effset — Solutions Web & TI intelligentes
Cybersécurité
9 min read

Hameçonnage (Phishing): Comment protéger vos employés

Hameçon sur un clavier représentant le phishing

Hameçonnage (Phishing): Comment protéger vos employés

91% des cyberattaques commencent par un courriel de phishing. Un seul clic d’un employé peut compromettre l’ensemble de votre réseau, vos données clients et votre réputation. La bonne nouvelle? Avec la bonne formation, vos employés deviennent votre meilleure ligne de défense.

Qu’est-ce que le phishing exactement?

Le phishing (hameçonnage en français) est une technique de fraude où un attaquant se fait passer pour une entité de confiance pour voler des informations sensibles:

  • Identifiants de connexion
  • Informations bancaires
  • Données personnelles
  • Accès aux systèmes de l’entreprise

Les différentes formes de phishing

Type Description Exemple
—— ————- ———
Phishing par courriel Courriel frauduleux de masse « Votre compte PayPal a été suspendu »
Spear phishing Attaque ciblée sur une personne Courriel personnalisé mentionnant votre nom et entreprise
Whaling Ciblant les dirigeants Fausse demande du CA
Smishing Par SMS « Votre colis est en attente, cliquez ici »
Vishing Par téléphone Faux appel de Microsoft
Clone phishing Copie d’un vrai courriel Facture légitime modifiée
Email et communication sécurisée
Email et communication sécurisée

Les 7 indices pour reconnaître un phishing

1. L’adresse de l’expéditeur est suspecte

  • Regardez attentivement:
  • Légitime: support@microsoft.com
  • Frauduleux: support@micros0ft-security.com

Les pirates utilisent des domaines similaires avec des fautes subtiles ou des sous-domaines trompeurs.

2. Un sentiment d’urgence

« Votre compte sera fermé dans 24 heures! »
« Action immédiate requise! »
« Dernière chance! »

Les fraudeurs créent un sentiment de panique pour vous faire agir sans réfléchir.

3. Des erreurs de français

Fautes d’orthographe, grammaire approximative, tournures étranges. Les entreprises légitimes relisent leurs communications.

Attention: Les phishing deviennent de plus en plus sophistiqués avec l’IA. Ne vous fiez pas uniquement à ce critère.

4. Un lien suspect

  • Passez votre souris sur le lien (sans cliquer!) pour voir l’URL réelle:
  • Affiché: www.votrebanque.com
  • URL réelle: www.v0trebanque-secure.com.malware.ru

5. Une demande d’informations sensibles

  • Aucune entreprise légitime ne vous demandera par courriel:
  • Votre mot de passe
  • Votre NIP
  • Votre numéro de carte de crédit complet
  • Votre NAS

6. Une pièce jointe inattendue

  • Méfiez-vous des pièces jointes que vous n’attendiez pas, surtout:
  • .exe, .scr, .bat (exécutables)
  • .zip, .rar avec mot de passe
  • Documents Office demandant d’activer les macros

7. Le ton ne correspond pas

Votre banque vous tutoie soudainement? Votre patron écrit en anglais alors qu’il communique toujours en français? Ces incohérences sont des drapeaux rouges.

Exemples concrets de phishing

Exemple 1: Le faux Microsoft

Objet: Votre compte Microsoft 365 sera désactivé

Cher utilisateur,

Nous avons détecté une activité suspecte sur votre compte. Pour éviter la suspension, veuillez vérifier votre identité immédiatement.

[Vérifier mon compte]

Si vous ne confirmez pas dans les 24 heures, votre compte sera définitivement supprimé.

Indices: Urgence artificielle, lien suspect, menace de suppression.

Exemple 2: La fraude au président

De: Jean Tremblay
Objet: Urgent – Confidentiel

Bonjour,

Je suis en réunion et j’ai besoin que tu effectues un virement urgent de 15 000$ à un nouveau fournisseur. C’est confidentiel, n’en parle à personne.

Voici les coordonnées bancaires: […]

Je compte sur ta discrétion.

Jean

Indices: Demande de confidentialité, urgence, demande de virement inhabituelle, domaine similaire mais faux.

Exemple 3: Le faux fournisseur

Objet: Facture #INV-2847 – Paiement en retard

Bonjour,

Veuillez trouver ci-joint la facture en souffrance pour nos services. Le paiement doit être effectué sous 48h pour éviter des frais supplémentaires.

