Ce guide est à visée informative et préventive. Les exemples décrits ci-dessous sont des scénarios génériques observés au grand public, ils ne citent aucune marque spécifiquement visée et ne reproduisent pas de contenu d'email frauduleux réel. En cas d'incident avéré, contactez Cybermalveillance.gouv.fr au 0 805 805 817 (service public, numéro vert, du lundi au vendredi), et pour signaler un email frauduleux utilisez signal-spam.fr (service partenaire des pouvoirs publics).
Le phishing, ou hameçonnage, est la première menace cyber traitée par Cybermalveillance.gouv.fr, tous publics confondus. L'objectif d'un email de phishing est toujours le même : vous faire cliquer, saisir un mot de passe, transmettre une information bancaire ou ouvrir une pièce jointe qui installera un logiciel malveillant. Les attaquants ne ciblent pas les grandes marques par nostalgie : ils ciblent les systèmes et les utilisateurs les plus faciles à tromper. Les TPE et PME y sont particulièrement exposées, parce qu'elles disposent souvent de moins de protections techniques qu'un grand groupe, tout en manipulant des fonds et des données intéressantes. Voici cinq scénarios concrets que tout dirigeant devrait savoir reconnaître.
Exemple 1 : la facture impayée urgente
Vous recevez un email qui semble provenir d'un fournisseur connu. L'objet mentionne une facture impayée ou un rappel, le ton est ferme, parfois menaçant (« dernière relance avant mise en recouvrement »). Une pièce jointe au format PDF ou Word est attachée. En l'ouvrant, un message vous demande d'activer les macros ou cliquer sur un lien pour « voir les détails ». Ce simple clic lance un script qui installe un logiciel malveillant (souvent un ransomware ou un cheval de Troie bancaire).
L'adresse d'expédition est légèrement différente de celle de votre vrai fournisseur (ex : facture@fournisseur-fr.net au lieu de @fournisseur.fr). Le message parle d'une facture que vous ne reconnaissez pas. La pièce jointe a un nom générique (facture_2026.doc, impaye.pdf). On vous demande d'activer les macros ou de cliquer pour « afficher le contenu ».
Ne pas ouvrir la pièce jointe. Vérifier par téléphone auprès du fournisseur réel (numéro connu, pas celui de l'email). Si la facture est légitime, le fournisseur vous la renverra. Signaler l'email sur signal-spam.fr puis le supprimer.
Exemple 2 : le colis bloqué par le transporteur
Un email ou un SMS vous informe qu'un colis ne peut pas être livré parce qu'il manque des frais (douane, réexpédition, adresse incorrecte). Un lien invite à payer quelques euros sur un site qui ressemble parfaitement à celui du transporteur (La Poste, Chronopost, DHL, UPS, Colissimo). Le site demande vos coordonnées bancaires. Les quelques euros ne seront jamais débités, mais vos coordonnées bancaires sont désormais en possession des attaquants.
Vous n'attendez pas forcément de colis, ou vous n'avez pas commandé ce qui est mentionné. L'URL dans le lien est légèrement différente (ex : laposte-suivi.fr au lieu de laposte.fr). La somme demandée est faible (1 à 3 euros), ce qui baisse votre vigilance. Le site demande non seulement votre carte mais aussi votre date de naissance, votre adresse et parfois un code SMS.
Ne jamais cliquer sur ce type de lien. Si vous attendez réellement un colis, aller directement sur le site officiel du transporteur en tapant l'adresse à la main et saisir le numéro de suivi. Signaler le SMS au 33700 (service officiel gratuit) ou l'email sur signal-spam.fr.
Exemple 3 : le faux support Microsoft
Un pop-up apparaît brusquement dans votre navigateur : « Votre ordinateur est infecté, appelez le support Microsoft au 01.xx.xx.xx.xx ». Parfois, une voix synthétique prononce le message en boucle. Un email peut aussi être envoyé depuis une adresse qui ressemble à s'y méprendre à une adresse officielle : support@mlcrosoft.com (avec un « L » minuscule à la place du « i »), pratiquement indiscernable à l'œil nu. Si vous appelez le numéro ou cliquez sur le lien, un prétendu technicien vous demande d'installer un logiciel d'assistance à distance (AnyDesk, TeamViewer, ou un clone) pour « diagnostiquer le problème ». Une fois l'accès ouvert, il verrouille votre poste et réclame une rançon, ou vole vos données, ou encore effectue des virements bancaires depuis votre propre navigateur connecté à votre banque.
