Comment reconnaître et éviter le phishing — Guide pratique

Ce guide pratique vous donne les réflexes essentiels pour identifier et déjouer les tentatives de hameçonnage — pour vous, vos collègues et votre entreprise. 91 % des cyberattaques commencent par un email de phishing (Proofpoint 2024) : savoir reconnaître les signaux d'alerte est la première ligne de défense.

Une personne informée en vaut deux !

Apprennez à déjouer les pièges du Phishing

icon

Checklist
Globale
icon

Liens et
Pièces Jointes
icon

Urgence et
Pression
icon

Mots de passe et
MFA
icon

Phishing en
Entreprise
icon

Phishing
Évolue

Ne tombez plus dans le piège : Vérifiez Liens et Pièces Jointes

1. Comment vérifier un lien (AVANT de cliquer)

Survolez avec la souris

Sur un ordinateur, passez simplement le curseur de votre souris sur le lien SANS cliquer. L'adresse URL réelle s'affichera généralement en bas à gauche de votre navigateur.

Appuyez longuement sur mobile

Sur un smartphone ou une tablette, appuyez et maintenez votre doigt sur le lien. Une fenêtre pop-up affichera l'URL complète.

  • Ressemble-t-elle exactement au site attendu ? (Ex: `banque.ch` et non `banque-securise.com` ou `banque.ch.info.net`)
  • Y a-t-il des fautes d'orthographe ? (Ex: `googlle.com` au lieu de `google.com`)
  • Utilise-t-elle le protocole sécurisé HTTPS (indiqué par un cadenas dans la barre d'adresse une fois sur le site) ?

Analysez l'URL affichée

En cas de doute

N'ouvrez pas le lien. Allez directement sur le site concerné en tapant l'adresse dans votre navigateur ou en utilisant un favori enregistré.

2. Précautions avec les pièces jointes

Attendez-vous à la pièce jointe ?

Si vous ne vous attendiez pas à recevoir un document de cet expéditeur, soyez extrêmement prudent(e).

Méfiez-vous des types de fichiers suspects

Soyez très vigilant(e) avec les fichiers exécutables (.exe), les archives (.zip, .rar), ou les documents Office (.doc, .docx, .xls, .xlsx, .ppt, .pptx) s'ils proviennent d'une source inattendue, surtout s'ils demandent d'activer les macros.

Analysez le contexte

Le contenu de l'email justifie-t-il la présence d'une pièce jointe ? Le nom du fichier est-il logique ?

En cas de doute

Ne téléchargez pas et n'ouvrez pas la pièce jointe. Contactez l'expéditeur par un autre moyen (téléphone, nouveau mail tapé manuellement) pour confirmer l'envoi.

Votre vigilance est votre meilleure protection contre les cyberattaques.

Le Phishing Évolue : Connaissez les Différentes Formes

1. Quelques formes courantes de Phishing

Spear Phishing

Attaque très ciblée visant une personne ou un petit groupe. L'email est personnalisé avec des informations réelles sur la cible (nom du responsable, projet en cours, fournisseur connu) pour paraître légitime. Le spear phishing représente 66 % des violations de données confirmées (Verizon DBIR 2025) — bien qu'il soit moins fréquent en volume, il est nettement plus efficace.

Whaling

Cible spécifiquement les cadres supérieurs ou les personnes ayant un accès privilégié à des informations financières ou sensibles.

Smishing

Phishing réalisé par SMS. Le message contient un lien malveillant ou demande de rappeler un numéro frauduleux.

Vishing

Phishing par appel téléphonique (Voice Phishing). Le fraudeur se fait passer pour un interlocuteur de confiance (banque, support technique, administration) pour vous soutirer des informations.

Pharming

Technique qui redirige le trafic d'un site web légitime vers un faux site sans même que la victime ne clique sur un lien, souvent via la modification de fichiers système sur l'ordinateur.

Business Email Compromise (BEC)

Fraude au président ou fraude au fournisseur : l'attaquant usurpe l'identité d'un dirigeant ou d'un partenaire pour ordonner un virement urgent ou obtenir des informations confidentielles. Le BEC a causé 2,9 milliards USD de pertes déclarées en 2023 (FBI IC3 2024), ce qui en fait la cybermenace financièrement la plus coûteuse. Aucun malware n'est nécessaire — la manipulation suffit.

