Mis à jour le 29 mars 2026

Vishing : arnaques téléphoniques ciblant les entreprises, comment s’en protéger

En 2025, les attaques par vishing ont augmenté de 350% par rapport à 2022. Cette technique d’arnaque téléphonique cible de plus en plus les entreprises, et notamment les PME. Un seul appel suffit pour soutirer des informations sensibles ou déclencher un virement frauduleux de plusieurs dizaines de milliers d’euros.

Sommaire

Qu’est-ce que le vishing ?

Le vishing (contraction de « voice » et « phishing ») est une technique d’ingénierie sociale qui utilise le téléphone pour manipuler les victimes. L’attaquant se fait passer pour une personne de confiance (banque, administration, fournisseur, collègue) afin d’obtenir des informations sensibles ou de provoquer des actions préjudiciables.

Contrairement au phishing par email, le vishing exploite la communication vocale. La voix humaine crée un sentiment d’urgence et de légitimité plus fort qu’un simple email. La pression psychologique est immédiate.

Avec l’essor de l’IA générative, les attaquants peuvent désormais cloner des voix en quelques secondes. Un appel du « directeur financier » demandant un virement urgent peut être totalement faux.

Les techniques de vishing ciblant les entreprises

Les cybercriminels utilisent des scénarios élaborés et parfaitement adaptés au monde de l’entreprise.

L’arnaque au président

L’attaquant se fait passer pour le PDG ou un cadre dirigeant. Il appelle un collaborateur (souvent au service comptabilité) et demande un virement urgent et confidentiel. La pression hiérarchique et le secret exigé empêchent la victime de vérifier.

Le faux support technique

Un prétendu technicien Microsoft, de votre opérateur télécom ou de votre éditeur logiciel vous appelle. Il signale un problème critique et demande un accès à distance à votre ordinateur ou vos identifiants de connexion.

L’usurpation bancaire

Le fraudeur se fait passer pour votre banque. Il connaît votre nom, votre numéro de compte et prétend qu’une opération suspecte est en cours. Il vous demande de « confirmer » vos identifiants ou de valider une opération.

Le faux fournisseur

Un appel de votre « fournisseur habituel » vous informe d’un changement de RIB. Les prochains règlements doivent être effectués sur un nouveau compte. Le vrai fournisseur ne verra jamais la couleur de l’argent.

+350%Hausse des attaques vishing depuis 2022
47 000 EURPerte moyenne par attaque réussie en PME
77%Des attaques ciblent le service comptable

Comment reconnaître une tentative de vishing

Certains signaux d’alerte doivent immédiatement éveiller votre méfiance.

Point clé : Le vishing repose sur trois leviers psychologiques : l’urgence (« il faut agir maintenant »), l’autorité (« c’est votre directeur/votre banque ») et la confidentialité (« n’en parlez à personne »). Si un appel combine ces trois éléments, il s’agit très probablement d’une arnaque.

Les signaux d’alerte

  • Urgence excessive : « Il faut agir immédiatement, c’est critique »
  • Demande de confidentialité : « Surtout, n’en parlez à personne »
  • Pression hiérarchique : « C’est un ordre du directeur »
  • Demande d’informations sensibles : mots de passe, codes, numéros de carte
  • Numéro inconnu ou masqué : même si l’affichage peut être usurpé
  • Demande d’action inhabituelle : virement exceptionnel, installation de logiciel
  • Incohérences : erreurs sur votre nom, votre fonction ou les procédures internes

Protéger votre entreprise contre le vishing

La protection passe par une combinaison de procédures, de formation et d’outils techniques.

Mesures organisationnelles

  • Double validation : tout virement supérieur à un seuil défini nécessite la validation de deux personnes
  • Procédure de vérification : en cas de demande inhabituelle, raccrocher et rappeler sur le numéro officiel
  • Code de confirmation : définir un mot de passe verbal pour les demandes urgentes entre collaborateurs
  • Séparation des pouvoirs : la personne qui initie un virement ne doit pas être celle qui le valide

Formation des équipes

  • Former tous les collaborateurs aux techniques de vishing
  • Organiser des simulations d’attaques pour tester les réflexes
  • Sensibiliser spécifiquement les postes à risque (comptabilité, assistants de direction, accueil)
  • Créer une culture du doute : il est toujours acceptable de vérifier

Mesures techniques

  • Mettre en place un filtrage des appels pour bloquer les numéros malveillants connus
  • Enregistrer les appels entrants (dans le respect de la réglementation)
  • Limiter les informations publiques sur votre entreprise (organigramme, emails sur le site web)
  • Utiliser l’authentification multi-facteurs pour les opérations sensibles

Que faire si vous êtes victime

Si vous suspectez ou constatez une attaque de vishing réussie, agissez immédiatement.

  1. Alertez votre banque pour bloquer le virement si possible (vous avez souvent moins de 24h)
  2. Prévenez votre direction et votre service informatique
  3. Changez les mots de passe si des identifiants ont été communiqués
  4. Déposez plainte auprès de la police ou de la gendarmerie
  5. Signalez l’arnaque sur la plateforme gouvernementale internet-signalement.gouv.fr
  6. Documentez tout : numéro appelant, heure, contenu de la conversation
  7. Informez vos collaborateurs pour éviter que d’autres ne tombent dans le piège
Questions fréquentes
3 questions
Oui, c’est ce qu’on appelle le spoofing téléphonique. Les cybercriminels peuvent faire apparaître n’importe quel numéro sur votre écran, y compris celui de votre banque ou d’un collègue. Le numéro affiché n’est jamais une preuve d’identité fiable. En cas de doute, raccrochez et rappelez vous-même sur le numéro officiel.
Considérablement. Les outils de clonage vocal par IA permettent de reproduire la voix d’une personne à partir de quelques secondes d’enregistrement. Un collaborateur peut recevoir un appel avec la voix exacte de son directeur lui demandant un virement. C’est pourquoi les procédures de double validation et les codes verbaux sont plus importants que jamais.
Cela dépend de votre contrat. Les assurances cyber couvrent généralement les pertes financières liées aux cyberattaques, y compris le vishing. Vérifiez les conditions et les plafonds avec votre assureur. Certains contrats exigent que des mesures de prévention soient en place pour que la couverture s’applique.

Besoin d’accompagnement ?

Formation de vos équipes, mise en place de procédures anti-fraude et simulations d’attaques : Odyssix vous aide à protéger votre entreprise contre le vishing et toutes les formes d’ingénierie sociale.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter