱

1,6 minute.C'est le délai médian entre la réception et le premier clic, mesuré sur des campagnes réelles. Dans 30% des cas, ça se passe dans la première minute. La sensibilisation aide, mais elle n'élimine pas le risque. Les chiffres le montrent assez clairement.

TAXONOMIE

Les 5 vecteurs à connaître

Mettre dans le même panier le SMS frauduleux de livraison et le BEC qui a détourné 3 millions d'euros chez un groupe industriel, c'est traiter deux problèmes très différents avec la même réponse. Le terme « phishing » recouvre des niveaux de sophistication, des cibles et des objectifs qui n'ont pas grand-chose en commun.

Spear PhishingCiblé · 1 victime

L'email est construit à partir d'informations collectées sur la victime : prénom, nom du responsable, projet en cours, parfois un vrai numéro de commande récupéré sur LinkedIn ou un site public. Le résultat : un taux de clic qui peut dépasser 40%, contre 3 à 5% pour un phishing de masse classique.

WhalingC-suite · PDG, DAF

Du spear phishing ciblant les dirigeants. Le prétexte est souvent une opération confidentielle, une demande fiscale urgente ou une instruction du conseil d'administration. Les montants impliqués sont sans commune mesure avec un phishing classique, et la pression hiérarchique rend la vérification interne difficile à déclencher.

BEC — Business Email Compromise26 Mds $ en 2023

L'attaquant se fait passer pour un dirigeant, un fournisseur ou un partenaire pour déclencher un virement ou un changement de coordonnées bancaires. Pas de malware nécessaire : un compte email compromis ou un domaine légèrement différent du vrai suffisent. 26 milliards de dollars de pertes en 2023 selon le FBI. C'est la menace financière la plus coûteuse de loin.

Credential HarvestingM365, Google, VPN

Une fausse page de connexion M365, Google Workspace ou VPN, hébergée sur un domaine quasi-identique à l'original (micros0ft-login.com). Techniquement, c'est souvent une copie pixel-perfect du service réel. Les identifiants sont capturés en temps réel, et dans les cas les plus sophistiqués, rejoués immédiatement pour passer le MFA par proxy.

Vishing / SmishingVoix + SMS

Par appel téléphonique (vishing) ou SMS (smishing). Le SMS joue souvent sur une fausse urgence : livraison bloquée, compte suspendu, code OTP demandé. En entreprise, le vishing est parfois utilisé en complément d'un email de spear phishing pour convaincre un interlocuteur qui hésite encore.

DÉTECTION

Signaux d'un compte compromis

Après un phishing, la compromission peut rester totalement silencieuse pendant plusieurs jours. L'attaquant se connecte tôt le matin ou la nuit, lit sans laisser de trace visible, transfère ce dont il a besoin. Les indicateurs suivants permettent de détecter une présence qui ne cherche pas à se montrer.

AUTHConnexion depuis une IP ou un pays inhabituel dans les logs Azure AD / GSuite01

RULERègles de redirection ou de suppression créées dans la messagerie à votre insu02

SENDEmails envoyés depuis votre compte que vous n'avez pas rédigés03

PASSDemande de réinitialisation de mot de passe non initiée04

MFANotification MFA reçue pour une connexion que vous n'avez pas tentée05

APIToken OAuth accordé à une application tierce inconnue dans vos autorisations06

🔑

Le piège du changement de mot de passe seul :si l'attaquant a accordé un accès OAuth à une application tierce pendant la session, changer le mot de passe ne change rien. L'application garde son token valide jusqu'à révocation explicite. C'est une des erreurs les plus fréquentes dans la gestion de ce type d'incident, et c'est pour ça qu'il faut systématiquement auditer les applications autorisées.

T+0 → T+30MIN

Contenir avant d'investiguer

La priorité numéro un, ce n'est pas de comprendre ce qui s'est passé. C'est de fermer l'accès actif. Tant que les sessions restent ouvertes, l'attaquant peut encore lire, exfiltrer, envoyer des emails en votre nom et rebondir vers d'autres comptes du même réseau. L'investigation vient après, pas pendant.