Restez informé(e) des nouvelles tactiques pour mieux les déjouer.

Checklist : Comment vérifier si un email est légitime ?

1. Quelques formes courantes de Phishing

Expéditeur

Vérifiez l'adresse email complète. Est-ce l'adresse officielle de l'organisme ou y a-t-il des variations subtiles ?

Orthographe et Grammaire

L'email contient-il des fautes d'orthographe, de grammaire ou des tournures de phrase étranges ?

Formule d'appel

Est-elle impersonnelle ("Cher client", "Bonjour utilisateur") ou utilise-t-elle votre nom ?

Destination du lien

Survolez le lien (sans cliquer !) pour voir l'URL réelle. Correspond-elle au site officiel attendu ?

Pièces jointes

Attendez-vous à cette pièce jointe ? Le type de fichier est-il suspect ?

Urgence ou Menace

Le message crée-t-il un sentiment d'urgence ou contient-il des menaces pour vous pousser à agir vite ?

Demande inhabituelle

La demande (virement, information, action...) est-elle étrange ou inattendue dans ce contexte ?

Demande de données sensibles

L'email vous demande-t-il votre mot de passe, vos coordonnées bancaires ou d'autres informations confidentielles ?

Vérification externe

En cas de doute, vérifiez l'information en contactant l'organisme directement via leur site officiel ou par téléphone (ne répondez pas à l'email suspect).

Signalement

Si l'email vous semble suspect, signalez-le à votre service informatique.

En appliquant ces vérifications, vous augmenterez considérablement votre capacité à identifier les tentatives de phishing.

Incident Phishing en Entreprise : La Bonne Réaction

1. Les étapes à suivre IMMÉDIATEMENT

Ne paniquez pas, mais agissez vite

Le temps est un facteur clé pour limiter les dégâts.

Signalez l'incident SANS DÉLAI

  • Informez immédiatement votre supérieur hiérarchique.
  • Contactez le service informatique ou le responsable sécurité (RSSI) de l'entreprise. Utilisez les canaux de communication officiels (téléphone, outil de signalement interne) et non l'email potentiellement compromis.
  • Décrivez précisément ce qui s'est passé (clic, ouverture de pièce jointe, informations saisies, etc.).

Isolez votre appareil

Déconnectez-vous du réseau de l'entreprise (débranchez le câble Ethernet, désactivez le Wi-Fi). N'éteignez pas votre ordinateur sauf instruction contraire de l'IT, car cela pourrait empêcher la collecte de preuves.

Ne supprimez rien

Ne supprimez pas l'email suspect ou les fichiers potentiellement téléchargés. Ils sont importants pour l'analyse de l'incident.

Changez vos mots de passe

Si vous avez saisi votre mot de passe de session ou tout autre mot de passe professionnel, changez-le immédiatement. Idéalement, faites-le depuis un autre appareil sécurisé si possible.

Soyez prêt(e) à coopérer

Le message crée-t-il un sentiment d'urgence ou contient-il des menaces pour vous pousser à agir vite ?

Demande inhabituelle

L'équipe IT aura besoin de votre collaboration pour investiguer et nettoyer les systèmes si nécessaire.

2. Pourquoi signaler est essentiel

Identification

Permet d'identifier et de bloquer rapidement la menace pour protéger les autres employés.

Propagation

Limite la propagation d'éventuels malwares sur le réseau de l'entreprise.

Aider

Aide l'équipe de sécurité à comprendre les tactiques utilisées et à renforcer les défenses.

Votre honnêteté et votre réactivité sont essentielles pour la sécurité collective.

Votre Ligne de Défense : Mots de Passe Forts et MFA

1. Mots de Passe Forts

Longueur

Un mot de passe doit idéalement contenir au moins 12 caractères.

Complexité

Mélangez majuscules, minuscules, chiffres et caractères spéciaux (!@#$%^&*).

Unicité

N'utilisez JAMAIS le même mot de passe pour différents comptes, surtout professionnels et personnels.

Évitez les informations personnelles

N'utilisez pas votre nom, date de naissance, nom d'un proche, nom d'animal...

Utilisez une phrase de passe

Une phrase facile à retenir pour vous mais difficile à deviner (Ex: "MonChatAdoreLesCroquettesBleues!7").

