Salaire détourné et congés annulés : les e-mails de phishing HR ont piégé bien plus que le Parlement fédéral en 2025

Une analyse de 7 millions de messages montre l’importance du phishing HR, aujourd’hui l’arme de phishing la plus efficace. Pour Manon Vandebergh, COO, Phished, la sensibilisation continue est absolument nécessaire.

Si le détournement du député MR Mathieu Michel, ancien Secrétaire d’Etat à la Digitalisation, a fait la une de la presse, l’incident n’est pas un cas isolé. Loin de là. Une analyse de plus de 7 millions de simulations de phishing réalistes, envoyées au cours de l’année écoulée par l’entreprise belge de cybersécurité Phished à environ 500.000 travailleurs belges, montre que jusqu’à 30 % des employés commettent une erreur lorsqu’ils sont confrontés à des e-mails de phishing liés aux ressources humaines.

« Il s’agit notamment de faux messages annonçant l’annulation ou la modification soudaine de jours de congé, de documents frauduleux concernant la rémunération ou encore de fausses lettres de licenciement, explique Manon Vandebergh, COO, Phished. Dans ces situations, de nombreux destinataires cliquent rapidement, sans vérifier l’authenticité du message. »

Plus l’émotion est forte, plus le risque augmente

Les messages se faisant passer pour les ressources humaines sont particulièrement efficaces parce qu’ils touchent directement à la vie professionnelle – et parfois personnelle – des employés. Des objets tels que « Refus de demande de congé » ou « Modification de la politique de télétravail » déclenchent immédiatement des réactions émotionnelles. Peur, stress ou confusion prennent alors le dessus, au détriment des réflexes de vigilance habituels.

« Ce mécanisme ne se limite d’ailleurs pas aux messages HR, des e-mails évoquant des infractions routières ou des taxes figurent également parmi les leurres les plus fréquemment utilisés », continue Manon Vandebergh.

A l’entendre, cette évolution s’inscrit dans une dynamique plus large. Les outils d’IA permettent aujourd’hui de produire plus facilement des messages de phishing crédibles, personnalisés et exempts de fautes. Ces messages peuvent être envoyés de manière automatisée et à grande échelle. « Depuis le lancement de ChatGPT, le volume mondial de phishing a ainsi fortement augmenté…. »

Les cinq thèmes qui piègent le plus souvent les employés

Sur la base de l’analyse des simulations menées en 2025, Phished identifie les sujets suivants comme étant les plus susceptibles d’entraîner des clics ou des actions inappropriées :

  1. Politique de congés ou de rémunération (31,5 %)
  2. Modifications des politiques et procédures internes (24,7 %)
  3. Informations et documents HR (18,1 %)
  4. Infractions routières et taxes (16,7 %)
  5. Signature de documents d’entreprise (9,2 %)

Former au mauvais moment limite l’apprentissage

De nombreuses organisations tentent de sensibiliser leurs employés en envoyant régulièrement des simulations de phishing. Lorsqu’une personne clique sur un message frauduleux, elle reçoit immédiatement un avertissement lui signalant l’erreur commise. Ce modèle, souvent qualifié de « click & blame », est largement répandu.

Selon Phished, cette approche montre toutefois ses limites. « Des recherches académiques récentes suggèrent que ce type de formation ponctuelle ne touche que les employés qui commettent une erreur, tandis qu’une large majorité n’est jamais réellement formée. »

Par ailleurs, recevoir un avertissement au moment même où l’on ouvre un e-mail suspect n’est pas toujours propice à l’apprentissage : les employés sont alors surtout concentrés sur leur boîte de réception et leurs tâches quotidiennes.

La sensibilisation continue comme condition essentielle

Pour Manon Vandebergh, renforcer la cyber-résilience passe avant tout par une sensibilisation régulière et continue. « Les employés doivent disposer de temps et d’espace pour apprendre à reconnaître les signaux d’alerte, savoir comment réagir en cas de doute et conserver leur calme face à des messages émotionnellement chargés. »

Dans un contexte où la cybercriminalité représente un enjeu économique croissant, l’entreprise estime qu’il est illusoire de penser que quelques simulations ponctuelles suffisent à renforcer durablement la vigilance des organisations.