Microsoft ne communique jamais par pop-up navigateur avec un numéro de téléphone. Le pop-up est impossible à fermer, ou se rouvre, ou bloque votre navigateur. L'adresse d'expédition ou l'URL contient un caractère légèrement différent (mlcrosoft au lieu de microsoft, rnicrosoft où le « r + n » mime un « m »). Le « technicien » vous demande d'installer un outil d'accès distant. Il insiste, vous met la pression, invoque un danger imminent.
Fermer le navigateur (touche Alt+F4 ou Ctrl+W, ou via le Gestionnaire des tâches si bloqué). Ne jamais rappeler le numéro affiché. Ne jamais installer de logiciel à la demande d'un inconnu au téléphone. Si vous avez installé l'outil, déconnecter immédiatement le poste du réseau et appeler le 0 805 805 817.
Exemple 4 : l'arnaque au président
Le comptable ou le responsable de l'entreprise reçoit un email signé du dirigeant, depuis une adresse qui ressemble à la sienne (ou réellement usurpée via un défaut de configuration SPF/DKIM). L'email demande un virement urgent, confidentiel, lié à une acquisition ou un paiement fournisseur inattendu, vers un nouveau RIB. Le ton est professionnel, le motif plausible, la discrétion demandée. Parfois le message arrive alors que le vrai dirigeant est en déplacement, et l'attaquant le sait (informations publiques sur les réseaux sociaux).
Demande de virement urgent vers un nouveau RIB, sans passer par la procédure habituelle. Demande de confidentialité (« ne parle de ça à personne, je gère »). Ton inhabituellement pressant. Adresse d'expédition qui diffère de la vraie (parfois d'un seul caractère). Message arrivant en dehors des heures habituelles ou pendant un déplacement connu.
Toute demande de virement par email doit être confirmée par téléphone, sur le numéro habituel du demandeur (pas celui fourni dans l'email). Instaurer cette règle comme procédure interne écrite, partagée avec tous les salariés qui ont accès à la banque. Aucune exception, même sous pression. C'est la seule protection qui fonctionne.
Exemple 5 : la fausse réauthentification Microsoft 365 ou bancaire
Vous recevez un email qui semble provenir de Microsoft, Google ou de votre banque : « Votre compte nécessite une vérification de sécurité », « Votre session a expiré », « Activité suspecte détectée, veuillez confirmer votre identité ». Un bouton vous redirige vers une page de connexion parfaitement identique à l'originale, sauf que l'URL est légèrement différente. Vous saisissez votre identifiant et votre mot de passe. Dans la seconde qui suit, les attaquants se connectent à votre vrai compte et en prennent le contrôle.
L'email demande de cliquer sur un lien pour se reconnecter. L'URL de la page de connexion n'est pas celle que vous connaissez, ou contient une substitution très difficile à repérer : mlcrosoft.com (L minuscule à la place du i), m365-auth.fr, ma-banque-secure.com, paypa1.com (chiffre 1 à la place du L). Le message invoque une urgence ou une suspension imminente. La page demande des informations que le vrai service ne demande jamais (numéro complet de carte, code secret).
Ne jamais se reconnecter via un lien reçu par email. Ouvrir un nouvel onglet, taper l'adresse officielle à la main (ex : office.com, labanquepostale.fr), se connecter normalement. Si une alerte de sécurité existe réellement, elle sera visible dans votre espace. Activer la double authentification sur tous les comptes sensibles : même si un mot de passe est volé, l'attaquant ne pourra pas se connecter sans le second facteur.
Reconnaître un phishing en 5 secondes
Ces six questions rapides permettent de trier la majorité des emails douteux en quelques secondes, sans avoir à être expert.
- Est-ce que j'attendais ce message ? Non ? Prudence maximale.
- L'adresse de l'expéditeur est-elle exactement celle attendue ? Vérifiez chaque lettre. Un caractère de différence suffit. Les attaquants utilisent des substitutions très vicieuses : Mlcrosoft au lieu de Microsoft (L minuscule à la place du i), paypa1 au lieu de paypal (1 au lieu de L), arnazon au lieu de amazon (r + n collés miment un m). À l'œil nu, ces différences sont presque invisibles.
