Temps de lecture : 10 min
Votre collaborateur reçoit un email de “Microsoft” lui indiquant que son compte va être suspendu dans 24 heures s’il ne se reconnecte pas immédiatement. Le lien l’amène sur une page qui ressemble trait pour trait à la vraie page de connexion Microsoft 365. Il saisit son identifiant et son mot de passe.
Il vient de donner les clés de votre entreprise à un cybercriminel.
Ce scénario se produit en ce moment même, dans des centaines d’entreprises françaises. Les attaques par hameçonnage ont progressé de 50 % entre 2024 et 2025, touchant plus de 1,5 million de victimes en France, pour des pertes estimées à 4,5 milliards d’euros en Europe. Mobilecube
Et la statistique qui devrait vraiment vous alerter : en 2025, 43 % des TPE-PME ont déjà été victimes de phishing — contre 24 % en 2024. En un an, la proportion a presque doublé. Veasio
Le phishing n’est pas un problème technique. C’est un problème humain. Et c’est précisément pour ça que les solutions techniques seules ne suffisent pas — et que la formation de vos équipes est la mesure de protection la plus rentable que vous puissiez prendre.
Pourquoi le phishing est si efficace en PME
Avant de vous apprendre à le reconnaître, il faut comprendre pourquoi il fonctionne aussi bien.
L’erreur humaine reste un facteur majeur dans les violations de données, contribuant à 74 % des incidents de sécurité. Et l’IA façonne désormais les tactiques de phishing, permettant aux cybercriminels de générer des emails sophistiqués en seulement 5 minutes. Sekost
Le phishing exploite des mécanismes psychologiques universels — pas des failles techniques. L’urgence : “Votre compte sera suspendu dans 24h.” L’autorité : “Je suis le PDG, c’est urgent et confidentiel.” La curiosité : “Votre colis n’a pas pu être livré, cliquez ici.” La peur : “Une connexion suspecte a été détectée depuis l’étranger.”
Ces déclencheurs sont efficaces sur tout le monde — le stagiaire comme le directeur financier. 30 % des petites entreprises considèrent le phishing comme leur plus grande menace cybernétique. Et pourtant, 83 % des PME ne sont pas préparées à se remettre des dommages financiers d’une cyberattaque. AgesysAgesys
La combinaison est explosive : la menace la plus fréquente, face à des entreprises insuffisamment préparées.
Les 7 formes de phishing que vous devez connaître
Le phishing ne se limite plus à l’email mal rédigé avec des fautes d’orthographe. En 2026, les attaques sont sophistiquées, personnalisées et multiformes. Voici ce que vos équipes peuvent recevoir.
1. Le phishing de masse (ou “spray and pray”)
C’est la forme la plus connue et la plus répandue. Un email générique envoyé à des millions de destinataires en espérant que certains mordent à l’hameçon. Il imite des marques connues — banques, services publics, opérateurs téléphoniques, plateformes cloud.
Ce qu’on croit : “On reconnaît facilement ces emails à leurs fautes d’orthographe.”
La réalité : l’IA permet aux cybercriminels de générer des emails de phishing parfaitement rédigés en seulement 5 minutes. Les fautes d’orthographe appartiennent au passé. Sekost
2. Le spear phishing — la variante personnalisée
C’est là que ça devient sérieux. Le spear phishing cible un collaborateur précis : l’attaquant a étudié l’organigramme, les réseaux sociaux professionnels et les échanges publics pour imiter parfaitement un collègue, un fournisseur ou un partenaire. Neoxo
Exemple : votre responsable commercial reçoit un email de votre “directeur financier” lui transmettant un avenant de contrat à relire avant signature. L’email contient le vrai prénom du DG, la bonne signature, et un ton parfaitement adapté. La pièce jointe installe un malware.
65 % des entreprises françaises ont été victimes de spear phishing en 2025. Neoxo
3. L’arnaque au président (ou BEC — Business Email Compromise)
Le variant financièrement le plus dévastateur. En France, les arnaques au président représentent plus de 600 millions d’euros de pertes annuelles. Neoxo
Le scénario classique : votre comptable reçoit un email du PDG — ou d’un avocat prétendant travailler pour lui — lui demandant d’effectuer un virement urgent et confidentiel dans le cadre d’une acquisition secrète. Ne pas en parler à l’équipe. Agir vite. Le virement est réel. La récupération est quasi impossible.
