Phishing Cybersécurité Email Sensibilisation

Reconnaître un Email de Phishing : Guide Pratique

Par Meldis

En résumé

  • La majorité des cyberattaques commencent par un email de phishing (Source: ANSSI)
  • 3 familles d’indices à vérifier : visuels (expéditeur, liens), psychologiques (urgence, peur), techniques (en-têtes, certificats)
  • L’IA générative rend les emails frauduleux de plus en plus crédibles
  • En cas de doute, ne cliquez pas et signalez à votre service IT
  • Meldis propose des simulations de phishing et des formations de sensibilisation

La majorité des cyberattaques commencent par un email de phishing, le phishing reste le principal vecteur d’attaque selon les études sectorielles et les recommandations de l’ANSSI.

Ce constat ne surprend pas vraiment quand on y réfléchit. La boîte mail reste la porte d’entrée la plus simple vers une entreprise. Pas besoin de pirater un pare-feu sophistiqué quand un simple clic d’un collaborateur suffit.

Le phishing, ou hameçonnage, fonctionne sur un principe vieux comme le monde: usurper l’identité de quelqu’un de confiance pour obtenir ce qu’on veut. Votre banque, Microsoft, un collègue, un fournisseur. L’attaquant enfile un costume crédible et vous demande poliment vos identifiants, un virement, ou simplement de cliquer sur un lien. Pour une vue d’ensemble des types d’attaques et des obligations NIS2, consultez notre guide complet du phishing en entreprise.

Dans nos simulations de phishing, nous observons que même des équipes sensibilisées se font parfois piéger. La raison? Les emails frauduleux sont de mieux en mieux conçus. Mais ils gardent toujours des failles. Voici comment les repérer.

Les Trois Familles d’Indices à Repérer

Reconnaître un email de phishing repose sur trois types de signaux complémentaires. Aucun n’est infaillible seul, mais combinés, ils permettent de déjouer la quasi-totalité des tentatives.

1. Les Indices Visuels: Expéditeur, Liens et Pièces Jointes

Le premier réflexe face à tout email inattendu: vérifier qui vous écrit vraiment.

L’adresse de l’expéditeur raconte tout. Le nom affiché peut dire “Support Microsoft”, mais l’adresse complète révèle souvent l’arnaque:

  • Adresse légitime: support@microsoft. com
  • Adresse frauduleuse: support@micros0ft-security. com (zéro à la place du “o”)
  • Autre variante: support@microsoft-verification. info (domaine inventé)

Même logique pour les banques. La Banque Postale utilise @labanquepostale. fr, pas @la-banque-postale. info.

Les liens méritent la même vigilance. Avant de cliquer, survolez le lien avec votre souris. L’URL réelle apparaît en bas de votre écran ou dans une bulle. Un bouton “Connectez-vous à Microsoft 365” peut très bien pointer vers http://microsoft365-login. xyz, un domaine qui n’a rien à voir avec Microsoft.

Les attaquants adorent les caractères visuellement proches:

  • rn ressemble à m → rnicrosoft (au lieu de microsoft)
  • 0 ressemble à o → amaz0n
  • 1 ressemble à l → pay1ogin

Un simple survol du lien déjoue ces pièges.

Les pièces jointes inattendues doivent déclencher la méfiance. Les fichiers exécutables (. exe,. bat,. cmd) représentent un danger évident. Mais les archives (. zip,. rar) peuvent dissimuler des malwares, tout comme les fichiers Office avec macros (. docm,. xlsm) ou même les fichiers HTML contenant du code malveillant.

Règle simple

N’ouvrez jamais une pièce jointe inattendue, même si elle semble provenir d’un contact connu. Son adresse a pu être usurpée.

2. Les Indices Psychologiques: Urgence, Menaces et Promesses

Les cybercriminels excellent dans la manipulation émotionnelle. Leur objectif: court-circuiter votre réflexion pour déclencher une réaction instinctive.

L’urgence artificielle est leur arme favorite. Vous reconnaîtrez ces formulations:

  • “Votre compte sera suspendu dans 24h”
  • “Action requise immédiatement”
  • “Tentative de connexion suspecte, agissez maintenant”
  • “Dernière chance de réclamer”

La vérité? Aucune organisation légitime ne vous impose d’agir dans l’heure sous peine de représailles immédiates. Plus le message paraît urgent, plus vous devez prendre le temps de vérifier.