[Facture_INV2847.pdf.exe]

Indices: Pièce jointe exécutable déguisée (.pdf.exe), urgence, fournisseur non vérifié.

Formation employés en entreprise
Formation employés en entreprise

Former vos employés efficacement

Programme de formation recommandé

  • #### Mois 1: Sensibilisation de base
  • Présentation des types de phishing
  • Démonstration d’exemples réels
  • Quiz interactif
  • #### Mois 2: Simulations de phishing
  • Envoyez de faux courriels de phishing à votre équipe
  • Analysez qui a cliqué (sans punir!)
  • Formation ciblée pour ceux qui ont cliqué
  • #### Mois 3+: Renforcement continu
  • Rappels mensuels (5 minutes)
  • Nouvelles simulations avec techniques actuelles
  • Partage des tentatives réelles reçues

Les règles d’or à enseigner

  1. En cas de doute, vérifiez par un autre canal
  2. – Appelez directement l’expéditeur supposé
  3. – Utilisez le numéro officiel, pas celui du courriel
  1. Ne jamais cliquer sous la pression
  2. – Prenez 30 secondes pour analyser
  3. – Les vraies urgences se gèrent par téléphone
  1. Signaler, ne pas ignorer
  2. – Créez un canal simple pour signaler les phishing
  3. – Remerciez les signalements (même les faux positifs)
  1. Vérifier l’URL avant de se connecter
  2. – Tapez l’adresse manuellement
  3. – Vérifiez le cadenas HTTPS

Mesures techniques complémentaires

Filtrage des courriels
– Activez le filtrage anti-spam avancé
– Bloquez les pièces jointes exécutables
– Activez DMARC, SPF, DKIM sur votre domaine

Authentification renforcée
– MFA obligatoire sur tous les comptes
– Gestionnaire de mots de passe d’entreprise

Protection du navigateur
– Bloqueur de sites malveillants
– Extension de vérification des liens

Procédures financières
– Double approbation pour les virements
– Vérification téléphonique obligatoire pour nouveaux bénéficiaires
– Limites de montant quotidiennes

Que faire si un employé a cliqué?

Dans les 5 premières minutes

  1. Déconnecter l’appareil du réseau (débrancher le câble ou désactiver le Wi-Fi)
  2. Ne pas éteindre l’ordinateur (préserve les preuves)
  3. Alerter le responsable TI immédiatement
  4. Noter l’heure et les actions effectuées

Dans l’heure qui suit

  1. Changer tous les mots de passe depuis un autre appareil
  2. Vérifier les connexions suspectes sur les comptes
  3. Scanner l’appareil avec un antivirus
  4. Analyser l’étendue de la compromission

Ne jamais punir l’employé

  • Un employé qui a peur d’être puni:
  • Cachera l’incident
  • Retardera le signalement
  • Aggravera les conséquences

Au contraire, félicitez le signalement rapide. C’est exactement le comportement que vous voulez encourager.

Outils de simulation de phishing

Pour tester votre équipe régulièrement:

  • Solutions open source gratuites: Permettent de créer vos propres campagnes
  • Plateformes de sensibilisation: Offrent des modèles prêts à l’emploi et des formations intégrées
  • Services gérés: Un fournisseur externe gère les simulations pour vous

Ces outils permettent de créer des campagnes réalistes et de mesurer la progression de votre équipe.

Conclusion

Le phishing restera la menace #1 tant qu’il fonctionnera. Et il fonctionne parce que les humains font des erreurs. Votre rôle n’est pas d’éliminer les erreurs (impossible), mais de réduire leur probabilité et leur impact.

Formez régulièrement, testez sans punir, et créez une culture où signaler un doute est valorisé. Vos employés deviendront votre meilleur pare-feu.

Votre site web est-il sécurisé? Vérifiez sa conformité à la Loi 25 gratuitement.

frederik
frederik
https://effset.ca
Article suivant
Copies de sauvegarde: La règle 3-2-1 qui peut sauver votre entreprise

Articles connexes

janvier 21, 2026

Cyberattaques au Québec: Les statistiques alarmantes que toute PME doit connaître

Statistiques 2024-2025 sur les cyberattaques visant les PME au Québec et au Canada. Chiffres clés, tendances et pourquoi votre entreprise est à risque.
janvier 7, 2026

WordPress: Pourquoi les mises à jour sont critiques pour la sécurité

43% des sites web utilisent WordPress, et beaucoup sont vulnérables faute de mises à jour. Découvrez pourquoi et comment garder votre site WordPress sécurisé.

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *