Procédure · Messagerie
Reconnaître un phishing en entreprise et réagir sans perdre de temps
Les contrôles concrets pour reconnaître un phishing, vérifier une demande sensible et réagir après un clic ou la saisie d’un mot de passe.
Un message frauduleux bien préparé peut utiliser le bon logo, le nom d’un collègue et une adresse presque crédible. Les fautes d’orthographe ne constituent plus un filtre suffisant. L’analyse utile combine plusieurs indices et, surtout, une procédure de confirmation pour les actions sensibles.
Cette page sépare trois moments : avant l’action, après un clic et après la saisie d’un mot de passe. Les gestes ne sont pas identiques. Dans tous les cas, conserve le message et l’heure, évite de diffuser le lien à d’autres personnes et utilise le canal de signalement prévu par l’entreprise.
Repère pratique
Lire la demande avant d’inspecter la technique
Commence par la décision que le message cherche à provoquer : payer, ouvrir, se reconnecter, partager un document, installer un outil ou contourner une procédure. Une urgence inhabituelle, une confidentialité imposée ou une autorité mise en avant augmentent le risque. Compare avec les habitudes du service : format des factures, outil de partage, processus de validation et calendrier réel.
Un message peut être authentique et dangereux si le compte de l’expéditeur a été compromis. La cohérence apparente ne suffit donc pas. Toute modification de coordonnées bancaires, demande de code MFA ou installation à distance mérite une confirmation indépendante.
Repère pratique
Contrôler l’expéditeur et la destination réelle
Affiche l’adresse complète, pas seulement le nom. Observe le domaine et les caractères proches. Survole le lien sur ordinateur ou utilise l’aperçu prévu par l’appareil sans l’ouvrir. Le sous-domaine se lit de droite à gauche : dans connexion.exemple-facture.tld, le domaine contrôlé est exemple-facture.tld, pas connexion.
Ne copie pas un lien suspect dans un moteur ou un service public si son URL contient un jeton personnel. Pour accéder au service, utilise un favori enregistré ou saisis l’adresse habituelle. Une page de connexion inattendue doit être fermée ; rouvre l’application depuis son point d’entrée connu.
- Nom affiché différent de l’adresse réelle
- Domaine proche mais non identique
- Lien raccourci ou destination opaque
- Pièce jointe qui demande d’activer des macros
- Demande de code MFA ou de secret
Repère pratique
Vérifier par un second canal
Le second canal doit être déjà connu : numéro enregistré, annuaire interne, application habituelle ou échange en personne. Ne réponds pas au message suspect pour demander s’il est vrai et n’utilise pas le numéro fourni dans sa signature. Pour un changement de RIB, rappelle le fournisseur via les coordonnées du contrat ou d’une facture antérieure validée.
Cette règle doit être soutenue par la direction. Si les collaborateurs craignent de déranger un responsable, elle échouera au premier message urgent. Définis les montants, types de données ou actions qui déclenchent obligatoirement une confirmation.
Repère pratique
Après un clic sans saisie de mot de passe
Ferme la page, note l’heure et signale le message. Ne pars pas du principe qu’il ne s’est rien passé : le site peut avoir déclenché un téléchargement ou collecté des informations sur le navigateur. Vérifie les téléchargements récents sans ouvrir les fichiers et laisse l’équipe technique décider des contrôles nécessaires.
Évite de redémarrer, nettoyer ou supprimer avant consigne si un fichier s’est exécuté ou si le comportement de la machine a changé. Isoler le poste du réseau peut être pertinent, mais l’organisation doit préciser comment le faire sans interrompre une opération critique ni perdre des traces.
Repère pratique
Après la saisie d’un mot de passe ou d’un code
Depuis un appareil considéré comme sain, contacte immédiatement le support et change le mot de passe du service concerné. Révoque les sessions actives si l’outil le permet. Si le secret était réutilisé, traite chaque compte touché. L’équipe doit vérifier les règles de transfert de messagerie, les applications autorisées, les méthodes MFA ajoutées et les connexions inhabituelles.
Un code MFA transmis peut permettre une connexion immédiate. Ne valide aucune nouvelle demande et indique l’heure exacte. La réponse doit aussi examiner ce que le compte pouvait atteindre : documents partagés, contacts, factures et autres services accessibles par authentification unique.
Repère pratique
Conserver une preuve exploitable et apprendre
Conserve le message original avec ses en-têtes lorsque la procédure le permet. Une capture seule masque parfois les informations utiles. Note l’heure, l’appareil, l’action effectuée et les alertes reçues. Limite la diffusion aux personnes qui traitent l’incident afin de ne pas propager les liens.
Après traitement, explique sobrement ce qui a permis la détection et ce qui doit changer. Le retour ne doit pas révéler inutilement l’identité de la personne. Mets à jour le filtre, le processus de paiement, la page de connexion ou la formation selon la cause observée.
Questions d’exploitation
Questions fréquentes
Un message sans faute peut-il être un phishing ?
Oui. Les messages ciblés utilisent souvent une rédaction correcte, des logos et des informations publiques. La vérification du contexte et du second canal reste essentielle.
Que faire si j’ai seulement ouvert le message ?
Le risque est généralement plus faible que pour un lien ou une pièce jointe, mais signale le message afin qu’il puisse être analysé et bloqué.
Pourquoi agir vite après avoir saisi un mot de passe ?
Un attaquant peut tenter de se connecter immédiatement, créer une règle de transfert ou ajouter une méthode d’authentification. La révocation rapide réduit cette fenêtre.
Vérification
Sources et documentation
Ces références permettent de vérifier les recommandations, les valeurs par défaut et le support des outils. Contrôlez toujours la version qui correspond à votre environnement.