L’appât du gain fonctionne aussi. Vous avez “gagné 1 000€”, un “iPhone gratuit” vous attend, ou un “remboursement d’impôts de 847€” nécessite vos coordonnées bancaires. Si c’est trop beau pour être vrai, ça l’est.

Les demandes directes d’informations sensibles signalent systématiquement une fraude. Aucune banque, aucun service sérieux ne vous demandera par email:

  • Votre mot de passe
  • Votre code PIN
  • Vos coordonnées bancaires complètes
  • Votre numéro de sécurité sociale

Jamais.

Vos équipes sauraient-elles reconnaître un phishing ciblé ? Testez leur vigilance avec une simulation de phishing réaliste et identifiez les profils les plus exposés.

3. Les Indices Techniques: Qualité et Personnalisation

Historiquement, les emails de phishing se repéraient à leurs fautes d’orthographe grossières: “Cher client, votre comptes a été suspendue suite à activité inhabituels.”

Ce signal d’alerte reste valide, mais attention: l’IA générative a changé la donne. Les phishing deviennent de mieux en mieux rédigés, parfois impeccables grammaticalement. L’absence de fautes ne garantit plus rien.

En revanche, observez la cohérence globale du message:

  • Les emails légitimes de vos partenaires habituels respectent une charte graphique constante
  • Un vrai email de votre banque utilise votre nom, pas “Cher utilisateur”
  • Un logo pixelisé ou mal aligné doit éveiller vos soupçons

Exemples Concrets de Phishing

La Fausse Alerte Microsoft

Vous recevez un email de security-team@microsoft-account-verify. com avec pour objet “Activité suspecte sur votre compte”. Le message indique qu’une tentative de connexion inhabituelle a été détectée. Vous devez “Vérifier maintenant” sous peine de voir votre compte bloqué dans 24 heures.

Signaux d'alerte

Signal Explication
Domaine frauduleux microsoft-account-verify. com n'a rien à voir avec microsoft. com
Urgence artificielle Les "24 heures" poussent à l'action irréfléchie
Lien suspect Le lien de vérification pointe vers un site frauduleux

La Fausse Facture Fournisseur

Un email arrive de comptabilite@fournisseur-factures. com concernant une “Facture N°2026-0142 en attente”. Règlement demandé sous 48h. Pièce jointe: Facture_janvier_2026. zip.

Trois signaux d’alerte:

  1. L’expéditeur générique ne correspond à aucun fournisseur connu
  2. La pièce jointe au format. zip peut contenir n’importe quoi
  3. L’urgence du règlement vise à inhiber votre prudence

Avant toute action, contactez le fournisseur supposé par un canal indépendant (téléphone, email connu).

L’Arnaque au Président

Plus sophistiquée, cette attaque arrive apparemment du PDG. L’email, marqué “URGENT - Virement confidentiel”, explique qu’il est en déplacement et a besoin d’un virement de 15 000€ pour “finaliser une acquisition confidentielle”. Il insiste: n’en parlez à personne.

Les signaux caractéristiques:

  • Demande financière urgente
  • Injonction de confidentialité
  • Impossibilité de vérifier par téléphone

Tout virement inhabituel doit faire l’objet d’une confirmation vocale avec l’émetteur supposé via un numéro connu.

Que Faire Face à un Email Suspect?

Quand un email vous semble douteux, la première règle: résistez à l’impulsion d’agir.

Ce qu’il ne faut pas faire:

  • Ne cliquez pas sur les liens
  • N’ouvrez pas les pièces jointes
  • Ne répondez pas au message
  • Ne le transférez pas à vos collègues (vous propageriez le risque)
  • N’appelez pas un numéro de téléphone mentionné dans l’email

Ce qu’il faut faire:

  • Vérifiez par un canal indépendant (site officiel tapé manuellement, numéro figurant sur vos relevés)
  • Signalez l’email à votre service informatique
  • En cas de doute persistant, préférez supprimer. Vous pouvez aussi utiliser le diagnostic en ligne de Cybermalveillance.gouv.fr

Un faux positif, supprimer un email légitime, se rattrape facilement. Un clic sur un lien malveillant peut compromettre tout votre système d’information. Le phishing est d’ailleurs la porte d’entrée principale des ransomwares, consultez notre guide pour se protéger des ransomwares.

Le phishing reste le principal vecteur de cyberattaque

Vos collaborateurs sont votre première ligne de défense. Formez-les à reconnaître les menaces.

