Sensibilisation 6 min de lecture

Reconnaître un email de phishing en 30 secondes

La plupart des attaques contre les PME suisses commencent par un email. Pas un email sophistiqué : un email basique, qui aurait pu être démasqué en moins d'une minute si quelqu'un avait pris le temps de regarder cinq choses précises.

Cet article décrit cette méthode. Elle tient sur une carte de visite, et c'est exactement le genre de chose que je donne aux équipes lors d'un Bouclier Humain. Vous pouvez la transmettre à vos collaborateurs telle quelle.

Signal 1 — L'expéditeur réel

Le nom affiché ne veut rien dire. N'importe qui peut envoyer un email signé "Crédit Suisse" ou "Direction générale". Ce qui compte, c'est l'adresse réelle après le @.

À regarder en 5 secondes :

  • Le domaine après @ correspond-il à l'organisation prétendue ?
  • Y a-t-il un caractère manipulé (un 0 à la place du o, un rn qui imite un m) ?
  • L'extension est-elle inhabituelle (.info, .xyz, .ru pour une banque suisse) ?

Sur un téléphone, l'adresse est souvent masquée. Apprenez à vos équipes à appuyer longuement sur l'expéditeur pour la voir en entier avant de cliquer.

Signal 2 — Urgence ou peur

Un phishing efficace ne vous laisse pas le temps de réfléchir. Il vous met sous pression :

  • « Votre compte sera bloqué dans 24 heures. »
  • « Action urgente requise — paiement à effectuer aujourd'hui. »
  • « Le directeur attend votre virement pour midi, c'est confidentiel. »
  • « Votre colis ne pourra pas être livré sans confirmation. »

Règle simple : plus l'urgence est forte, plus il faut prendre son temps. Une vraie urgence se vérifie par téléphone, sur le numéro habituel — jamais celui indiqué dans l'email.

Signal 3 — Les liens

Un lien dans un email peut afficher n'importe quel texte et pointer vers n'importe où. Le texte www.postfinance.ch peut très bien rediriger vers un site russe.

Méthode : survol sans cliquer.

  • Sur ordinateur, passez la souris sur le lien sans cliquer. L'URL réelle apparaît en bas de l'écran.
  • Sur mobile, appuyez longuement sur le lien : une prévisualisation s'affiche.
  • Si l'URL réelle ne correspond pas au texte affiché, c'est un signal très fort.
  • Méfiez-vous des raccourcisseurs (bit.ly, tinyurl) dans un contexte professionnel.

Dans le doute, n'utilisez jamais le lien. Tapez l'adresse vous-même dans votre navigateur, ou passez par votre favori habituel.

Signal 4 — Les pièces jointes

Une pièce jointe inattendue est un signal d'alerte par défaut, même si elle vient d'un contact connu. Et il y a quelques types de fichiers qui devraient déclencher une vraie pause :

  • .exe, .bat, .cmd, .scr : jamais légitimes dans un email professionnel.
  • .zip protégé par mot de passe : technique classique pour échapper aux antivirus.
  • Documents Office qui demandent d'activer les macros : refus systématique.
  • PDF qui ouvrent une page de connexion : très souvent du phishing.

Si vous attendiez vraiment un document, mais que la pièce jointe vous paraît bizarre, appelez l'expéditeur avant d'ouvrir.

Signal 5 — Les incohérences contextuelles

C'est le signal le plus difficile à apprendre, mais le plus fiable. Posez-vous trois questions :

  • Attendais-je ce message ? Une facture d'un fournisseur avec qui je n'ai pas de relation. Un colis que je n'ai pas commandé. Un changement de RIB que mon comptable n'a jamais évoqué.
  • Le ton correspond-il à l'expéditeur ? Mon patron ne signe jamais "Cordialement, M. Dupont". Mon partenaire commercial ne demande jamais un virement en CHF urgents par email.
  • Le canal est-il habituel ? Si une demande passe normalement par un portail ou un téléphone, pourquoi arrive-t-elle par email cette fois ?
Le phishing exploite le pilote automatique. Cinq secondes de "pourquoi est-ce que je reçois ça maintenant ?" suffisent souvent à le démasquer.

Que faire si vous avez cliqué ?

Personne n'est à l'abri. Si vous avez cliqué sur un lien suspect ou saisi vos identifiants sur une fausse page, voici l'ordre des actions :

  1. Ne paniquez pas, ne supprimez rien. Les traces sont précieuses pour l'analyse.
  2. Déconnectez le poste du réseau (Wi-Fi coupé, câble débranché).
  3. Changez immédiatement le mot de passe du compte concerné, depuis un autre appareil.
  4. Activez (ou revérifiez) la MFA sur ce compte.
  5. Prévenez votre responsable IT ou votre prestataire. Plus c'est rapide, moins ça coûte.
  6. Si une fraude financière est en cours, contactez immédiatement la banque pour bloquer l'opération.

En Suisse, vous pouvez également signaler l'incident à l'OFCS (Office fédéral de la cybersécurité) : cela ne déclenche pas d'enquête lourde, mais contribue à la cartographie nationale des menaces.

Former vos équipes en 90 minutes

Le Bouclier Humain reprend cette méthode et l'ancre dans des exemples concrets, en présentiel ou en visio. Dès 550 CHF jusqu'à 10 participants. Aide-mémoire à afficher au bureau fourni.

CyberSuisse logo
Modesto CybersécuritéCybersécurité PME · Suisse
Biel/Bienne, Suisse
078 208 95 45[email protected]

Navigation

Prestations

© 2025 CyberSuisse — Luís Modesto / Consultant indépendant en cybersécurité / Biel/Bienne, Suisse