Sécurité — Sensibilisation

Le phishing : comment le repérer avant de cliquer

Chaque année, l'hameçonnage reste la première porte d'entrée des cyberattaques en entreprise. La bonne nouvelle : quelques réflexes suffisent à déjouer la grande majorité des tentatives.

C'est quoi, le phishing ?

Le phishing (ou hameçonnage) est une tentative de vous manipuler pour vous faire divulguer des informations sensibles — identifiants, mots de passe, coordonnées bancaires — ou vous faire cliquer sur un lien ou ouvrir une pièce jointe malveillante.

L'attaquant se fait passer pour une source de confiance : votre banque, un service interne (RH, IT, direction), un fournisseur, ou un collègue. Le message joue presque toujours sur une émotion — l'urgence, la peur, la curiosité ou l'appât du gain — pour court-circuiter votre vigilance.

Les 6 signaux d'alerte

Un seul de ces signaux doit vous mettre en garde. Plusieurs à la fois : méfiance maximale.

L'urgence artificielle

« Votre compte sera bloqué sous 24 h », « action requise immédiatement ». La pression sur le temps sert à vous empêcher de réfléchir.

✉️

L'adresse d'expéditeur douteuse

Le nom affiché semble légitime, mais l'adresse réelle est bizarre : support@micros0ft-secure.com. Survolez toujours pour vérifier.

🔗

Le lien qui ne correspond pas

Le texte dit « votre banque » mais l'URL réelle (au survol) pointe ailleurs. Domaine mal orthographié ou raccourci suspect.

📎

La pièce jointe inattendue

Facture, bon de livraison ou CV que vous n'attendiez pas — surtout en .zip, .html ou avec macros à activer.

👋

Le ton générique ou l'erreur

« Cher client », fautes d'orthographe, formulation étrange, logo un peu flou : les vrais services soignent leurs messages.

🎁

La demande inhabituelle

On vous demande vos identifiants, un virement urgent, ou d'acheter des cartes cadeaux. Une organisation sérieuse ne procède jamais ainsi.

Décryptage d'un vrai faux email

Voici un exemple typique. Passez la souris sur les zones surlignées, puis regardez les explications.

Service Informatique <it-support@company-verify-secure.net>
⚠️ URGENT : votre mot de passe expire aujourd'hui

Bonjour Cher Utilisateur,

Nous avons détecté une activité inhabituelle sur votre compte. Votre mot de passe expirera dans les 2 prochaines heures.

Pour éviter la suspension de votre accès, veuillez confirmer vos identifiants immédiatement :

Vérifier mon compte
Le bouton pointe en réalité vers : http://company-verify-secure.net/login

Faute de quoi, votre compte sera définitivement désactivé.

Cordialement,
L'équipe Support IT

1
Adresse d'expéditeur. « Service Informatique » semble crédible, mais le domaine company-verify-secure.net n'est pas celui de l'entreprise. C'est le premier réflexe à avoir.
2
Objet alarmant. Emoji d'alerte + « URGENT » + « aujourd'hui » : on cherche à déclencher une réaction émotionnelle immédiate.
3
Formule générique. « Cher Utilisateur » : votre vrai service IT connaît votre nom.
4
Le lien. Le texte du bouton est rassurant, mais l'URL réelle (visible au survol) trahit un domaine frauduleux. On ne juge jamais un lien à son texte.
5
La menace. « Définitivement désactivé » : la peur de perdre l'accès pousse à agir sans vérifier.

Testez-vous

Vous recevez ce message d'un « collègue » : « Salut, je suis en réunion, peux-tu régler cette facture en urgence ? Voici le lien de paiement. » Que faites-vous ?

Les bons réflexes

À faire

  • Vérifier l'adresse réelle de l'expéditeur
  • Survoler les liens avant de cliquer
  • Confirmer toute demande sensible par un autre canal
  • Prendre le temps, même si « c'est urgent »
  • Signaler tout message suspect à l'équipe sécurité / IT

À éviter

  • Cliquer ou ouvrir une pièce jointe dans le doute
  • Saisir ses identifiants depuis un lien reçu par email
  • Céder à la pression du temps
  • Répondre directement au message suspect
  • Se dire « ça n'arrive qu'aux autres »

En cas de doute — ou si vous avez déjà cliqué

Ne paniquez pas, mais agissez viteLes premières minutes comptent. Mieux vaut un faux positif qu'un incident ignoré.
Prévenez immédiatement l'équipe IT / sécuritéSignalez le message, même si vous n'êtes pas sûr. C'est leur métier, jamais un reproche.
Si vous avez saisi un mot de passe, changez-le sans attendreSur tous les comptes qui l'utilisent. Activez la double authentification.
Déconnectez l'appareil si une pièce jointe a été ouverteCoupez le réseau et laissez l'IT analyser la machine.

La règle d'or

Dans le doute, on ne clique pas — on vérifie. Signaler un message suspect n'est jamais une perte de temps, c'est protéger toute l'organisation.