Pourquoi cet article doit devenir une réunion d'équipe

Aucun outil technique ne remplace la vigilance humaine sur l'email. Une équipe formée bloque en amont ce que l'antivirus, le filtre anti-spam et l'EDR ne verront pas. Et la formation ne demande ni budget ni licence : dix minutes lundi matin, ça suffit pour démarrer. Ensuite, c'est une habitude qu'on entretient.

Signal 1 : l'expéditeur ne tient pas la route

Un email de phishing affiche souvent un nom connu (votre banque, Microsoft, La Poste) mais une adresse incongrue.

service-securite@micr0soft-help.com — un zéro à la place du O.
compte@laposte-suivicolis.com — laposte.fr serait le vrai domaine.
direction@votreentreprise-fr.com alors que votre domaine est en .fr.

Le réflexe à enseigner : regarder l'adresse complète, pas le nom affiché. Sur mobile, c'est souvent caché : forcer l'affichage en cliquant sur le nom de l'expéditeur.

Signal 2 : le ton joue sur l'émotion

Phishing & psychologie : l'attaquant veut court-circuiter votre réflexion. Quatre leviers reviennent constamment :

Urgence : « Votre compte sera désactivé dans 24 heures. »
Peur : « Vos données ont été exposées dans une fuite. »
Autorité : « Le PDG demande un virement urgent vers ce compte fournisseur. »
Curiosité : « Voici le rapport interne dont je vous ai parlé. »

Le réflexe à enseigner : plus l'email vous met sous pression, plus il faut s'arrêter. Une vraie demande légitime laisse le temps de vérifier.

Signal 3 : le lien ne va pas où il prétend

Un lien https://votrebanque.fr/connexion peut très bien rediriger vers https://votreebanque-secure.com. Sur ordinateur, survolez le lien sans cliquer : l'URL réelle s'affiche en bas de l'écran. Si elle ne correspond pas au texte du lien, le contenu est suspect.

Sur mobile, c'est plus dur : maintenez votre doigt sur le lien (sans relâcher) jusqu'à voir un aperçu de l'URL.

Le réflexe à enseigner : si vous avez un doute, n'utilisez jamais le lien de l'email. Tapez l'adresse vous-même dans le navigateur, ou utilisez votre favori habituel.

Signal 4 : la pièce jointe est inattendue ou bizarre

Trois types de pièces jointes doivent déclencher l'alerte :

Une archive .zip ou .rar reçue d'un expéditeur que vous ne connaissez pas, ou d'un fournisseur sans préavis.
Un document Office (Word, Excel) qui demande d'activer les macros. Les macros sont régulièrement exploitées pour exécuter du code malveillant.
Un fichier qui se présente comme un PDF mais a une extension .html, .js, .exe ou double extension .pdf.exe.

Le réflexe à enseigner : en cas de doute, ne pas ouvrir, transférer au prestataire (ou à nous) pour analyse.

Signal 5 : la demande est inhabituelle, même si elle vient d'un proche

C'est la fraude au président : un email apparemment du dirigeant, qui demande à un comptable un virement urgent vers un compte qu'il ne connaît pas. Souvent envoyé un vendredi après-midi pour limiter la possibilité de vérification.

Variante moderne : l'email vient bien d'une vraie adresse (l'attaquant a compromis le compte), donc tous les contrôles techniques passent. Seule la nature de la demande est anormale.

Le réflexe à enseigner : toute demande financière inhabituelle se vérifie par un autre canal. Un coup de fil au numéro habituel du dirigeant, jamais en répondant à l'email. La règle vaut autant pour 1 500 € que pour 50 000 €.

Comment animer la réunion lundi

10 minutes max. Pas une formation magistrale, un échange.
Présentez les 5 signaux avec un exemple concret pour chacun (ce qui précède en fournit).
Annoncez la procédure « en cas de doute » : à qui transférer, comment signaler.
Promettez un retour bienveillant : signaler une fausse alerte est toujours préférable au silence. Pas de moquerie en cas d'erreur — sinon les prochaines erreurs ne remonteront pas.
Refaites un point dans 6 mois, idéalement avec un test phishing simulé pour mesurer les progrès.

Et techniquement, qu'est-ce qui aide ?

La sensibilisation est la première barrière, pas la seule. Trois mesures techniques renforcent l'humain :

SPF, DKIM, DMARC sur votre domaine email : empêche les attaquants d'envoyer des emails en votre nom à vos partenaires.
MFA partout : si un mot de passe est volé via phishing, l'attaquant ne peut pas se connecter sans le second facteur. Voir notre définition MFA.
Filtrage email avancé : la majorité des suites email modernes (Microsoft 365, Google Workspace) incluent des protections contre l'impersonation, à activer.

À retenir. Cinq signaux suffisent à repérer la quasi-totalité des phishing : expéditeur, ton, lien, pièce jointe, demande inhabituelle. Faites-en une routine d'équipe, complétez par MFA + SPF/DKIM/DMARC, et vous traitez le risque numéro un de votre PME.

Phishing : 5 signaux à apprendre à votre équipe lundi matin