CONTENIR — DANS LES 30 MIN

✓Révoquer toutes les sessions actives (Azure AD → Utilisateur → Révoquer les sessions)

✓Changer le mot de passe depuis un appareil sain, non lié au compte compromis

✓Forcer la MFA sur le compte. Si elle est absente, c'est la priorité absolue

✓Vérifier et supprimer les règles de messagerie inconnues

✓Révoquer tous les tokens OAuth d'applications non reconnues

✓Notifier l'équipe sécurité et le DPO si des données personnelles ont été accessibles

ERREURS À ÉVITER

✗Continuer à utiliser le compte compromis pendant l'investigation

✗Changer uniquement le mot de passe sans révoquer les sessions actives

✗Supprimer les emails suspects avant l'analyse forensique

✗Ne pas prévenir les destinataires qui ont reçu des emails depuis le compte

✗Ignorer les autres comptes du même utilisateur (VPN, outils tiers, etc.)

INVESTIGATION

Reconstruire la fenêtre de compromission

Accès révoqués, sessions coupées. Maintenant on peut regarder ce qui s'est passé. L'objectif est de dater précisément la fenêtre d'accès, de reconstituer les actions de l'attaquant pendant cette période, et d'identifier tous les systèmes vers lesquels il a pu se déplacer.

Logs de connexion — les 30 derniers jours

Azure AD : Portail → Active Directory → Sign-ins. GSuite : Admin Console → Rapports → Activités de connexion. Filtrer par IP inhabituelle, user-agent et pays. Exporter en CSV : ça permet de croiser avec les horaires de travail et de repérer les connexions nocturnes ou hors-zone.

Règles de messagerie cachées

PowerShell Exchange Online : Get-InboxRule -Mailbox user@domain.com. Chercher les règles qui suppriment, redirigent ou marquent comme lus des emails contenant des mots-clés financiers (facture, virement, RIB). Ces règles servent à masquer les réponses des victimes de BEC : l'attaquant tient la conversation sans que le vrai propriétaire du compte le voie.

Applications OAuth autorisées

Pendant l'accès à la session, l'attaquant peut avoir autorisé une application tierce à lire les emails en permanence, y compris après changement de mot de passe. Azure AD → Enterprise Applications → User consent. Supprimer tout consentement non reconnu. Vérifier aussi sur les comptes Google si l'organisation utilise les deux.

Emails envoyés et contacts exposés

Récupérer la liste complète des emails sortants sur la fenêtre de compromission. Les destinataires externes sont prioritaires : ils ont peut-être reçu des demandes frauduleuses qui semblaient venir de vous, et certains ont peut-être déjà répondu ou effectué des virements. Chacun doit être contacté individuellement.

🔗

Le rebond latéral :un compte compromis n'est presque jamais une fin en soi. Depuis une messagerie interne, l'attaquant peut envoyer des emails qui semblent venir d'un collègue de confiance, accéder aux services SaaS liés par SSO, ou obtenir des accès serveurs si le compte a des droits admin. L'investigation doit couvrir tous les systèmes associés au compte, pas seulement la messagerie.

OBLIGATIONS

Notification et obligations déclaratives

72h

Notifier la CNIL

Si le compte donnait accès à des données personnelles (emails clients, dossiers RH, contrats), la notification CNIL dans les 72h s'applique. Le délai commence quand vous avez connaissance de l'incident, pas quand c'est résolu. Mieux vaut notifier tôt, même si l'investigation est encore en cours.

Immédiat

Alerter les destinataires internes

Tous les emails envoyés depuis le compte pendant la fenêtre de compromission sont perçus comme légitimes par leurs destinataires. Il faut les prévenir un par un : ne pas ouvrir les pièces jointes reçues sur cette période, ne pas donner suite aux demandes de virements ou de changements de coordonnées bancaires formulées depuis ce compte.

Dès que possible

Déposer plainte — BL2CN

Depuis janvier 2023, déposer plainte est une condition préalable à l'activation de l'assurance cyber. Conservez les emails suspects avec leurs en-têtes complets, et exportez les logs de connexion. Déposer plainte n'oblige à rien sur la suite judiciaire. Mais sans ça, l'assureur ne remboursera pas.

Diagnostic initial gratuit — un expert qualifie votre situation en quelques minutes et évalue la criticité. Vous ne payez que si vous décidez de poursuivre.

Diagnostic gratuit

← Tous les guides