Phishing : le guide pratique pour que vos employés ne mordent plus à l'hameçon

Pourquoi le phishing reste aussi efficace

Les filtres anti-spam bloquent des millions d'emails malveillants chaque jour — et pourtant le phishing fonctionne encore. La raison : les attaquants ne cherchent plus à tromper les filtres, ils cherchent à tromper les humains. Les emails de phishing modernes sont personnalisés, bien rédigés, et imitent parfaitement les communications légitimes de Microsoft, de votre banque ou de vos fournisseurs.

Les 5 signaux d'alerte à apprendre à toute l'équipe

1. L'urgence artificielle. "Votre compte sera suspendu dans 24h", "Validez immédiatement", "Action requise avant ce soir". L'urgence est conçue pour court-circuiter la réflexion. Un email légitime ne vous pousse jamais à agir sans réfléchir.

2. L'adresse de l'expéditeur ne correspond pas au domaine. L'affichage du nom peut être "Microsoft Support" mais l'adresse réelle est [email protected]. Toujours cliquer sur le nom affiché pour voir l'adresse complète.

3. Le lien ne mène pas où il prétend. Survolez le lien sans cliquer : l'URL affichée en bas de l'écran révèle la vraie destination. microsoft.com.verify-login.ru n'est pas Microsoft.

4. On vous demande des identifiants ou un paiement. Microsoft, votre banque, et tout service sérieux ne vous demandent jamais votre mot de passe par email. Jamais.

5. La pièce jointe inattendue. Une facture d'un fournisseur que vous n'attendiez pas, un document partagé sans contexte, un PDF "urgent" d'un expéditeur inconnu — autant de signaux à traiter avec méfiance.

Le spear phishing : quand l'attaque est personnalisée

Le phishing classique est envoyé en masse. Le spear phishing cible une personne précise avec des informations réelles : votre nom, votre poste, le nom de votre directeur, une référence à un projet en cours. Ces informations sont souvent collectées sur LinkedIn ou via des fuites de données.

La Business Email Compromise (BEC) est la forme la plus coûteuse : un attaquant usurpe l'adresse email du dirigeant et demande un virement urgent à la comptabilité. En Belgique, des dizaines de PME perdent chaque année des dizaines de milliers d'euros via ce mécanisme.

Le protocole à suivre si on a cliqué

1. Ne pas paniquer — mais agir vite
2. Déconnecter le poste du réseau (débrancher le câble ou désactiver le Wi-Fi)
3. Changer immédiatement le mot de passe du compte concerné depuis un autre appareil
4. Prévenir l'administrateur IT — sans attendre
5. Ne pas supprimer l'email : il peut être utile pour l'analyse

La honte de "avoir cliqué" ne doit jamais ralentir le signalement. Chaque heure perdue amplifie les dégâts potentiels.

La formation : un investissement à faible coût, fort impact

Microsoft 365 Defender inclut un outil de simulation de phishing : vous envoyez de faux emails de phishing à vos propres employés et mesurez qui clique, qui signale, qui ne fait rien. Les personnes qui cliquent reçoivent automatiquement une formation courte.

Une simulation par trimestre, combinée à un rappel des 5 signaux en réunion, suffit à réduire drastiquement le taux de clic. La sensibilisation est la seule défense qui améliore avec le temps.