Pensez au gestionnaire de mots de passe

Un outil sécurisé pour générer et stocker vos mots de passe complexes.

Découvrez en vidéo

Comment créer un mot de passe fort et incassable.

Comment les hackers cassent vos mots de passe.

2. Authentification Multi-Facteurs (MFA)

Qu'est-ce que c'est ?

La MFA demande au moins deux preuves de votre identité pour vous connecter (quelque chose que vous savez - mot de passe, quelque chose que vous avez - téléphone/token, quelque chose que vous êtes - empreinte digitale/reconnaissance faciale).

Pourquoi c'est crucial ?

Même si un fraudeur obtient votre mot de passe via le phishing, il ne peut pas se connecter sans le deuxième facteur. La MFA bloque 99,9 % des attaques automatisées sur les comptes (Microsoft 2024). C'est la mesure de sécurité avec le meilleur rapport effort/protection disponible aujourd'hui.

Activez-la partout

Activez la MFA sur tous vos comptes professionnels et personnels qui le proposent (email, VPN, applications, banques, réseaux sociaux...).

Mots de passe forts + MFA = Une sécurité grandement renforcée.

Attention aux tactiques de Phishing : Urgence et Pression

1. Comment reconnaître cette tactique

Délais très courts

"Vous avez 24 heures pour répondre", "Votre compte sera supprimé sous peu si vous n'agissez pas".

Menaces

"Votre compte a été compromis", "Vous risquez une amende", "Votre livraison ne pourra pas être effectuée".

Demandes inhabituelles et urgentes

Un supérieur hiérarchique qui demande un virement bancaire urgent par email, une demande de carte cadeau immédiate, etc.

Ton alarmiste

Utilisation de majuscules, points d'exclamation excessifs, formulations dramatiques.

2. Comment réagir face à l'urgence

Prenez votre temps

Un email important ne nécessite généralement pas une action immédiate sous peine de conséquences désastreuses. Respirez et analysez calmement le message.

Ne cliquez pas

Évitez de cliquer sur les liens ou d'ouvrir les pièces jointes si vous ressentez une pression.

Vérifiez par un autre canal

Si le message prétend venir d'une personne ou d'un organisme que vous connaissez, contactez-les directement par un moyen habituel (téléphone, application officielle, site web) pour vérifier l'information. N'utilisez PAS les coordonnées fournies dans l'email suspect.

Parlez-en

Si vous avez un doute sur un email, parlez-en à un collègue ou contactez votre service informatique avant d'agir.

Ne laissez pas la pression vous faire commettre une erreur. La vérification est la clé.

Questions fréquentes sur le phishing

Comment former efficacement ses équipes contre le phishing ?

La formation théorique seule ne suffit pas : les études montrent que les collaborateurs oublient 70 % du contenu d'une formation dans la semaine qui suit (Ebbinghaus, répété dans de nombreuses études e-learning). L'approche la plus efficace combine simulation et formation corrective : envoyer de vraies campagnes de phishing simulé (via PhishTrainer), identifier les collaborateurs qui cliquent, puis les rediriger automatiquement vers une formation ciblée (Bexxo Academy). Cette méthode réduit le taux de clic de 60 à 70 % en six mois (Proofpoint 2024). Les simulations régulières (4 à 6 par an) maintiennent le niveau de vigilance dans la durée.

Comment l'intelligence artificielle transforme-t-elle les attaques de phishing ?

L'IA générative a radicalement changé la menace phishing depuis 2023. Trois évolutions majeures :
  • Emails parfaitement rédigés — fini les fautes d'orthographe qui permettaient de détecter un phishing. Les LLMs génèrent des emails en français impeccable, adaptés au ton de l'entreprise visée. Les emails générés par IA ont un taux de clic 4 fois supérieur aux emails manuels (APWG / Keepnet 2025).
  • Personnalisation à grande échelle — l'IA peut analyser le profil LinkedIn, les posts publics et le site web d'une cible pour créer un spear phishing ultra-réaliste en quelques secondes. Ce qui prenait des heures à un attaquant humain prend maintenant quelques secondes.
  • Deepfakes vocaux et vidéo — des appels vishing imitant la voix d'un dirigeant ou des vidéoconférences entières avec des avatars deepfake ont déjà été utilisés pour déclencher des virements frauduleux (cas documentés en 2024 à Hong Kong : 25 millions USD perdus).
La conséquence directe : la vigilance humaine seule ne suffit plus. La simulation régulière (PhishTrainer) et la formation continue (Bexxo Academy) sont indispensables pour maintenir un niveau de défense adapté à la menace actuelle.

Comment reconnaître un email de phishing ?

Les principaux signaux d'alerte sont : une adresse d'expéditeur légèrement différente de l'original (ex. support@rnazonl.com au lieu de @amazon.com), un sentiment d'urgence ou de menace poussant à agir vite, une demande de mot de passe ou d'informations bancaires, une URL de lien qui ne correspond pas au site attendu (survolez avant de cliquer), des fautes d'orthographe ou de mise en page. Attention : les emails générés par IA sont désormais parfaitement rédigés — la grammaire seule ne suffit plus à les détecter.

La MFA (authentification multi-facteurs) protège-t-elle vraiment contre le phishing ?

Oui, dans la très grande majorité des cas. Même si un attaquant obtient votre mot de passe via une page de phishing, il ne peut pas se connecter sans le deuxième facteur (code SMS, application d'authentification, clé physique). La MFA bloque 99,9 % des attaques automatisées sur les comptes (Microsoft 2024). La seule exception est le phishing en temps réel (attaque MITM / Adversary-in-the-Middle) qui intercepte le code MFA dans le même instant — ce vecteur reste marginal pour les PME. La recommandation : activer la MFA sur tous les comptes professionnels sans exception.

Le smishing (SMS) et le vishing (téléphone) sont-ils aussi dangereux que le phishing par email ?

Oui, et ils peuvent être plus efficaces, précisément parce que les gens s'y attendent moins.

Smishing (SMS) : les SMS ont un taux d'ouverture supérieur à 90 %, contre 20 à 30 % pour les emails. Les messages imitent typiquement une alerte de livraison (La Poste, DHL), un avertissement bancaire ou un message de l'administration. Le lien redirige vers une fausse page de connexion. Sur mobile, l'URL est souvent tronquée et difficile à vérifier.

Vishing (vocal) : l'attaquant appelle directement sa victime en se faisant passer pour le support IT, une banque, ou Microsoft. La pression en temps réel et la voix humaine contournent les défenses habituelles. Les deepfakes vocaux générés par IA permettent désormais d'imiter la voix d'un collègue ou d'un dirigeant connu.

La règle d'or dans les deux cas : ne jamais fournir d'informations sensibles suite à un message ou appel non sollicité — rappeler directement l'organisme via un numéro officiel connu.

Qu'est-ce que le phishing ?

Le phishing (ou hameçonnage) est une technique de fraude en ligne qui consiste à envoyer des emails, SMS ou messages qui imitent des communications légitimes (banque, administration, employeur) pour tromper la victime et lui soutirer des informations confidentielles — mots de passe, données bancaires, identifiants professionnels. Le phishing est le vecteur d'entrée le plus utilisé : 91 % des cyberattaques commencent par un email frauduleux (Proofpoint 2024).

Qu'est-ce que le spear phishing et pourquoi est-il plus dangereux ?

Le spear phishing est une variante ciblée du phishing classique : au lieu d'envoyer des millions d'emails génériques, les attaquants personnalisent l'attaque en utilisant des informations réelles sur la victime (nom du responsable, projet en cours, nom d'un fournisseur). Ce ciblage rend l'email beaucoup plus crédible. Le spear phishing représente 66 % des violations de données confirmées (Verizon DBIR 2024). Avec l'IA, les attaquants peuvent désormais générer ces emails personnalisés à grande échelle — le coût d'une attaque ciblée a considérablement baissé.

Que faire si j'ai cliqué sur un lien de phishing ?

Agissez immédiatement : (1) déconnectez-vous du réseau de l'entreprise (Wi-Fi, câble) ; (2) signalez l'incident à votre service informatique ou responsable sécurité sans attendre — par téléphone, pas par email ; (3) changez votre mot de passe depuis un autre appareil sécurisé ; (4) ne supprimez pas l'email suspect, il sert à l'analyse forensique ; (5) activez la MFA si ce n'est pas encore fait. Plus vous agissez vite, plus les dégâts peuvent être limités.

Quelles sont les différentes formes de phishing à connaître ?

Il existe 6 formes principales de phishing :
  • Phishing classique — emails de masse imitant une banque, une livraison ou une administration. Plus de 3,4 milliards d'emails frauduleux envoyés chaque jour (Forbes 2024). Souvent reconnaissable aux fautes et à l'urgence artificielle.
  • Spear phishing — attaque ciblée sur une personne précise, avec des informations réelles (nom du responsable, projet en cours). Représente 66 % des violations confirmées (Verizon DBIR 2024).
  • Whaling — variante du spear phishing visant spécifiquement les dirigeants et cadres, pour accéder aux finances ou aux décisions stratégiques.
  • Smishing — phishing par SMS. Imite généralement une alerte bancaire, une livraison de colis ou un service public. Le taux d'ouverture des SMS est supérieur à 90 % — ce vecteur est en forte croissance.
  • Vishing — phishing vocal par téléphone. Le fraudeur se fait passer pour le support informatique, une banque ou une administration pour soutirer des informations ou déclencher une action immédiate.
  • BEC (Business Email Compromise / Fraude au président) — usurpation d'identité d'un dirigeant ou partenaire pour ordonner un virement ou obtenir des données sensibles. Première source de pertes financières liées au cybercrime : 2,9 milliards USD en 2023 (FBI IC3 2024).
La formation théorique seule ne suffit pas : les études montrent que les collaborateurs oublient 70 % du contenu d'une formation dans la semaine qui suit (Ebbinghaus, répété dans de nombreuses études e-learning). L'approche la plus efficace combine simulation et formation corrective : envoyer de vraies campagnes de phishing simulé (via PhishTrainer), identifier les collaborateurs qui cliquent, puis les rediriger automatiquement vers une formation ciblée (Bexxo Academy). Cette méthode réduit le taux de clic de 60 à 70 % en six mois (Proofpoint 2024). Les simulations régulières (4 à 6 par an) maintiennent le niveau de vigilance dans la durée.
L'IA générative a radicalement changé la menace phishing depuis 2023. Trois évolutions majeures :
  • Emails parfaitement rédigés — fini les fautes d'orthographe qui permettaient de détecter un phishing. Les LLMs génèrent des emails en français impeccable, adaptés au ton de l'entreprise visée. Les emails générés par IA ont un taux de clic 4 fois supérieur aux emails manuels (APWG / Keepnet 2025).
  • Personnalisation à grande échelle — l'IA peut analyser le profil LinkedIn, les posts publics et le site web d'une cible pour créer un spear phishing ultra-réaliste en quelques secondes. Ce qui prenait des heures à un attaquant humain prend maintenant quelques secondes.
  • Deepfakes vocaux et vidéo — des appels vishing imitant la voix d'un dirigeant ou des vidéoconférences entières avec des avatars deepfake ont déjà été utilisés pour déclencher des virements frauduleux (cas documentés en 2024 à Hong Kong : 25 millions USD perdus).
La conséquence directe : la vigilance humaine seule ne suffit plus. La simulation régulière (PhishTrainer) et la formation continue (Bexxo Academy) sont indispensables pour maintenir un niveau de défense adapté à la menace actuelle.
Les principaux signaux d'alerte sont : une adresse d'expéditeur légèrement différente de l'original (ex. support@rnazonl.com au lieu de @amazon.com), un sentiment d'urgence ou de menace poussant à agir vite, une demande de mot de passe ou d'informations bancaires, une URL de lien qui ne correspond pas au site attendu (survolez avant de cliquer), des fautes d'orthographe ou de mise en page. Attention : les emails générés par IA sont désormais parfaitement rédigés — la grammaire seule ne suffit plus à les détecter.
Oui, dans la très grande majorité des cas. Même si un attaquant obtient votre mot de passe via une page de phishing, il ne peut pas se connecter sans le deuxième facteur (code SMS, application d'authentification, clé physique). La MFA bloque 99,9 % des attaques automatisées sur les comptes (Microsoft 2024). La seule exception est le phishing en temps réel (attaque MITM / Adversary-in-the-Middle) qui intercepte le code MFA dans le même instant — ce vecteur reste marginal pour les PME. La recommandation : activer la MFA sur tous les comptes professionnels sans exception.
Oui, et ils peuvent être plus efficaces, précisément parce que les gens s'y attendent moins.