4. Le smishing (phishing par SMS)
Les attaques par SMS frauduleux et appels téléphoniques sont en hausse de 35 % en 2025. L’hameçonnage par SMS, notamment via de faux avis d’infraction routière, a généré 280 000 visites sur Cybermalveillance.gouv.fr. NeoxoCybersecurity Agency
Sur smartphone, les signaux d’alerte sont moins visibles — l’URL complète est masquée, l’affichage est différent, et les utilisateurs sont moins méfiants qu’avec un email professionnel.
5. Le vishing (phishing par téléphone)
Un appel d’un “technicien Microsoft” ou d’un “conseiller bancaire” qui demande un accès à votre ordinateur ou vos identifiants. Plus rare mais très efficace, notamment sur les populations moins habituées aux arnaques numériques.
6. Le quishing (phishing par QR code)
Nouveauté en forte progression : un email contient un QR code légitime en apparence. L’utilisateur le scanne avec son téléphone — hors de la protection de la messagerie d’entreprise — et arrive sur une page de vol d’identifiants.
Le QR code contourne les filtres email qui analysent les URLs. C’est précisément pour ça qu’il est de plus en plus utilisé.
7. Le clone phishing
L’attaquant intercepte ou reproduit un email légitime que vous avez réellement envoyé ou reçu — une facture, un bon de commande, une newsletter — et remplace les liens ou les pièces jointes par des versions malveillantes. L’email semble familier. La vigilance baisse.
Les 10 signaux d’alerte à apprendre à vos équipes
Voici la liste concrète que vos collaborateurs doivent pouvoir appliquer immédiatement. Pas de jargon technique — des réflexes simples.
Signal 1 — Une urgence artificielle “Votre compte sera suspendu dans 24h.” “Vous devez confirmer votre identité immédiatement.” “Offre valable jusqu’à ce soir minuit.” L’urgence est le levier psychologique numéro 1. Un email qui vous pousse à agir sans réfléchir mérite précisément… de réfléchir.
Signal 2 — L’expéditeur qui ne correspond pas au domaine affiché Le nom affiché dit “Support Microsoft” mais l’adresse réelle est support-microsoft@helpdesk-365.net. En desktop, passez la souris sur l’expéditeur sans cliquer — l’adresse réelle apparaît. Sur mobile, appuyez sur le nom de l’expéditeur pour voir l’adresse complète.
Signal 3 — Un lien qui ne mène pas là où il prétend Passez la souris sur le lien sans cliquer. L’URL qui s’affiche en bas de l’écran est-elle cohérente avec l’expéditeur ? “microsoft-secure-login.xyz” n’est pas Microsoft. “ameli-remboursement.net” n’est pas l’Assurance Maladie. La page affichée ressemble à celle de Microsoft 365 — l’identifiant et le mot de passe sont saisis. Si le MFA n’est pas actif, le compte peut être rapidement exploité. Cyber Solferino
Signal 4 — Une pièce jointe non sollicitée Vous n’attendiez pas cette facture, ce bon de commande, ce CV. L’expéditeur est inconnu ou inhabituel. Ne jamais ouvrir une pièce jointe non sollicitée — même si l’expéditeur semble légitime. Les comptes peuvent être compromis et utilisés pour envoyer des malwares aux contacts.
Signal 5 — Une demande de virement ou de changement de RIB C’est le signal le plus critique pour votre service comptabilité. Tout email demandant un virement urgent, un changement de coordonnées bancaires ou une modification de RIB fournisseur doit être vérifié par téléphone — sur un numéro que vous connaissez déjà, pas celui indiqué dans l’email.
Signal 6 — Une demande de confidentialité inhabituelle “Ne parlez pas de ceci à votre équipe.” “C’est une opération sensible.” “Je compte sur votre discrétion.” Cette injonction au secret est la marque de fabrique de l’arnaque au président. Dans une entreprise saine, les virements importants ne se font jamais dans le secret.
Signal 7 — Un email qui demande vos identifiants Aucun service légitime — Microsoft, Google, votre banque, les impôts — ne vous demandera jamais vos identifiants par email. Jamais. C’est une règle absolue.
Signal 8 — Un expéditeur connu mais un comportement inhabituel Une fois dans la messagerie, l’attaquant observe. Il lit les échanges avec les clients, les fournisseurs, le cabinet comptable ou la direction. Il peut ensuite envoyer des emails depuis votre propre compte — ou depuis un compte très proche — avec un contexte parfaitement plausible. Si le ton ou la demande vous semble inhabituel, appelez l’expéditeur pour confirmer. Cyber Solferino
Signal 9 — Des salutations génériques “Cher client”, “Bonjour utilisateur”, “Madame, Monsieur” — un email légitime d’un service que vous utilisez connaît votre nom. Ce n’est plus un critère suffisant à lui seul (le spear phishing vous cible par nom), mais c’est un premier filtre utile.
Signal 10 — L’URL de connexion qui ne correspond pas Avant de saisir vos identifiants sur une page de connexion, regardez la barre d’adresse. Est-ce que l’URL commence bien par “https://” ? Est-ce que le domaine est exact — “microsoft.com” et non “microsofft.com” ou “microsoft-login.com” ? Un caractère de différence peut être la seule chose qui distingue une vraie page d’une fausse.
Ce qui se passe quand un collaborateur clique
Comprendre les conséquences d’un clic — pas pour faire peur, mais pour mesurer l’enjeu réel.
Scénario 1 — Vol d’identifiants Le collaborateur saisit ses identifiants sur une fausse page de connexion. L’attaquant dispose maintenant de son accès à la messagerie, aux outils cloud, aux applications métier. Une fois dans la messagerie, il lit les échanges, identifie les clients importants, les fournisseurs, les montants des virements. Il prépare une arnaque ciblée — et attend le bon moment. Cyber Solferino
Scénario 2 — Installation de malware Le collaborateur ouvre une pièce jointe piégée. Un malware s’installe silencieusement. Pendant des semaines, il cartographie votre réseau, élève ses privilèges, identifie vos sauvegardes. Puis, au moment choisi par l’attaquant, il déclenche le ransomware. Le scénario classique reste redoutable — et c’est souvent ainsi que commencent les attaques les plus dévastatrices. Cyber Solferino
Scénario 3 — Virement frauduleux Le collaborateur comptable, convaincu d’exécuter un ordre du PDG, réalise un virement vers un compte contrôlé par les criminels. En France, le délai moyen de détection est de plusieurs jours — largement suffisant pour que l’argent disparaisse via des virements en cascade. Ces fraudes représentent plus de 600 millions d’euros de pertes annuelles pour les entreprises françaises. Neoxo
Comment former vos équipes : le guide pratique
La bonne nouvelle : une formation anti-phishing efficace ne nécessite ni budget colossal ni expert dédié. Elle nécessite de la méthode et de la régularité.
Étape 1 — Commencer par un test de référence
Avant toute formation, mesurez où vous en êtes. Où est le niveau de vulnérabilité réel de vos équipes ? Sans cette baseline, vous ne pouvez pas mesurer vos progrès.
Envoyez de faux emails de phishing à vos collaborateurs. Ceux qui cliquent reçoivent une formation complémentaire immédiate. L’objectif à atteindre : passer sous 5 % de taux de clic. Neoxo
Ce test initial vous donnera deux informations cruciales : le niveau de risque actuel et les profils les plus vulnérables (souvent les nouveaux arrivants, les équipes commerciales et comptables, et les collaborateurs les moins familiers avec les outils numériques).
Étape 2 — Une session de sensibilisation initiale pour tous
Une session de 45 minutes pour l’ensemble des collaborateurs, avec une présentation des menaces, des exemples concrets d’emails frauduleux, et les bonnes pratiques. Neoxo
Points clés à couvrir :
- Les 7 types de phishing et comment ils fonctionnent
- Les 10 signaux d’alerte (cette liste est parfaite à distribuer en PDF)
- La procédure de signalement : que faire si on a un doute ? Si on a cliqué ?
- Les exemples réels ciblant votre secteur d’activité
Un point sur le ton : évitez le registre culpabilisant. L’objectif n’est pas de faire honte aux collaborateurs qui se font avoir — c’est de les équiper pour ne plus se faire avoir. Un environnement bienveillant favorise le signalement. Un environnement punitif favorise la dissimulation.
Étape 3 — Des simulations régulières, pas ponctuelles
Les campagnes de simulation de phishing se basent sur des attaques réalistes imitant les techniques des cybercriminels. En exposant vos équipes à des scénarios variés, vous renforcez leur vigilance et leur capacité à reconnaître les signes d’un email frauduleux. MonScoreSecurite
La fréquence recommandée : une simulation par trimestre minimum. Pourquoi ? Parce que la vigilance s’érode naturellement avec le temps. Un collaborateur formé en janvier et jamais retesté aura baissé sa garde en septembre. Informez systématiquement vos équipes des dernières techniques et méthodes de phishing développées par les cybercriminels, afin d’assurer une protection durable. Vytalx
Les outils de simulation accessibles aux PME : GoPhish (open source, gratuit), KnowBe4, Riot, Proofpoint Security Awareness. Ces plateformes permettent d’envoyer des faux emails de phishing, de mesurer les taux de clic, et de déclencher automatiquement une micro-formation pour les collaborateurs qui ont cliqué.
Étape 4 — Mettez en place un bouton de signalement
Mettez en place un bouton de signalement directement dans la messagerie. Chaque email suspect signalé est analysé par votre prestataire IT. Récompensez les signalements pertinents. Neoxo
C’est la mesure organisationnelle la plus sous-estimée. Quand un collaborateur a un doute, il doit avoir un réflexe clair et un canal simple pour le signaler — pas un numéro de téléphone à chercher ou un processus compliqué. Plus le signalement est facile, plus vous détecterez d’emails malveillants avant qu’ils causent des dégâts.
Sur Microsoft 365, le bouton “Signaler comme phishing” est natif. Sur d’autres environnements, des plugins dédiés existent (Cofense Reporter, ESET Phishing Reporter, etc.).
Étape 5 — Adaptez les formations aux profils à risque
Tous vos collaborateurs ne sont pas exposés de la même façon. Le contenu, la durée et les modalités pédagogiques doivent s’adapter à la maturité de chaque population. Aventris
Équipe comptable et financière : formation spécifique sur l’arnaque au président et le changement de RIB. Procédure stricte de double validation pour tout virement supérieur à un seuil défini. Aucun virement ne s’effectue sur la base d’un seul email, quelle que soit l’urgence invoquée.
Direction et assistants de direction : formation sur le spear phishing et le whaling (phishing ciblant les dirigeants). Ce sont les profils les plus ciblés et souvent les moins formés.
Nouveaux arrivants : intégrer la formation phishing dans l’onboarding, dans les premières semaines. Ne pas attendre “la prochaine session annuelle”.
Équipes commerciales et RH : très exposées via LinkedIn et les candidatures — une pièce jointe de CV peut contenir un malware. Formation spécifique sur les emails entrants d’inconnus.
Étape 6 — Mesurez et communiquez les progrès
La formation anti-phishing doit être pilotée comme n’importe quel autre indicateur de performance. Mesurez :
- Le taux de clic sur vos simulations (objectif : descendre sous 5 %)
- Le taux de signalement des emails suspects (indicateur de culture sécurité)
- Le délai entre la réception et le signalement
- L’évolution des indicateurs trimestre après trimestre
Communiquez ces résultats à vos équipes — en valorisant les progrès, pas en stigmatisant les moins bons scores. La cybersécurité en entreprise n’est pas qu’une affaire de techniciens : c’est l’affaire de tous, au quotidien. Eurenet
Les mesures techniques qui amplifient votre formation
La formation humaine est indispensable. Elle est aussi plus efficace quand elle s’appuie sur des mesures techniques qui réduisent la surface d’attaque.
SPF, DKIM, DMARC : les trois boucliers de votre messagerie
Le protocole DMARC permet de vérifier que les emails entrants proviennent bien de l’expéditeur déclaré, bloquant de nombreuses tentatives d’hameçonnage avant qu’elles n’atteignent les boîtes de réception. Ces trois protocoles d’authentification des emails devraient être configurés sur tous les domaines d’entreprise. Demandez à votre prestataire de les mettre en place si ce n’est pas déjà fait — c’est une opération de quelques heures. Sekost
Le MFA : le filet de sécurité quand un collaborateur se fait avoir
Même si un collaborateur donne ses identifiants sur une fausse page, le MFA empêche l’attaquant de se connecter avec ces seuls identifiants. L’authentification multifacteur bloque 99,9 % des attaques par vol de mot de passe selon Microsoft. C’est le complément technique indispensable à votre formation humaine. Neoxo
Le filtrage DNS et anti-phishing
Des solutions de filtrage DNS (Cisco Umbrella, Cloudflare Gateway, NextDNS) bloquent l’accès aux sites de phishing connus avant même que la page se charge — même si le collaborateur a cliqué sur le lien. Une couche de protection supplémentaire qui n’empêche pas la formation mais limite les dégâts des clics involontaires.
Que faire si un collaborateur a cliqué ?
La réaction dans les premières minutes est critique. Voici la procédure à afficher dans vos bureaux — sous forme de fiche papier.
Étape 1 — Ne pas avoir honte, alerter immédiatement. C’est l’étape la plus importante et la plus difficile. Un collaborateur qui a cliqué et attend pour voir si “il ne se passe rien” laisse l’attaquant agir en silence. La culture du signalement sans punition est essentielle.
Étape 2 — Déconnecter le poste du réseau immédiatement. Câble ethernet : débranchez-le. Wi-Fi : désactivez-le. Ne pas éteindre le poste — l’état mémoire peut contenir des informations utiles pour l’analyse.