Sensibiliser mes équipes

J’ai Cliqué: Que Faire?

C’est arrivé. Pas de panique, mais agissez vite.

1

Si vous avez cliqué sur un lien suspect

Déconnectez votre poste du réseau (câble Ethernet ou Wi-Fi). Changez vos mots de passe depuis un autre appareil sain. Alertez votre service informatique immédiatement. Surveillez vos comptes dans les jours suivants.

2

Si vous avez saisi des identifiants sur une page frauduleuse

Changez le mot de passe du compte concerné, priorité absolue. Changez tous les comptes où vous utilisez le même mot de passe. Activez l'authentification multifacteur (MFA) si ce n'est pas déjà fait.

3

Si vous avez ouvert une pièce jointe malveillante

C'est le scénario le plus critique. Déconnectez le poste du réseau mais ne l'éteignez pas (les données en mémoire seront utiles pour l'investigation). Alertez votre service IT sans délai.

Quiz Rapide: Testez Votre Vigilance

Situation 1: “Votre colis Amazon n’a pas pu être livré. Cliquez ici pour reprogrammer.” → Suspect. Même si vous attendez un colis, rendez-vous directement sur amazon. fr pour vérifier.

Situation 2: Un collègue vous envoie “Rappel: réunion demain 10h en salle Mistral” depuis son adresse habituelle. → Probablement légitime. Vérifiez tout de même que l’adresse correspond bien.

Situation 3: Les impôts: “Votre remboursement de 847€ est prêt. Confirmez vos coordonnées bancaires.” → Phishing évident. L’administration fiscale ne demande jamais de coordonnées par email.

Situation 4: Votre fournisseur habituel envoie une facture avec un nouvel IBAN. → Très suspect. Appelez votre contact habituel avant tout virement.

Checklist: Les 5 Réflexes Anti-Phishing

  • 1. Vérifier l'expéditeur : L'adresse complète, pas juste le nom affiché. Méfiez-vous des caractères similaires (0/o, rn/m, 1/l).

  • 2. Survoler les liens : Sans cliquer, pour voir l'URL réelle. Le domaine doit correspondre au site officiel.

  • 3. Se méfier de l'urgence : Plus c'est urgent, plus il faut ralentir. Aucune entreprise légitime ne menace de représailles immédiates.

  • 4. Ne jamais donner d'infos sensibles : Mot de passe, coordonnées bancaires, numéro de sécurité sociale: jamais par email.

  • 5. Vérifier par un autre canal : Téléphone, site officiel tapé manuellement. Ne faites pas confiance aux numéros dans l'email.

FAQ

Questions Fréquentes

Les phishing sont-ils toujours mal écrits?

Non, et cette idée reçue devient dangereuse. L'IA générative permet aujourd'hui de produire des emails parfaitement rédigés. Si les fautes restent un signal d'alerte valide, leur absence ne garantit rien. Concentrez-vous sur l'expéditeur, les liens et la nature de la demande.

Mon antivirus me protège-t-il du phishing?

Partiellement. Les solutions de sécurité bloquent une grande partie des tentatives, mais les campagnes ciblées passent régulièrement entre les mailles. Votre vigilance reste indispensable.

Que risque-t-on si on clique?

Les conséquences varient: vol d'identifiants pour accéder à des données sensibles, installation d'un malware pour espionner ou déployer un ransomware, ou compromission de votre messagerie pour cibler vos contacts professionnels.

Comment signaler un phishing?

En entreprise, signalez d'abord à votre service informatique. Vous pouvez aussi déclarer l'email sur signal-spam.fr. Si l'email usurpe l'identité d'une organisation, celle-ci dispose généralement d'une adresse dédiée aux signalements.

Formez Vos Équipes à Reconnaître les Emails Frauduleux

La meilleure défense contre le phishing reste la sensibilisation continue de vos collaborateurs. Les solutions techniques filtrent la majorité des tentatives, mais seul l’humain peut identifier les attaques ciblées qui franchissent ces barrières. Notre programme de sensibilisation au phishing structure cette démarche avec des formations et des simulations régulières.

Testez la Vigilance de Vos Équipes

Savez-vous combien de vos collaborateurs cliqueraient sur un email de phishing? Nos campagnes de simulation vous permettent de mesurer objectivement le niveau de vigilance et d’identifier les profils à risque.

Ressources

Dernière mise à jour: Janvier 2026