Faux support IT : comment les hackers vident vos données en quelques heures

Imaginez : un collaborateur de votre cabinet reçoit un appel. Une voix professionnelle se présente comme un technicien de votre prestataire informatique. Prétexte : une alerte de sécurité urgente sur son poste. En moins de 20 minutes, il a donné accès à son écran. En moins de 4 heures, vos dossiers clients sont copiés et revendus. Ce scénario n'est pas hypothétique. C'est exactement ce que fait le Silent Ransom Group, un groupe de cybercriminels spécialisé dans l'attaque des cabinets d'avocats, d'experts-comptables et de conseillers financiers. Leur arme principale : le téléphone. Leur technique : le vishing PME. Et leur efficacité est redoutable.

Qu'est-ce que le vishing et pourquoi votre cabinet est une cible idéale

Le vishing, c'est simplement une arnaque par appel vocal (voice + phishing). Pas de lien douteux à cliquer, pas d'e-mail suspect à identifier : juste un coup de téléphone bien préparé. Les attaquants se font passer pour un support informatique, un prestataire connu, voire un collaborateur de confiance. Votre cabinet est une cible de choix pour trois raisons simples. D'abord, vous détenez des données à très haute valeur : informations fiscales, contrats confidentiels, identités de clients, dossiers judiciaires. Ensuite, votre équipe n'est pas formée à ce type de menace, contrairement aux grandes entreprises avec des DSI dédiés. Enfin, la pression quotidienne pousse à traiter vite les demandes urgentes, sans prendre le temps de vérifier. Les escrocs le savent parfaitement et s'en servent.

Comment se déroule concrètement une attaque en moins d'une journée

Le scénario-type du faux support informatique arnaque est bien rodé. Tout commence par un appel en début de matinée, souvent au nom d'un prestataire que vous utilisez réellement (les attaquants se renseignent en amont sur LinkedIn ou votre site web). La personne signale une « activité anormale » sur un poste ou un accès compromis. Elle demande à prendre le contrôle à distance du poste via un outil courant comme AnyDesk ou TeamViewer, présentés comme des solutions légitimes. Une fois connectée, elle parcourt silencieusement vos répertoires, copie les fichiers sensibles vers un serveur externe, et installe parfois un logiciel espion pour revenir plus tard. L'ensemble dure rarement plus de quelques heures. Dans certains cas documentés, le vol de données cabinet professionnel est accompli avant midi. Le collaborateur, convaincu d'avoir résolu un problème, n'a rien vu. Vous, vous ne le saurez peut-être jamais, jusqu'au jour où un client vous signale une fuite.

Les 5 signaux d'alerte à reconnaître immédiatement

Certains indices doivent déclencher une alarme immédiate chez vous et vos collaborateurs. Premier signal : un appel non sollicité d'un « technicien » signalant une urgence. Un vrai prestataire planifie ses interventions, il ne vous appelle pas à l'improviste pour une alerte critique. Deuxième signal : une demande d'accès à distance sous pression temporelle, avec des formules comme « si vous n'agissez pas maintenant, vous perdrez vos données ». Troisième signal : un numéro de téléphone affiché qui ressemble au vôtre ou à celui de votre prestataire (technique dite du spoofing, qui consiste à falsifier le numéro affiché). Quatrième signal : une demande de désactiver votre antivirus ou votre pare-feu, présentée comme nécessaire pour l'intervention. Cinquième signal : un interlocuteur qui connaît quelques détails sur votre cabinet (nom d'un collaborateur, nom du logiciel de gestion) pour asseoir sa crédibilité, mais qui bute sur des questions précises de vérification.

Ce que vous pouvez faire dès maintenant

Première action : instaurez une règle absolue dans votre cabinet — aucun accès à distance n'est autorisé sans vérification préalable par rappel direct sur le numéro officiel du prestataire, pas sur celui fourni par l'appelant. Deuxième action : organisez un briefing de 15 minutes avec toute votre équipe cette semaine. Montrez-leur ce scénario. Une seule personne informée peut stopper une attaque entière. Troisième action : listez par écrit vos prestataires informatiques réels avec leurs coordonnées officielles, et affichez cette liste près des postes. En cas d'appel suspect, le réflexe est immédiat : on raccroche, on vérifie sur la liste, on rappelle. Quatrième action : demandez à votre prestataire IT actuel de configurer une procédure d'authentification interne : un mot de code ou un ticket d'intervention préalable obligatoire avant toute prise en main à distance. Cinquième action : si vous pensez avoir déjà été victime d'un tel appel, ne tardez pas. Faites auditer vos postes par un professionnel de confiance et signalez les faits sur cybermalveillance.gouv.fr, la plateforme officielle française d'assistance aux victimes de cyberattaques.