Étape 3 — Changer les mots de passe depuis un autre appareil. Si des identifiants ont été saisis sur une fausse page, changez-les immédiatement depuis un appareil non compromis — idéalement votre téléphone avec sa connexion mobile.
Étape 4 — Alerter votre prestataire informatique ou votre responsable sécurité. Ils procéderont à l’analyse du poste, vérifieront les connexions suspectes dans vos logs et décideront des mesures de confinement.
Étape 5 — Vérifier les règles de transfert dans la messagerie. Après une compromission de compte, l’attaquant crée souvent des règles de transfert automatique vers une adresse externe pour rester informé de vos échanges. Vérifiez immédiatement si des règles suspectes ont été créées dans la messagerie du compte concerné. Cyber Solferino
Le coût d’une formation vs le coût d’une attaque
Voici le calcul que chaque dirigeant devrait faire.
Une campagne de simulation de phishing avec formation associée coûte entre 500 et 3 000€ par an pour une PME de 20 personnes. Une session de sensibilisation animée par un expert : entre 800 et 2 500€. Soit un total annuel de 1 500 à 5 000€ pour une PME correctement formée.
Face à ça : 60 % des PME victimes d’une attaque sérieuse ferment dans les 18 mois suivant l’incident. 47 % perdent des prospects et 43 % perdent des clients. Eurenet
Le retour sur investissement d’une bonne formation anti-phishing est parmi les meilleurs que vous puissiez faire dans votre entreprise.
En résumé : votre plan d’action en 5 étapes
Cette semaine : Vérifiez que le MFA est activé sur votre messagerie et votre VPN. Si ce n’est pas le cas, c’est votre priorité absolue — avant même la formation.
Ce mois-ci : Organisez une session de sensibilisation de 45 minutes pour l’ensemble de vos collaborateurs. Distribuez la liste des 10 signaux d’alerte en PDF. Mettez en place le bouton de signalement dans votre messagerie.
Ce trimestre : Lancez une première simulation de phishing pour mesurer votre taux de clic de référence. Formez spécifiquement vos équipes comptables et financières sur l’arnaque au président.
Cette année : Planifiez 4 simulations sur l’année. Intégrez la formation phishing dans l’onboarding des nouveaux collaborateurs. Vérifiez que SPF, DKIM et DMARC sont correctement configurés sur votre domaine.
En continu : Informez régulièrement vos équipes des nouvelles techniques et méthodes de phishing, en envoyant de brèves notifications pour maintenir la vigilance sans prendre trop de temps sur leur journée de travail. Vytalx
FAQ — Vos questions sur le phishing en PME
Mon filtre anti-spam ne suffit-il pas à me protéger ? Non. Les filtres anti-spam bloquent une grande partie du phishing de masse, mais ils sont bien moins efficaces contre le spear phishing personnalisé et les emails légitimes dont les liens ont été remplacés. Une approche multicouche combinant DMARC, surveillance continue et formation des employés est indispensable. Sekost
Un collaborateur qui a cliqué doit-il être sanctionné ? Non — et c’est souvent contre-productif. Un collaborateur sanctionné cachera ses incidents. Un collaborateur dans un environnement bienveillant les signalera immédiatement. L’objectif est la culture du signalement, pas la culpabilisation.
Quelle fréquence pour les simulations de phishing ? Minimum une fois par trimestre. Les études montrent que la vigilance baisse significativement après 6 mois sans simulation. Les campagnes automatisées et continues — qui simulent des attaques aléatoires avec des scénarios variés — maintiennent une vigilance constante sans intervention manuelle fréquente. MonScoreSecurite
Comment différencier un vrai email Microsoft d’un faux ? Vérifiez systématiquement l’adresse d’expédition complète (pas seulement le nom affiché), l’URL de la page de connexion avant de saisir quoi que ce soit, et la cohérence de la demande. En cas de doute, allez directement sur le site officiel via votre navigateur — ne cliquez jamais sur le lien de l’email.
NIS2 impose-t-elle une formation anti-phishing ? Oui. L’article 21 de la directive NIS2 impose explicitement la sensibilisation et la formation des collaborateurs aux risques cyber. Pour les entités concernées, cette formation n’est plus optionnelle — elle fait partie des obligations documentées que l’ANSSI peut contrôler.
Article rédigé par l’équipe CyberDiagnostic.fr — Nous aidons les dirigeants de PME à comprendre et améliorer leur niveau de cybersécurité, sans jargon et sans budget de grand groupe.
→ Évaluez le niveau de sensibilisation de votre entreprise sur cyberdiagnostic.fr — 9,99€ — Résultat en 10 minutes