Phishing classique vs spear phishing : les différences clés
Le phishing classique : l'attaque au volume
Le phishing classique fonctionne comme un filet de pêche jeté dans l'océan. L'attaquant envoie le même message frauduleux à des centaines de milliers — voire des millions — de destinataires. Le contenu est générique : faux email de banque (« Votre compte a été bloqué »), faux avis de livraison (Chronopost, La Poste), fausse alerte Microsoft 365 (« Votre mot de passe expire »).
La force de cette approche est le volume. Même avec un taux de clic de 3 %, un envoi à 1 million d'adresses produit 30 000 victimes potentielles. Les coûts pour l'attaquant sont minimes (quelques dizaines d'euros pour un envoi massif), ce qui rend l'opération rentable même avec un faible taux de réussite.
La bonne nouvelle : les filtres anti-spam modernes bloquent 80 à 95 % du phishing de masse. Les signatures sont connues, les domaines sont rapidement blacklistés, et les moteurs d'analyse comportementale détectent les envois massifs. C'est pourquoi cette forme de phishing, bien que toujours présente, est de moins en moins efficace contre les entreprises équipées.
Le spear phishing : l'attaque chirurgicale
Le spear phishing fonctionne comme un harpon : une cible unique, une attaque préparée, un taux de réussite bien supérieur. L'attaquant investit du temps avant de frapper :
Phase de reconnaissance (jours à semaines) : l'attaquant collecte des informations sur sa cible via LinkedIn (poste, projets, connexions), le site web de l'entreprise (organigramme, communiqués), les réseaux sociaux personnels, et parfois des bases de données issues de précédentes fuites (emails, mots de passe). Il identifie les relations professionnelles, les projets en cours, le jargon utilisé en interne.
Phase de conception : à partir de ces informations, il rédige un message hautement personnalisé. Par exemple : « Bonjour Marie, suite à notre échange avec le cabinet Dupont sur le projet de migration Cloud, pourriez-vous consulter le document de cadrage ci-joint avant la réunion de vendredi ? Cordialement, Thomas Martin — DSI ». Ce message mentionne un vrai projet, un vrai cabinet, un vrai collègue. Il est quasi indiscernable d'un email légitime.
Phase d'attaque : l'email est envoyé individuellement, depuis un domaine qui imite celui de l'entreprise ou depuis un compte compromis. Les filtres anti-spam ont du mal à le détecter car il ne présente aucune des caractéristiques du phishing de masse : pas d'envoi en volume, pas de signature connue, pas de lien vers un domaine blacklisté (le faux site a été créé spécifiquement pour cette attaque).
Pourquoi le spear phishing est la vraie menace pour votre entreprise
Trois raisons font du spear phishing la menace la plus sérieuse pour les entreprises :
Un taux de réussite 5 fois supérieur. Le phishing classique obtient 3 à 5 % de clics. Le spear phishing atteint 15 à 25 %, et certaines études avancent des taux de 50 % pour les attaques les plus sophistiquées. La personnalisation court-circuite les réflexes de méfiance du destinataire.
Des cibles à haute valeur. Le spear phishing ne cible pas des utilisateurs lambda : il vise les collaborateurs qui ont accès aux informations sensibles, aux systèmes critiques ou aux moyens de paiement. Un comptable qui ouvre une pièce jointe infectée donne potentiellement accès au système de virement. Un administrateur réseau compromis donne accès à l'ensemble de l'infrastructure.
Une invisibilité technique. Les solutions de sécurité (anti-spam, EDR, sandboxing) sont conçues pour détecter des patterns de masse. Le spear phishing passe sous leur radar parce qu'il ressemble à un email légitime envoyé à un seul destinataire. C'est pourquoi la dernière ligne de défense est humaine : le collaborateur lui-même.
Vos équipes résisteraient-elles à un spear phishing ?
Les simulations ThinkTwice incluent des scénarios de spear phishing personnalisés par métier — comptabilité, RH, direction — pour mesurer le niveau réel de vigilance.
Lancer une simulationComment se protéger contre les deux types
Contre le phishing classique
La protection est essentiellement technique : filtres anti-spam correctement configurés, authentification des emails (SPF, DKIM, DMARC), sandboxing des pièces jointes, et sensibilisation de base pour que les rares messages qui passent soient détectés par les collaborateurs. Ces mesures sont un prérequis, pas une option.
Contre le spear phishing
La protection est essentiellement humaine et organisationnelle. Les simulations de phishing ciblées, adaptées aux métiers de vos collaborateurs, sont le moyen le plus efficace d'ancrer les bons réflexes. Ajoutez des procédures de vérification pour les demandes sensibles (changement de RIB, virement, accès système) et une politique de moindre exposition des informations internes sur les réseaux publics.
Dans les deux cas, la formation continue bat la formation ponctuelle. Un collaborateur formé une fois par an oublie 80 % du contenu en 30 jours. Des micro-formations mensuelles combinées à des simulations régulières sont bien plus efficaces.