Chaque année, l'hameçonnage reste la première porte d'entrée des cyberattaques en entreprise. La bonne nouvelle : quelques réflexes suffisent à déjouer la grande majorité des tentatives.
Le phishing (ou hameçonnage) est une tentative de vous manipuler pour vous faire divulguer des informations sensibles — identifiants, mots de passe, coordonnées bancaires — ou vous faire cliquer sur un lien ou ouvrir une pièce jointe malveillante.
L'attaquant se fait passer pour une source de confiance : votre banque, un service interne (RH, IT, direction), un fournisseur, ou un collègue. Le message joue presque toujours sur une émotion — l'urgence, la peur, la curiosité ou l'appât du gain — pour court-circuiter votre vigilance.
Un seul de ces signaux doit vous mettre en garde. Plusieurs à la fois : méfiance maximale.
« Votre compte sera bloqué sous 24 h », « action requise immédiatement ». La pression sur le temps sert à vous empêcher de réfléchir.
Le nom affiché semble légitime, mais l'adresse réelle est bizarre : support@micros0ft-secure.com. Survolez toujours pour vérifier.
Le texte dit « votre banque » mais l'URL réelle (au survol) pointe ailleurs. Domaine mal orthographié ou raccourci suspect.
Facture, bon de livraison ou CV que vous n'attendiez pas — surtout en .zip, .html ou avec macros à activer.
« Cher client », fautes d'orthographe, formulation étrange, logo un peu flou : les vrais services soignent leurs messages.
On vous demande vos identifiants, un virement urgent, ou d'acheter des cartes cadeaux. Une organisation sérieuse ne procède jamais ainsi.
Voici un exemple typique. Passez la souris sur les zones surlignées, puis regardez les explications.
Bonjour Cher Utilisateur,
Nous avons détecté une activité inhabituelle sur votre compte. Votre mot de passe expirera dans les 2 prochaines heures.
Pour éviter la suspension de votre accès, veuillez confirmer vos identifiants immédiatement :
Vérifier mon compte
Le bouton pointe en réalité vers : http://company-verify-secure.net/login
Faute de quoi, votre compte sera définitivement désactivé.
Cordialement,
L'équipe Support IT
La règle d'or
Dans le doute, on ne clique pas — on vérifie. Signaler un message suspect n'est jamais une perte de temps, c'est protéger toute l'organisation.