Blog

Vishing : l’arnaque téléphonique qui menace désormais aussi les entreprises

3 mars 2026 11 minutes de lecture

La cybersécurité ne se limite plus aux emails frauduleux ou aux virus informatiques. Depuis plusieurs années, une autre forme d’escroquerie progresse fortement : le vishing, ou hameçonnage vocal. Cette technique d’ingénierie sociale exploite le téléphone pour tromper ses victimes et obtenir des informations sensibles.

Longtemps cantonné aux particuliers, le phénomène touche aujourd’hui de plus en plus les entreprises, les collectivités et les établissements de santé. Selon Cybermalveillance.gouv.fr, les escroqueries reposant sur l’usurpation d’identité et la manipulation psychologique figurent parmi les signalements les plus fréquents en France. Le téléphone est devenu un canal d’attaque à part entière.

Qu’est-ce que le vishing ?

Le terme « vishing » est la contraction de voice et phishing. Contrairement au phishing classique, qui passe par un email frauduleux, le vishing repose sur un appel téléphonique. L’objectif reste le même : obtenir des informations confidentielles ou provoquer une action au profit de l’attaquant.

Dans la majorité des cas, le numéro affiché est falsifié. Cette technique, appelée spoofing, permet aux cybercriminels de faire apparaître un numéro légitime : celui d’une banque, d’un organisme public, d’un fournisseur d’énergie, voire du standard d’une entreprise connue. La victime décroche en pensant répondre à un interlocuteur officiel.

Le discours est soigneusement préparé. Il peut s’agir d’un faux conseiller bancaire signalant une opération suspecte, d’un prétendu agent administratif évoquant un problème de dossier, ou d’un faux technicien affirmant détecter une anomalie informatique. L’attaquant cherche à instaurer rapidement un climat de confiance, souvent en créant un sentiment d’urgence.

Vishing — Déroulement d’une attaque
Déroulement d’une attaque — cliquez pour détailler
1
Collecte d’informations
LinkedIn, site web, presse — l’attaquant construit son scénario.

L’attaquant exploite des sources publiques (OSINT) pour cartographier l’entreprise : organigramme sur LinkedIn, outils internes révélés par les offres d’emploi, prestataires mentionnés sur le site corporate. Ces données rendent le scénario d’appel parfaitement crédible.

2
Usurpation d’identité & spoofing
Il affiche le numéro de votre DSI ou banque grâce au spoofing VoIP.

Via des services VoIP, l’attaquant falsifie le numéro affiché sur votre téléphone (CLI spoofing). Il se fait passer pour un technicien IT, un manager, une banque ou une administration. Le numéro affiché ne garantit en rien l’identité réelle de l’appelant.

3
Pression et urgence artificielle
« Le serveur tombe dans 5 min » — il bloque votre esprit critique.

L’urgence, la peur et l’autorité sont des leviers d’ingénierie sociale documentés (Cialdini, 1984) qui court-circuitent le raisonnement rationnel. L’attaquant exige une action immédiate pour empêcher toute vérification ou consultation d’un tiers.

4
Extraction — l’objectif final
Mot de passe, code OTP, virement bancaire, accès à distance…

L’objectif varie : vol d’un code MFA pour contourner la double authentification, fraude au virement (FOVI — Faux Ordre de Virement International), ou installation d’un outil d’accès à distance (AnyDesk, TeamViewer). La fraude FOVI est la conséquence financière la plus fréquente selon le CLUSIF.

Une menace amplifiée par les fuites de données

L’essor du vishing s’explique en partie par la multiplication des fuites de données ces dernières années. Les informations personnelles circulant sur des bases illégales permettent aux fraudeurs de personnaliser leurs appels. Lorsqu’un interlocuteur connaît votre nom, votre adresse ou votre employeur, la crédibilité de son discours augmente considérablement. Les entreprises étant particulièrement exposées, les cybercriminels exploitent :

  • Les informations disponibles sur les sites institutionnels ;
  • Les réseaux sociaux professionnels
  • Les communiqués de presse pour cibler des collaborateurs occupant des fonctions sensibles (direction financière, ressources humaines, service comptable, support informatique)

Dans certains cas, le vishing s’inscrit dans des scénarios plus complexes, comme la fraude au président ou la compromission de comptes professionnels. Un simple appel peut suffire à obtenir un code de validation ou à déclencher un virement frauduleux.

Des conséquences lourdes pour les organisations

Les impacts d’une attaque de vishing ne se limitent pas à une perte financière immédiate. Lorsque des identifiants professionnels sont divulgués, c’est l’ensemble du système d’information qui peut être exposé. Les attaquants peuvent ensuite accéder aux messageries, aux applications métiers ou aux données clients.

Pour une entreprise, les risques sont multiples :

  • Interruption d’activité ;
  • Atteinte à la réputation ;
  • Perte de confiance des partenaires ;
  • Sanctions réglementaires en cas de violation de données personnelles au regard du RGPD.

L’ANSSI rappelle régulièrement que l’ingénierie sociale constitue l’un des premiers vecteurs d’intrusion dans les systèmes d’information. La technologie seule ne suffit pas : le facteur humain reste la cible privilégiée.

