background

Phishing - Les Bonnes pratiques

Une personne informée en vaut deux !

Apprennez à déjouer les pièges du Phishing

icon

Checklist
Globale
icon

Liens et
Pièces Jointes
icon

Urgence et
Pression
icon

Mots de passe et
MFA
icon

Phishing en
Entreprise
icon

Phishing
Évolue

Ne tombez plus dans le piège : Vérifiez Liens et Pièces Jointes

1. Comment vérifier un lien (AVANT de cliquer)

Survolez avec la souris

Sur un ordinateur, passez simplement le curseur de votre souris sur le lien SANS cliquer. L'adresse URL réelle s'affichera généralement en bas à gauche de votre navigateur.

Appuyez longuement sur mobile

Sur un smartphone ou une tablette, appuyez et maintenez votre doigt sur le lien. Une fenêtre pop-up affichera l'URL complète.

Analysez l'URL affichée

  • Ressemble-t-elle exactement au site attendu ? (Ex: `banque.fr` et non `banque-securise.com` ou `banque.fr.info.net`)
  • Y a-t-il des fautes d'orthographe ? (Ex: `googlle.com` au lieu de `google.com`)
  • Utilise-t-elle le protocole sécurisé HTTPS (indiqué par un cadenas dans la barre d'adresse une fois sur le site) ?

En cas de doute

N'ouvrez pas le lien. Allez directement sur le site concerné en tapant l'adresse dans votre navigateur ou en utilisant un favori enregistré.

2. Précautions avec les pièces jointes

Attendez-vous à la pièce jointe ?

Si vous ne vous attendiez pas à recevoir un document de cet expéditeur, soyez extrêmement prudent(e).

Méfiez-vous des types de fichiers suspects

Soyez très vigilant(e) avec les fichiers exécutables (.exe), les archives (.zip, .rar), ou les documents Office (.doc, .docx, .xls, .xlsx, .ppt, .pptx) s'ils proviennent d'une source inattendue, surtout s'ils demandent d'activer les macros.

Analysez le contexte

Le contenu de l'email justifie-t-il la présence d'une pièce jointe ? Le nom du fichier est-il logique ?

En cas de doute

Ne téléchargez pas et n'ouvrez pas la pièce jointe. Contactez l'expéditeur par un autre moyen (téléphone, nouveau mail tapé manuellement) pour confirmer l'envoi.

Votre vigilance est votre meilleure protection contre les cyberattaques.

Le Phishing Évolue : Connaissez les Différentes Formes

1. Quelques formes courantes de Phishing

Spear Phishing

Attaque très ciblée visant une personne ou un petit groupe au sein de l'entreprise. L'email est très personnalisé et utilise des informations spécifiques sur la cible pour paraître légitime.

Whaling

Cible spécifiquement les cadres supérieurs ou les personnes ayant un accès privilégié à des informations financières ou sensibles.

Smishing

Phishing réalisé par SMS. Le message contient un lien malveillant ou demande de rappeler un numéro frauduleux.

Vishing

Phishing par appel téléphonique (Voice Phishing). Le fraudeur se fait passer pour un interlocuteur de confiance (banque, support technique, administration) pour vous soutirer des informations.

Pharming

Technique qui redirige le trafic d'un site web légitime vers un faux site sans même que la victime ne clique sur un lien, souvent via la modification de fichiers système sur l'ordinateur.

Business Email Compromise (BEC)

Fraude au président ou fraude au fournisseur. L'attaquant se fait passer pour un dirigeant ou un partenaire commercial pour ordonner un virement urgent.

Restez informé(e) des nouvelles tactiques pour mieux les déjouer.

Checklist : Comment vérifier si un email est légitime ?

1. Quelques formes courantes de Phishing

Expéditeur

Vérifiez l'adresse email complète. Est-ce l'adresse officielle de l'organisme ou y a-t-il des variations subtiles ?

Orthographe et Grammaire

L'email contient-il des fautes d'orthographe, de grammaire ou des tournures de phrase étranges ?

Formule d'appel

Est-elle impersonnelle ("Cher client", "Bonjour utilisateur") ou utilise-t-elle votre nom ?

Destination du lien

Survolez le lien (sans cliquer !) pour voir l'URL réelle. Correspond-elle au site officiel attendu ?

Pièces jointes

Attendez-vous à cette pièce jointe ? Le type de fichier est-il suspect ?

Urgence ou Menace

Le message crée-t-il un sentiment d'urgence ou contient-il des menaces pour vous pousser à agir vite ?

Demande inhabituelle

La demande (virement, information, action...) est-elle étrange ou inattendue dans ce contexte ?

Demande de données sensibles

L'email vous demande-t-il votre mot de passe, vos coordonnées bancaires ou d'autres informations confidentielles ?

Vérification externe

En cas de doute, vérifiez l'information en contactant l'organisme directement via leur site officiel ou par téléphone (ne répondez pas à l'email suspect).

Signalement

Si l'email vous semble suspect, signalez-le à votre service informatique.

En appliquant ces vérifications, vous augmenterez considérablement votre capacité à identifier les tentatives de phishing.

Incident Phishing en Entreprise : La Bonne Réaction

1. Les étapes à suivre IMMÉDIATEMENT

Ne paniquez pas, mais agissez vite

Le temps est un facteur clé pour limiter les dégâts.

Signalez l'incident SANS DÉLAI

  • Informez immédiatement votre supérieur hiérarchique.
  • Contactez le service informatique ou le responsable sécurité (RSSI) de l'entreprise. Utilisez les canaux de communication officiels (téléphone, outil de signalement interne) et non l'email potentiellement compromis.
  • Décrivez précisément ce qui s'est passé (clic, ouverture de pièce jointe, informations saisies, etc.).

Isolez votre appareil

Déconnectez-vous du réseau de l'entreprise (débranchez le câble Ethernet, désactivez le Wi-Fi). N'éteignez pas votre ordinateur sauf instruction contraire de l'IT, car cela pourrait empêcher la collecte de preuves.

Ne supprimez rien

Ne supprimez pas l'email suspect ou les fichiers potentiellement téléchargés. Ils sont importants pour l'analyse de l'incident.

Changez vos mots de passe

Si vous avez saisi votre mot de passe de session ou tout autre mot de passe professionnel, changez-le immédiatement. Idéalement, faites-le depuis un autre appareil sécurisé si possible.

Soyez prêt(e) à coopérer

Le message crée-t-il un sentiment d'urgence ou contient-il des menaces pour vous pousser à agir vite ?

Demande inhabituelle

L'équipe IT aura besoin de votre collaboration pour investiguer et nettoyer les systèmes si nécessaire.

2. Pourquoi signaler est essentiel

Identification

Permet d'identifier et de bloquer rapidement la menace pour protéger les autres employés.

Propagation

Limite la propagation d'éventuels malwares sur le réseau de l'entreprise.

Aider

Aide l'équipe de sécurité à comprendre les tactiques utilisées et à renforcer les défenses.

Votre honnêteté et votre réactivité sont essentielles pour la sécurité collective.

Votre Ligne de Défense : Mots de Passe Forts et MFA

1. Mots de Passe Forts

Longueur

Un mot de passe doit idéalement contenir au moins 12 caractères.

Complexité

Mélangez majuscules, minuscules, chiffres et caractères spéciaux (!@#$%^&*).

Unicité

N'utilisez JAMAIS le même mot de passe pour différents comptes, surtout professionnels et personnels.

Évitez les informations personnelles

N'utilisez pas votre nom, date de naissance, nom d'un proche, nom d'animal...

Utilisez une phrase de passe

Une phrase facile à retenir pour vous mais difficile à deviner (Ex: "MonChatAdoreLesCroquettesBleues!7").

Pensez au gestionnaire de mots de passe

Un outil sécurisé pour générer et stocker vos mots de passe complexes.

2. Authentification Multi-Facteurs (MFA)

Qu'est-ce que c'est ?

La MFA demande au moins deux preuves de votre identité pour vous connecter (quelque chose que vous savez - mot de passe, quelque chose que vous avez - téléphone/token, quelque chose que vous êtes - empreinte digitale/reconnaissance faciale).

Pourquoi c'est crucial ?

Même si un fraudeur obtient votre mot de passe (par phishing par exemple), il ne pourra pas se connecter sans le deuxième facteur d'authentification.

Activez-la partout

Activez la MFA sur tous vos comptes professionnels et personnels qui le proposent (email, VPN, applications, banques, réseaux sociaux...).

Mots de passe forts + MFA = Une sécurité grandement renforcée.

Attention aux tactiques de Phishing : Urgence et Pression

1. Comment reconnaître cette tactique

Délais très courts

"Vous avez 24 heures pour répondre", "Votre compte sera supprimé sous peu si vous n'agissez pas".

Menaces

"Votre compte a été compromis", "Vous risquez une amende", "Votre livraison ne pourra pas être effectuée".

Demandes inhabituelles et urgentes

Un supérieur hiérarchique qui demande un virement bancaire urgent par email, une demande de carte cadeau immédiate, etc.

Ton alarmiste

Utilisation de majuscules, points d'exclamation excessifs, formulations dramatiques.

2. Comment réagir face à l'urgence

Prenez votre temps

Un email important ne nécessite généralement pas une action immédiate sous peine de conséquences désastreuses. Respirez et analysez calmement le message.

Ne cliquez pas

Évitez de cliquer sur les liens ou d'ouvrir les pièces jointes si vous ressentez une pression.

Vérifiez par un autre canal

Si le message prétend venir d'une personne ou d'un organisme que vous connaissez, contactez-les directement par un moyen habituel (téléphone, application officielle, site web) pour vérifier l'information. N'utilisez PAS les coordonnées fournies dans l'email suspect.

Parlez-en

Si vous avez un doute sur un email, parlez-en à un collègue ou contactez votre service informatique avant d'agir.

Ne laissez pas la pression vous faire commettre une erreur. La vérification est la clé.

Formez vos équipes

Formez vos équipes avec PhishTrainer.

Avec PhishTrainer, transformez vos collaborateurs en première ligne de défense face au phishing. Simulez, sensibilisez et sécurisez votre entreprise durablement grâce à des campagnes de phishing réalistes et engageantes.

Voir la démonstration

Contactez Nous

Nous traiterons vos informations personnelles conformément à notre politique de confidentialité.

Merci, votre message a été envoyé avec succès.
Erreur ! Le message n'a pas pu être envoyé.