Vous recevez un email de votre direction vous demandant d'effectuer un virement urgent. Ou une alerte de votre banque vous invitant à confirmer vos identifiants. Ou encore une notification de livraison pour un colis que vous n'attendez pas. Vous cliquez. Et c'est trop tard.
Le phishing — ou hameçonnage — est la cyberattaque la plus répandue en entreprise, et de loin. Non pas parce que les salariés sont négligents, mais parce que les attaquants sont devenus extraordinairement habiles pour imiter ce qui nous semble familier et légitime.
Ce guide pratique vous donne toutes les clés pour reconnaître une tentative de phishing, ne pas vous laisser piéger, et adopter les bons réflexes durablement. La protection contre le phishing commence ici.
Pourquoi le phishing fonctionne-t-il encore si bien en 2026 ?
Les attaquants misent sur la psychologie, pas sur la technique
Le phishing ne cherche pas à contourner votre antivirus. Il cherche à contourner votre jugement. Pour cela, il exploite des mécanismes psychologiques universels que nous avons tous, quels que soient notre niveau d'expertise ou notre expérience professionnelle.
L'urgence est le levier le plus puissant. "Votre compte sera bloqué dans 2 heures", "Action requise avant 17h", "Répondre impérativement aujourd'hui" — ces formules créent une pression qui court-circuite la réflexion. On agit avant de penser.
La peur démultiplie l'efficacité de l'urgence. La perspective de perdre l'accès à son compte, de voir une transaction frauduleuse validée, ou de manquer une information critique pousse à cliquer sans vérifier.
L'autorité désactive le scepticisme naturel. Un message qui semble provenir du PDG, du service RH, ou d'une grande administration génère un réflexe de conformité immédiat.
La familiarité endort la vigilance. Un email qui ressemble parfaitement à ce que vous recevez habituellement — même logo, même ton, même mise en page — ne déclenche pas d'alerte.
Les attaques sont de plus en plus indiscernables du réel
Les tentatives de phishing des années 2010 étaient souvent repérables : fautes d'orthographe grossières, logos pixelisés, adresses email fantaisistes. Ce n'est plus le cas. Aujourd'hui, les cybercriminels disposent d'outils qui leur permettent de cloner un site web en quelques minutes, de générer des emails impeccables grâce à l'intelligence artificielle, et d'usurper des adresses email de manière presque parfaite.
Face à ces attaques sophistiquées, la protection contre le phishing ne peut plus reposer sur la seule capacité à "repérer les fautes". Elle exige une méthode.
Les 7 signaux d'alerte à reconnaître absolument
1. L'adresse email de l'expéditeur ne correspond pas exactement
C'est le premier point à vérifier, systématiquement. Le nom affiché (display name) peut être n'importe quoi — "Direction Générale", "Service Comptabilité", "Assistance Microsoft" — mais l'adresse email réelle, elle, ne ment pas.
Survolez le nom de l'expéditeur ou cliquez sur "Répondre" pour voir l'adresse complète. Méfiez-vous des variantes subtiles :
[email protected]→ légitime[email protected]→ frauduleux[email protected]→ frauduleux[email protected]→ frauduleux
2. Le lien ne mène pas là où il prétend aller
Avant de cliquer sur n'importe quel lien dans un email, survolez-le avec votre souris. L'adresse réelle apparaît dans la barre d'état de votre navigateur, en bas de l'écran.
Si le texte du lien dit "Accéder à votre espace client" mais que l'URL affichée est votre-banque-securite-connexion.com, ne cliquez pas. Un site légitime a un domaine simple et reconnaissable — jamais de tirets suspects, de sous-domaines étranges, ou de domaines en .xyz, .top, .click.
3. La demande est inhabituelle pour ce type d'expéditeur
Votre banque ne vous demandera jamais votre mot de passe par email. Votre service IT ne vous demandera jamais vos identifiants par téléphone. Votre direction ne vous demandera jamais d'effectuer un virement confidentiel sans passer par les circuits habituels.
Si la demande sort de ce que vous attendez normalement de cet expéditeur, c'est un signal fort.