Pourquoi le téléphone inspire-t-il encore confiance ?

Malgré la généralisation des cyberattaques, le téléphone conserve une dimension de proximité et d’authenticité. La voix humaine crée un lien immédiat. Elle permet de s’adapter aux réactions de l’interlocuteur, de répondre à ses objections et d’exercer une pression psychologique plus efficace qu’un email.

Certains scénarios utilisent également des messages automatisés, appelés robocalls, qui invitent la victime à rappeler un numéro ou à appuyer sur une touche pour régulariser une situation urgente. Cette industrialisation des appels frauduleux permet de toucher un grand nombre de cibles à faible coût.

Les progrès récents de l’intelligence artificielle renforcent encore le risque, notamment avec la capacité à imiter des voix ou à générer des scripts conversationnels crédibles, le vishing devient ainsi plus sophistiqué et plus difficile à détecter.

Comment se protéger contre le vishing ?

Vishing — Se protéger
Se protéger contre le vishing — cliquez pour détailler
1
Ne jamais rappeler le numéro affiché
Raccrochez et retrouvez vous-même le numéro via une source officielle.

Le numéro affiché lors d’un appel entrant peut être entièrement falsifié (CLI spoofing). Si vous avez un doute, raccrochez puis rappelez en cherchant vous-même le numéro : annuaire interne de l’entreprise, site officiel de l’organisme ou de la banque. Ne recomposez jamais le numéro de l’appelant.

2
Ne jamais communiquer un code OTP ou MFA
Aucun service légitime ne demande ce code par téléphone — jamais.

Les codes OTP (à usage unique) et les codes MFA sont strictement personnels. Aucune banque, aucun service IT interne, aucune administration n’a besoin de vous les demander par téléphone. Si un appelant réclame ce code, c’est la signature d’une attaque : raccrochez immédiatement.

3
Résister à la pression et prendre le temps
L’urgence est une technique de manipulation — ralentissez, vérifiez.

L’urgence artificielle est le principal levier du vishing. Une personne légitime acceptera toujours que vous preniez quelques minutes pour vérifier. Si l’appelant insiste, s’énerve ou refuse d’attendre, c’est un signal d’alarme fort. Dites simplement : « Je vous rappelle dans 5 minutes via le numéro officiel. »

4
Consulter un collègue ou son responsable
Si l’appelant demande la confidentialité, c’est suspect — parlez-en.

Un attaquant isole sa victime pour l’empêcher de vérifier. Si un appelant vous demande de garder l’échange secret, de ne pas en parler à votre manager ou de contourner une procédure, consultez immédiatement un collègue ou votre responsable. Le simple fait d’en parler à voix haute brise souvent la manipulation.

5
Signaler l’incident immédiatement
Même sans avoir rien divulgué, signalez à votre RSSI ou service IT.

Signalez tout appel suspect à votre responsable sécurité (RSSI) ou service IT, même si vous n’avez rien communiqué. Cela permet d’alerter les collègues et de tracer l’attaque. En cas de préjudice, contactez la plateforme nationale Info Escroqueries au 0 805 805 817 (appel gratuit) ou déposez plainte sur cybermalveillance.gouv.fr.

Intégrer le vishing dans une stratégie globale de cybersécurité

Le vishing illustre une réalité fondamentale : la cybersécurité ne concerne pas uniquement les pare-feu et les antivirus. Elle implique une approche globale combinant technologies, processus et gouvernance.

Pour les entreprises, cela signifie :

  • Intégrer les scénarios d’ingénierie sociale dans les audits de sécurité ;
  • Tester la robustesse des procédures internes ;
  • Prévoir des plans de réponse à incident adaptés.

La supervision des accès, la traçabilité des actions sensibles et la gestion rigoureuse des habilitations constituent des leviers complémentaires.

Chez adista, nous accompagnons les organisations dans la sécurisation de leurs systèmes d’information en combinant expertise technique, services managés et accompagnement stratégique. L’objectif est clair : réduire la surface d’attaque, renforcer la résilience et anticiper les menaces émergentes.

Vishing : la vigilance reste la meilleure défense

Le vishing n’est pas une simple arnaque téléphonique isolée. Il s’inscrit dans un écosystème cybercriminel structuré, professionnel et en constante évolution. Face à cette menace, la meilleure protection demeure la vigilance, appuyée par des dispositifs de sécurité adaptés et une culture cyber partagée à tous les niveaux de l’organisation.

Découvrez nos solutions de cybersécurité
Partager

Découvrez nos articles similaires

Blog
Pourquoi choisir un CRM évolutif et interconnecté : les atouts de Microsoft Dynamics 365 pour votre entreprise
Blog
Shadow IT : un enjeu stratégique de gouvernance et de cybersécurité
Blog
La cybersécurité dominera tous les sujets IT en 2026 : le seul hub de contenu pour en maîtriser tous les aspects

Inscrivez vous à la Newsletter

Restez au courant de nos dernieres actualités !