- Le ton est-il urgent ou menaçant ? Les vrais services ne font pas pression.
- Y a-t-il des fautes d'orthographe ou de grammaire ? Les campagnes industrielles en contiennent souvent. Attention, les plus récentes sont propres.
- Le lien mène-t-il vraiment où il prétend aller ? Survolez sans cliquer pour voir l'URL réelle (en bas du navigateur ou via clic droit + Copier l'adresse).
- La pièce jointe est-elle attendue et cohérente ? En cas de doute, passer par un autre canal pour confirmer avant d'ouvrir.
Si une seule réponse déclenche un doute, ne cliquez pas et vérifiez par un autre moyen (téléphone, site officiel tapé à la main).
Que faire si vous avez cliqué
Tout n'est pas perdu, mais la rapidité de réaction fait la différence.
Si vous avez juste cliqué sur un lien
Le risque est limité à condition que vous n'ayez rien saisi ni téléchargé. Fermer l'onglet, vider l'historique si vous le souhaitez, et continuer à surveiller votre messagerie et vos comptes les jours suivants.
Si vous avez saisi un mot de passe
Changer le mot de passe immédiatement sur le vrai site (en tapant l'adresse à la main, pas via le lien). Activer la double authentification si ce n'est pas déjà fait. Vérifier l'historique des connexions de votre compte (disponible sur Microsoft 365, Google, la plupart des banques). Vérifier si votre mot de passe est utilisé ailleurs et le changer partout.
Si vous avez saisi des informations bancaires
Contacter immédiatement votre banque (service client, opposition). Surveiller votre compte les jours suivants. Déposer plainte auprès de la police ou de la gendarmerie. La banque peut être tenue de rembourser en cas de fraude, mais la rapidité du signalement est décisive.
Si vous avez ouvert une pièce jointe suspecte
Déconnecter immédiatement le poste du réseau (câble débranché, Wi-Fi coupé), sans l'éteindre. Prévenir votre prestataire informatique. Appeler le 0 805 805 817 (Cybermalveillance) pour être orienté. Si des données personnelles sont touchées, notifier la CNIL dans les 72 heures.
Comment protéger son équipe
La technique seule ne suffit pas. La majorité des incidents de phishing impliquent une action humaine. Trois leviers à combiner.
Formation
Sensibiliser régulièrement les salariés, pas une fois par an puis plus rien. Présenter des exemples concrets (comme ceux décrits ci-dessus), expliquer les réflexes, laisser les questions remonter. Des campagnes de phishing simulé (envoi contrôlé d'un faux phishing par un prestataire ou un outil interne) permettent de mesurer le niveau de vigilance et de cibler la formation.
Technique
Filtre anti-spam renforcé sur la messagerie professionnelle (inclus dans Microsoft 365 et Google Workspace). Authentification à double facteur sur tous les comptes sensibles. Antivirus à jour. Configuration correcte des enregistrements SPF, DKIM et DMARC pour empêcher l'usurpation de votre propre domaine. Un diagnostic de sécurité permet d'identifier les points manquants.
Procédure
Règle écrite et partagée : tout virement demandé par email doit être confirmé par téléphone. Consigne claire sur qui prévenir en cas de doute (la bonne personne, la bonne adresse). Aucune sanction en cas de signalement : mieux vaut dix faux positifs signalés qu'un vrai phishing ignoré. La sensibilisation et l'accompagnement sur ces procédures font partie de notre accompagnement infogérance.
Ce que nous pouvons faire pour vous
Ocore Technologies accompagne les TPE et PME du Tarn et de l'Occitanie sur trois axes directement liés à la protection contre le phishing.
Nous surveillons en temps réel l'état de vos postes : antivirus actif, correctifs Windows appliqués, services critiques, comptes utilisateurs. Une anomalie détectée déclenche une alerte immédiate, avant qu'un incident se propage.
Activation de la double authentification (MFA) sur vos comptes sensibles, déploiement d'un gestionnaire de mots de passe managé pour vos équipes (Bitwarden), protection DNS qui bloque automatiquement l'accès aux domaines de phishing référencés avant même que le lien ne s'ouvre.
Alertes comportementales via SIEM : connexion depuis un pays inhabituel, tentative d'élévation de privilèges, comportement suspect sur un poste. Vous êtes prévenu et accompagné dans la réaction, pas seul face à l'incident.