En 2024, 74 % des entreprises françaises ont subi au moins une tentative de phishing. Le montant moyen des pertes pour une PME : 14 000 €. Un seul clic suffit.
Un email comme les autres, sauf que non
Le phishing, c'est un email qui se fait passer pour quelqu'un de confiance — votre banque, un fournisseur, l'administration — pour vous pousser à cliquer sur un lien ou ouvrir une pièce jointe. L'objectif : voler vos identifiants, vos coordonnées bancaires ou installer un logiciel espion.
Ce qui rend ces emails dangereux, c'est qu'ils ressemblent de plus en plus à de vrais messages. Logos parfaits, mise en page soignée, ton professionnel. L'époque des fautes d'orthographe grossières est révolue.
Les 6 signaux qui doivent vous alerter
- L'adresse d'expédition est suspecte. Le nom affiché dit « Crédit Agricole » mais l'adresse réelle est service-client@credit-agricole-secure42.com. Survolez toujours le nom de l'expéditeur pour voir la vraie adresse.
- Le message crée une urgence. « Votre compte sera bloqué dans 24h », « Action requise immédiatement ». Cette pression est volontaire : on réfléchit moins quand on a peur.
- On vous demande de cliquer sur un lien. Survolez-le sans cliquer. Si l'URL ne correspond pas au site officiel ou contient des caractères étranges, c'est un piège.
- On vous demande des informations sensibles. Aucune banque, aucun fournisseur sérieux ne vous demandera votre mot de passe ou votre RIB par email. Jamais.
- La pièce jointe est inattendue. Une facture que vous n'attendiez pas, un document « à signer d'urgence » au format .zip ou .exe — ne l'ouvrez pas.
- Le ton est inhabituel. Votre fournisseur vous tutoie soudainement, ou votre banquier écrit depuis une adresse Gmail. Fiez-vous à votre instinct.
Le cas particulier : le phishing ciblé
Certaines attaques visent spécifiquement votre entreprise. L'attaquant a fait ses recherches : il connaît le nom de votre comptable, votre fournisseur principal, le prénom de votre directeur. Il envoie un email crédible demandant un virement urgent.
C'est ce qu'on appelle le spear phishing ou « arnaque au président ». Les PME sont des cibles privilégiées parce qu'elles ont moins de filtres techniques et des circuits de validation plus courts.
Les bons réflexes face à un email suspect
- Ne cliquez sur rien. Ni lien, ni pièce jointe, ni bouton « Se désinscrire ».
- Vérifiez par un autre canal. Votre banque vous envoie un message alarmant ? Appelez-la directement au numéro que vous connaissez, pas celui de l'email.
- Signalez-le. Transférez l'email suspect à votre prestataire informatique ou à signal-spam.fr. Plus on signale, plus les filtres s'améliorent.
- Supprimez-le. Ne le gardez pas « au cas où » dans votre boîte de réception. Supprimez-le et videz la corbeille.
Si vous avez déjà cliqué
Pas de panique, mais agissez vite :
- Changez immédiatement vos mots de passe — en priorité ceux de votre banque et de votre messagerie.
- Contactez votre banque pour signaler l'incident et faire opposition si nécessaire.
- Prévenez votre prestataire informatique pour qu'il vérifie qu'aucun logiciel malveillant n'a été installé.
- Déposez plainte sur cybermalveillance.gouv.fr — c'est rapide et ça alimente les enquêtes.
Ce que vous pouvez faire maintenant
- Testez vos équipes. Envoyez un faux email de phishing à vos collaborateurs pour mesurer leur vigilance. Pas pour piéger, mais pour former.
- Activez la double authentification sur tous vos comptes critiques (banque, messagerie, cloud). C'est le verrou qui résiste même si un mot de passe est volé.
- Affichez une règle simple dans vos locaux : « En cas de doute sur un email, je ne clique pas et j'appelle. »
Vous voulez évaluer le niveau de sécurité de votre entreprise ? Demandez un diagnostic gratuit