4. Le ton crée une pression temporelle ou émotionnelle forte
Relisez le message. Est-ce qu'il cherche à vous faire agir vite ? Est-ce qu'il insiste sur une conséquence grave si vous n'agissez pas immédiatement ? Est-ce qu'il vous demande de ne pas en parler à vos collègues ?
Ces éléments — urgence, menace, confidentialité imposée — sont les marqueurs classiques d'une tentative de manipulation.
5. La pièce jointe est inattendue ou de format inhabituel
Une facture que vous n'attendiez pas. Un document RH envoyé sans prévenir. Un fichier .exe, .zip ou .iso joint à un email d'apparence professionnelle.
Toute pièce jointe non sollicitée doit être traitée avec la plus grande prudence, même si l'expéditeur vous semble connu — son compte a peut-être été compromis.
6. Les détails visuels ne correspondent pas tout à fait
Même les imitations les plus soignées laissent parfois des traces : un logo légèrement flou ou d'une teinte différente, une police qui ne correspond pas tout à fait à la charte habituelle, un pied de page incomplet, une adresse d'entreprise erronée dans la signature.
7. Vous n'êtes pas à l'origine de la demande
Si vous recevez une notification pour une action que vous n'avez pas initiée — une réinitialisation de mot de passe, une validation de commande, une confirmation de changement d'adresse — ne suivez pas le lien. Rendez-vous directement sur le site concerné via votre navigateur.
Les erreurs les plus fréquentes qui font tomber dans le piège
Faire confiance au nom affiché
Le nom "Microsoft", "La Poste" ou "Direction Générale" peut s'afficher dans n'importe quel email. C'est ce que vous voyez en premier — et c'est précisément ce que les attaquants soignent le plus. Ne jugez jamais un email sur son nom d'expéditeur affiché : vérifiez toujours l'adresse email réelle.
Cliquer sur le lien dans l'email plutôt que de taper l'adresse
Si vous recevez un email vous demandant de vous connecter à votre espace client, ne cliquez pas sur le lien fourni. Ouvrez votre navigateur et tapez vous-même l'adresse habituelle du service. Cette habitude simple élimine à elle seule une grande partie du risque.
Agir sous la pression de l'urgence
C'est la plus difficile à contrer, parce qu'elle est conçue pour ça. Mais la règle est simple : plus un message est urgent, plus vous devez ralentir. Un message vraiment urgent mérite une vérification, pas une action immédiate.
Se fier au cadenas HTTPS
Beaucoup de gens pensent qu'un site avec "https://" et le cadenas vert est un site sûr. C'est faux. Le cadenas signifie seulement que la connexion est chiffrée — pas que le site est légitime. Des milliers de sites de phishing utilisent HTTPS.
Ne pas signaler les tentatives
Par peur de passer pour quelqu'un qui s'est "fait avoir", de nombreux collaborateurs ne signalent pas les emails suspects. C'est une erreur : le signalement permet à l'équipe IT de bloquer l'attaque pour l'ensemble de l'entreprise.
Les bons réflexes à adopter au quotidien
Le réflexe de la pause
Avant de cliquer, prenez deux secondes. Cette micro-pause suffit souvent à activer l'esprit critique que l'urgence cherche à court-circuiter. Demandez-vous : est-ce que j'attendais ce message ? Est-ce que cette demande est normale ?
Le réflexe de la vérification par un autre canal
En cas de doute sur un email, ne répondez pas au message. Contactez directement l'expéditeur supposé via un autre canal — un numéro de téléphone que vous connaissez déjà, un message Teams ou Slack, une rencontre en personne. Quelques secondes de vérification peuvent éviter des semaines de gestion de crise.
Le réflexe de l'adresse saisie manuellement
Pour accéder à un service sensible — votre banque, votre messagerie professionnelle, votre espace client — tapez toujours l'adresse vous-même dans le navigateur. N'utilisez jamais un lien reçu par email pour vous connecter.
Le réflexe du signalement
Tout email suspect doit être signalé à votre équipe IT ou à votre RSSI, même si vous n'avez rien cliqué, même si vous n'êtes pas sûr. Le doute lui-même est une information précieuse pour votre équipe de sécurité.
Que faire si vous avez cliqué ?
Ne paniquez pas — mais agissez vite. Voici les étapes dans l'ordre :
1. Déconnectez l'appareil d'internet si vous pensez avoir téléchargé un fichier malveillant. Cela limite la propagation sur le réseau de l'entreprise.
2. Ne saisissez rien d'autre. Si vous avez cliqué sur un lien mais n'avez pas encore entré d'identifiants, fermez la page immédiatement.
3. Changez vos mots de passe depuis un autre appareil si vous avez saisi des identifiants sur le site frauduleux. Commencez par les comptes professionnels et les comptes bancaires.
4. Activez ou vérifiez le 2FA sur tous les comptes concernés.
5. Prévenez immédiatement votre équipe IT et, si des données financières ont été saisies, votre banque. Plus vous signalez vite, plus les dommages peuvent être limités.
6. Conservez les preuves : ne supprimez pas l'email, notez l'heure et les actions effectuées. Ces informations seront utiles pour l'analyse de l'incident.
La protection contre le phishing à l'échelle de l'entreprise
La vigilance individuelle est indispensable, mais elle ne suffit pas à elle seule. Une stratégie de protection contre le phishing efficace en entreprise repose sur plusieurs couches complémentaires.
Les solutions techniques
- Filtrage des emails : les solutions anti-spam et anti-phishing bloquent une grande partie des tentatives avant qu'elles n'arrivent en boîte de réception
- Authentification des domaines (SPF, DKIM, DMARC) : ces protocoles limitent la capacité des attaquants à usurper votre domaine d'entreprise
- Analyse des pièces jointes : les sandbox analysent les fichiers suspects dans un environnement isolé avant de les délivrer
- Authentification multi-facteurs : même si un mot de passe est volé via phishing, le 2FA bloque l'accès au compte
La formation et la sensibilisation
C'est le pilier le plus sous-estimé — et pourtant le plus efficace sur le long terme. Un collaborateur qui comprend comment fonctionne le phishing, qui a appris à reconnaître les signaux d'alerte et qui sait quoi faire en cas de doute est une ligne de défense que les attaquants ne peuvent pas contourner techniquement.
Les programmes de protection contre le phishing les plus efficaces combinent :
- Des modules de formation interactifs adaptés au niveau de chaque collaborateur
- Des simulations de phishing régulières pour tester les réflexes en conditions réelles
- Des mises à jour régulières pour couvrir les nouvelles techniques d'attaque
FAQ : vos questions sur la protection contre le phishing
Un email peut-il sembler parfaitement légitime et être quand même du phishing ? Oui, absolument. Les attaques de spear phishing sont parfois indiscernables d'un email réel : même expéditeur apparent, même ton, même contexte professionnel. C'est pourquoi les signaux à vérifier (adresse réelle, URL du lien, nature de la demande) sont plus fiables que l'apparence générale du message.
Le filtre anti-spam de mon entreprise ne suffit-il pas ? Il filtre une grande partie des tentatives de masse, mais pas les attaques ciblées de spear phishing, qui sont soigneusement conçues pour passer les filtres. La protection contre le phishing doit être multi-couches.
Comment savoir si mon entreprise est particulièrement ciblée ? Les entreprises qui traitent de l'argent (comptabilité, finance), des données sensibles (RH, juridique), ou qui ont une forte notoriété sont plus fréquemment ciblées. Mais toute entreprise peut l'être — les attaques de masse ne font pas de sélection.
Combien de temps faut-il pour former ses équipes ? Un programme de sensibilisation efficace ne demande pas des journées de formation. Des modules courts de 20 à 30 minutes, répétés régulièrement, sont bien plus efficaces qu'une formation longue et ponctuelle.
"Si ça semble urgent et inhabituel, c'est le moment de ralentir, pas d'accélérer."
La protection contre le phishing n'est pas une question de technologie — c'est une question de réflexes. Et les réflexes, ça s'apprend, ça se pratique, ça se renforce.
Chez Cybershell, nous aidons les entreprises à construire ces réflexes durablement, grâce à des programmes de protection contre le phishing adaptés à chaque organisation — de la TPE au grand groupe.