Smishing (SMS) : les SMS ont un taux d'ouverture supérieur à 90 %, contre 20 à 30 % pour les emails. Les messages imitent typiquement une alerte de livraison (La Poste, DHL), un avertissement bancaire ou un message de l'administration. Le lien redirige vers une fausse page de connexion. Sur mobile, l'URL est souvent tronquée et difficile à vérifier.

Vishing (vocal) : l'attaquant appelle directement sa victime en se faisant passer pour le support IT, une banque, ou Microsoft. La pression en temps réel et la voix humaine contournent les défenses habituelles. Les deepfakes vocaux générés par IA permettent désormais d'imiter la voix d'un collègue ou d'un dirigeant connu.

La règle d'or dans les deux cas : ne jamais fournir d'informations sensibles suite à un message ou appel non sollicité — rappeler directement l'organisme via un numéro officiel connu.
Le phishing (ou hameçonnage) est une technique de fraude en ligne qui consiste à envoyer des emails, SMS ou messages qui imitent des communications légitimes (banque, administration, employeur) pour tromper la victime et lui soutirer des informations confidentielles — mots de passe, données bancaires, identifiants professionnels. Le phishing est le vecteur d'entrée le plus utilisé : 91 % des cyberattaques commencent par un email frauduleux (Proofpoint 2024).
Le spear phishing est une variante ciblée du phishing classique : au lieu d'envoyer des millions d'emails génériques, les attaquants personnalisent l'attaque en utilisant des informations réelles sur la victime (nom du responsable, projet en cours, nom d'un fournisseur). Ce ciblage rend l'email beaucoup plus crédible. Le spear phishing représente 66 % des violations de données confirmées (Verizon DBIR 2024). Avec l'IA, les attaquants peuvent désormais générer ces emails personnalisés à grande échelle — le coût d'une attaque ciblée a considérablement baissé.
Agissez immédiatement : (1) déconnectez-vous du réseau de l'entreprise (Wi-Fi, câble) ; (2) signalez l'incident à votre service informatique ou responsable sécurité sans attendre — par téléphone, pas par email ; (3) changez votre mot de passe depuis un autre appareil sécurisé ; (4) ne supprimez pas l'email suspect, il sert à l'analyse forensique ; (5) activez la MFA si ce n'est pas encore fait. Plus vous agissez vite, plus les dégâts peuvent être limités.
Il existe 6 formes principales de phishing :
  • Phishing classique — emails de masse imitant une banque, une livraison ou une administration. Plus de 3,4 milliards d'emails frauduleux envoyés chaque jour (Forbes 2024). Souvent reconnaissable aux fautes et à l'urgence artificielle.
  • Spear phishing — attaque ciblée sur une personne précise, avec des informations réelles (nom du responsable, projet en cours). Représente 66 % des violations confirmées (Verizon DBIR 2024).
  • Whaling — variante du spear phishing visant spécifiquement les dirigeants et cadres, pour accéder aux finances ou aux décisions stratégiques.
  • Smishing — phishing par SMS. Imite généralement une alerte bancaire, une livraison de colis ou un service public. Le taux d'ouverture des SMS est supérieur à 90 % — ce vecteur est en forte croissance.
  • Vishing — phishing vocal par téléphone. Le fraudeur se fait passer pour le support informatique, une banque ou une administration pour soutirer des informations ou déclencher une action immédiate.
  • BEC (Business Email Compromise / Fraude au président) — usurpation d'identité d'un dirigeant ou partenaire pour ordonner un virement ou obtenir des données sensibles. Première source de pertes financières liées au cybercrime : 2,9 milliards USD en 2023 (FBI IC3 2024).
Formez vos équipes

Testez vos équipes pour ancrer les bons réflexes

Ce guide vous donne les réflexes — PhishTrainer les ancre durablement. Notre logiciel suisse envoie de vraies simulations de phishing à vos collaborateurs, identifie les profils vulnérables par équipe et génère des rapports utilisables pour vos audits nLPD. Lors d'une première campagne, 30 à 45 % des collaborateurs cliquent — ce chiffre chute de 60 à 70 % après six mois de simulations régulières (Proofpoint 2024).

Voir la démonstration