Systèmes supervisés · en ligne SLA 99,9 % Support 7j/7 01 84 80 12 34
prestataire.org Devis gratuit

GUIDE CYBERSÉCURITÉ

Phishing en entreprise : reconnaître et se protéger

Signaux d'alerte, scénarios réels, réflexes à adopter et conduite à tenir si quelqu'un a cliqué : le guide anti-hameçonnage pour les TPE/PME.

Dans ce guide

  • Les signaux qui doivent alerter
  • Scénarios d'attaque typiques
  • Les bons réflexes au quotidien
  • Que faire après un clic

Le phishing, première porte d'entrée des attaques

Le phishing (hameçonnage) consiste à se faire passer pour un tiers de confiance — banque, fournisseur, Microsoft, collègue — afin de voler des identifiants, déclencher un paiement ou faire installer un logiciel malveillant. C'est le point de départ de la grande majorité des incidents en entreprise, ransomwares compris : avant de chiffrer vos serveurs, l'attaquant a souvent commencé par un simple e-mail. Notre guide se protéger des ransomwares détaille cette chaîne d'attaque.

Les TPE/PME sont des cibles privilégiées : moins de filtres techniques, pas d'équipe sécurité, et des circuits de validation courts où un seul e-mail convaincant suffit à déclencher un virement.

Les signaux d'alerte à connaître

  • L'urgence et la pression : « votre compte sera suspendu dans 24 heures », « paiement immédiat requis ». L'urgence court-circuite la réflexion : c'est son but.
  • L'adresse d'expédition approximative : service@micros0ft-support.com, un nom de domaine proche du vrai mais pas identique. Survolez le nom d'affichage pour voir l'adresse réelle.
  • Les liens masqués : le texte affiche « portal.office.com », le lien pointe ailleurs. Survolez avant de cliquer ; sur mobile, appui long.
  • Les demandes inhabituelles : changement de RIB d'un fournisseur, achat de cartes cadeaux, pièce jointe inattendue « à ouvrir absolument ».
  • Le ton légèrement faux : formulations étranges, signature incomplète. Attention : l'IA a fait disparaître les fautes d'orthographe grossières — leur absence ne prouve plus rien.

Trois scénarios typiques en entreprise

L'usurpation de fournisseur (fraude au RIB)

Un e-mail apparemment envoyé par un fournisseur habituel annonce un changement de coordonnées bancaires, facture jointe à l'appui. La comptabilité met à jour le RIB ; les règlements suivants partent chez l'attaquant. Parade : tout changement de RIB se vérifie par téléphone, au numéro déjà connu — jamais à celui indiqué dans l'e-mail.

Le faux Microsoft 365

« Votre boîte est pleine », « votre mot de passe expire » : le lien mène vers une copie parfaite de la page de connexion Microsoft 365. L'utilisateur saisit ses identifiants ; l'attaquant lit ensuite sa messagerie pendant des semaines, prépare une fraude au virement ou rebondit vers d'autres comptes. La MFA bloque l'essentiel de ce scénario.

La fraude au président

Un message urgent et confidentiel « du dirigeant » (adresse usurpée ou compte réellement compromis) demande un virement exceptionnel. Parade : une règle absolue de double validation orale pour tout virement inhabituel, sans exception, même « demandée par le patron ».

Se protéger : la technique et l'humain

Côté technique, quatre mesures réduisent fortement l'exposition :

  • la MFA sur la messagerie et les comptes sensibles : même identifiants volés, le compte résiste (voir notre guide sur la sécurité des mots de passe) ;
  • un filtrage anti-phishing correctement configuré sur la messagerie, avec les protocoles SPF, DKIM et DMARC sur votre domaine ;
  • un EDR sur les postes pour bloquer les pièces jointes et liens malveillants qui passent le filtre ;
  • des sauvegardes testées, pour que le pire scénario reste réversible.

Côté humain, la sensibilisation régulière fait la différence : sessions courtes, exemples concrets, et campagnes de faux phishing pour mesurer les progrès sans stigmatiser. L'objectif n'est pas le zéro clic — inatteignable — mais le signalement rapide : un utilisateur qui signale en 5 minutes vaut mieux que dix qui se taisent. Ces actions font partie de nos prestations de cybersécurité.

Quelqu'un a cliqué : que faire, dans l'ordre

  1. Ne pas punir, ne pas cacher : chaque minute compte, la peur de la sanction retarde le signalement.
  2. Changer immédiatement le mot de passe du compte concerné depuis un autre appareil, et fermer les sessions actives.
  3. Isoler le poste si un fichier a été ouvert ou un programme installé : débrancher le réseau, ne pas éteindre (les traces en mémoire servent à l'analyse).
  4. Prévenir le support informatique ou votre prestataire : vérification du poste, recherche de règles de transfert ajoutées dans la messagerie, analyse des connexions suspectes.
  5. Alerter la banque sans délai si des coordonnées bancaires ou un virement sont en jeu : les premières heures sont décisives pour un rappel de fonds.
  6. Documenter et déclarer : dépôt de plainte, et notification CNIL sous 72 heures si des données personnelles sont compromises.

Questions fréquentes

FAQ

Comment reconnaître un e-mail de phishing ?

Méfiez-vous de l'urgence, des demandes inhabituelles (RIB, paiement, identifiants), des adresses d'expédition approximatives et des liens dont la destination réelle diffère du texte affiché. Au moindre doute, vérifiez par un autre canal.

Un antivirus suffit-il contre le phishing ?

Non. L'antivirus bloque une partie des pièces jointes malveillantes, mais pas le vol d'identifiants sur une fausse page de connexion. Il faut combiner filtrage de messagerie, MFA et sensibilisation des équipes.

Que faire si un collaborateur a saisi son mot de passe sur un faux site ?

Changer le mot de passe immédiatement depuis un autre appareil, fermer les sessions actives, vérifier les règles de transfert de la messagerie et prévenir le support informatique pour analyser le compte.

Les campagnes de faux phishing sont-elles utiles ?

Oui, à condition d'être pédagogiques et non punitives : elles mesurent l'exposition réelle, entretiennent la vigilance et surtout développent le réflexe de signalement rapide.

Testez la résistance de votre entreprise au phishing

Filtrage de messagerie, MFA, sensibilisation et campagnes de test : bâtissons votre défense.