En quatre ans, le vishing est passé d'une technique annexe de social engineering à la principale porte d'entrée des compromissions majeures. Cushman & Wakefield le 1er mai, Instructure quelques jours plus tard, et avant eux MGM, Caesars, Snowflake, TransUnion. À chaque fois, le même schéma : un coup de téléphone, un humain qui doute, un MFA contourné. Le problème n'est plus technique. Il est devenu organisationnel.

Ce que dix ans de durcissement n'ont pas anticipé

Pendant une décennie, l'industrie de la cybersécurité a investi massivement dans le durcissement technique. EDR sur les postes, segmentation réseau, MFA partout, gestion des secrets, zero trust à toutes les sauces. Les attaquants opportunistes qui frappaient les portes mal verrouillées ont vu leur efficacité chuter. Les rapports annuels de Mandiant, CrowdStrike et Verizon DBIR montrent tous la même tendance jusqu'en 2023 : le coût technique d'une intrusion réussie a augmenté, le temps de présence avant détection a diminué.

Sauf qu'entre temps, les groupes les plus sophistiqués ont compris que la porte d'entrée la moins durcie restait l'humain. Pas l'humain qui clique sur un lien dans un email — celui-là, on l'a entraîné à se méfier — mais l'humain qui décroche son téléphone et entend une voix professionnelle, pressée, légèrement embarrassée, qui prétend avoir un problème urgent. Cette voix-là, on ne l'a pas entraînée à la déconstruire. Et c'est par là que les attaques majeures de 2026 sont entrées.

L'industrialisation par Scattered Spider puis ShinyHunters

La technique n'est pas nouvelle. Les premières opérations sérieuses remontent à 2022, avec les compromissions de Twilio et Cisco qui exploitaient déjà du vishing combiné à du push fatigue MFA. Ce qui a changé, c'est l'industrialisation. Scattered Spider, le collectif anglophone à l'origine des coups portés contre MGM et Caesars en 2023, a publiquement détaillé sa méthodologie après les arrestations partielles de 2024. Le schéma est devenu un manuel opérationnel : reconnaissance OSINT sur LinkedIn pour identifier les profils support et helpdesk, scripts d'appel répétables, gestion des escalades vers les opérateurs MFA, exfiltration immédiate via les outils légitimes du SaaS ciblé.

ShinyHunters a repris ce playbook en 2025 et l'a étendu aux écosystèmes Salesforce, ServiceNow et Workday. La fuite Cushman & Wakefield de cette semaine n'est qu'un cas parmi une vingtaine d'incidents similaires en cours d'exploitation simultanée sur leurs canaux d'extorsion. Le ROI est exceptionnel : un attaquant entraîné peut compromettre une cible majeure en moins de quatre heures d'appels, contre plusieurs semaines pour développer et déployer un exploit technique équivalent.

Le mythe du MFA résistant au phishing

L'industrie a longtemps répondu au social engineering par le MFA. Ajouter un second facteur, c'était fermer la porte. Sauf que le MFA SMS est mort depuis longtemps, le MFA push subit le push fatigue, et même les OTP TOTP se transmettent par téléphone si l'opérateur d'appel est convaincant. Le seul facteur qui résiste vraiment au vishing, c'est FIDO2 et les Passkeys, parce que la cryptographie est liée au domaine cible et qu'un attaquant qui détourne la session ne peut pas convaincre l'utilisateur de signer une assertion pour un domaine autre que le sien.

Sauf que l'adoption des Passkeys en entreprise reste marginale en 2026. Les rapports d'Okta indiquent que moins de 12 % des comptes administrateurs sur leur plateforme sont protégés par un facteur résistant au phishing. Les autres reposent encore sur des facteurs manipulables : push, OTP, ou pire, validation par le helpdesk en cas de perte de facteur. Et c'est précisément ce dernier point qui devient le maillon le plus exploité.

Le helpdesk : l'angle mort organisationnel

Le scénario qui se répète dans toutes les compromissions récentes est le suivant. Un attaquant appelle le helpdesk en se faisant passer pour un salarié interne, prétend avoir perdu son téléphone ou son token, demande une réinitialisation du MFA. Si le helpdesk valide, l'attaquant enrôle son propre facteur sur le compte cible et accède aux ressources avec le bénéfice du MFA. Tous les contrôles techniques sont alignés en sa faveur : la connexion est conforme, le facteur est légitime, l'utilisateur est authentifié.

Le problème, c'est que la grande majorité des helpdesks n'appliquent pas de vérification hors-bande sérieuse. Une question de sécurité prédéfinie ? Trouvable sur LinkedIn ou Facebook. Une confirmation par email ? L'attaquant a déjà compromis ou redirigé l'email. Un rappel sur le numéro RH ? Encore faut-il que ce numéro soit à jour, et que le helpdesk respecte effectivement la procédure même quand le demandeur insiste sur l'urgence. Dans les retours d'incident que j'ai consultés sur les six derniers mois, l'opérateur du helpdesk a quasiment toujours documenté qu'il a senti quelque chose de bizarre — mais a procédé quand même, pressé par le ton de l'appel et la chaîne hiérarchique simulée.

Mon avis d'expert

Les RSSI qui me consultent en 2026 me parlent encore principalement de stack technique : EDR, SIEM, segmentation, vulnerability management. Je n'ai rien contre, ces briques sont nécessaires. Mais elles ne protègent plus contre la vague d'attaques qui frappe les écosystèmes SaaS via le helpdesk. La vraie priorité aujourd'hui, c'est de réinventer les procédures de support : vérification hors-bande systématique avec une question dont seul le vrai salarié connaît la réponse, deuxième validation par un autre opérateur pour toute opération sensible, et entraînement régulier des équipes helpdesk au refus poli mais ferme face à la pression. Coût : faible. Impact : majeur. Pourtant c'est ce que je vois le moins mis en place dans les missions.

Les chantiers concrets à lancer maintenant

Premier chantier : passer en revue exhaustive les procédures de votre support interne et de votre helpdesk externalisé. Combien d'opérations sensibles — reset MFA, déblocage de compte, transmission de mot de passe initial — sont aujourd'hui réalisées sur la seule base d'un appel téléphonique ? Pour chacune, définir une procédure de vérification hors-bande qui ne dépend pas de l'appel en cours. Le rappel sur un numéro inscrit dans le SIRH, validé par le manager direct, reste la meilleure pratique observée.

Deuxième chantier : déployer un facteur résistant au phishing au minimum sur les comptes à fort privilège. Administrateurs IT, équipes finance, dirigeants. Les Passkeys ou FIDO2 sont disponibles sur la quasi-totalité des fournisseurs SaaS modernes. La résistance au vishing n'est plus optionnelle pour ces profils.

Troisième chantier, le plus négligé : entraîner les équipes helpdesk au refus. Pas seulement à détecter le faux profil, mais à dire non quand quelque chose ne va pas, même face à un appelant qui insiste, qui menace, qui prétexte une urgence dirigeante. Cette compétence ne s'acquiert que par la mise en situation répétée, idéalement avec des appels simulés par un prestataire externe. C'est exactement le type de prestation qu'on n'ose pas budgéter parce que ça paraît anecdotique — et c'est exactement ce qui aurait évité la majorité des compromissions citées dans cet article.

Conclusion

Le vishing en 2026 n'est plus une technique exotique. C'est devenu le vecteur dominant pour les compromissions à fort impact, parce qu'il exploite la zone grise organisationnelle que personne n'a vraiment couverte. Le durcissement technique a marché — l'attaque s'est déplacée. La réponse rationnelle aujourd'hui, c'est d'investir massivement sur les procédures de support, le facteur résistant au phishing, et l'entraînement des équipes au refus. Le coût est ridicule comparé aux conséquences d'une compromission Salesforce dumpée publiquement. Le problème, c'est que ça ne se vend pas aussi bien qu'une licence EDR.

Besoin d'un regard expert sur votre sécurité ?

Discutons de votre contexte spécifique.

Prendre contact