search
Le média de ceux qui réinventent l'entreprise
Référencer un logiciel

Comment se protéger du phishing ? 10 bonnes pratiques anti-hameçonnage

Par Jennifer Montérémal

Mis à jour le 19 mai 2025, publié initialement le 4 mars 2021

Comment se protéger du phishing, ou hameçonnage, de manière efficace ?

Parce que ce type d’attaque informatique peut engendrer de lourdes conséquences pour les entreprises, comme la fuite de données sensibles par exemple, il convient à chaque organisation de s’en prémunir au mieux.

Si des logiciels spécifiques ont été développés en ce sens, nous verrons que le facteur humain, et donc la sensibilisation, restent les meilleures armes pour se protéger de ces malveillances.

C’est pourquoi vous devez redoubler de vigilance, vous poser les bonnes questions à la réception d’un mail et adopter de bonnes pratiques.

Détaillons tout ça.

Définition du phishing

Le phishing se définit comme une des attaques informatiques les plus courantes. On rencontre également les termes français de « hameçonnage » ou de « filoutage » pour désigner cette technique.

En quoi consiste t-elle exactement ?

Le pirate informatique usurpe une identité, comme celle d’un organisme public ou d’une grande société, afin d’envoyer un mail en son nom et obtenir de la part du destinataire des actions spécifiques.

Pour mieux duper, le fraudeur tente de se faire passer au mieux pour un expéditeur de confiance (en reprenant ses logos et sa charte graphique par exemple). Par ce procédé, il incite sa victime à :

  • cliquer sur un lien renvoyant vers un faux site officiel, un site miroir ;
  • télécharger une pièce jointe ;
  • répondre directement au mail, etc.

Par ces actions, les objectifs des hackers sont multiples :

  • obtenir des données personnelles, comme des informations bancaires ou des mots de passe ;
  • soutirer de l’argent ;
  • introduire un logiciel malveillant dans le système du destinataire du mail.

☝️ Cette technique de fraude est sans doute l’une des plus répandues dans l’espace web, puisqu'elle requiert peu de compétences pour le cybercriminel. Il lui suffit de récolter des données sur ses futures victimes (opération facilitée grâce au nombre croissant d’informations personnelles disponibles sur internet, les réseaux sociaux, etc.) puis de leur envoyer un simple mail.

Les conséquences d’une attaque de phishing sur les entreprises

66 % des organisations françaises ont subi une attaque de phishing réussie en 2023, et 62 % ont été ciblées par des attaques de type BEC (Business Email Compromise).

Rapport 2024 State of the Phish de Proofpoint

Le phishing, à l’instar de toutes les cyberattaques, se multiplie. Il peut impacter tout type d’entreprises, quels que soient leur taille ou secteur d’activité.

Par ailleurs, notons que les tentatives de hameçonnage deviennent de plus en plus ciblées. En effet, certains hackers prennent désormais le temps de se renseigner sur leurs futures victimes, dans l’objectif d’envoyer le message le plus crédible possible.

Voici alors les principales conséquences pour les organisations :

  • infiltration dans le réseau informatique ;
  • fuite de données sensibles, comme des fichiers clients, des brevets, des informations bancaires ;
  • usurpation d’identité, etc.

Les répercussions du phishing peuvent donc se révéler désastreuses, tant au niveau financier que pour l’image de l’entreprise qui s’en trouvera fortement entachée.

Quelles sont les 10 bonnes pratiques pour éviter les attaques de phishing ?

#1 Se poser les bonnes questions lors de la réception d’un mail

Avant toute chose, il convient de vous poser les bonnes questions et de rester attentif lors de la réception d’un mail. Ainsi, vous augmentez vos chances de vous prémunir des tentatives de phishing.

🕵️ Voici les principaux points de vigilance :

  • L'expéditeur : est-ce que je connais cet expéditeur ? Ai-je déjà été contacté par lui auparavant ?

  • Son adresse mail : une adresse mail suspecte, ou qui semble peu sérieuse, est révélatrice. En cas de doute, saisissez-la sur Google. Si fraude, il est possible qu’elle ait déjà été signalée.

  • La nature du mail :
    • Le sujet ou dossier évoqués dans le mail me parlent-t-ils ?
    • Le ton du texte me paraît-il approprié ? De manière générale, méfiez-vous des courriels qui tentent de vous inquiéter, de vous presser, de vous mettre dans une situation d’urgence.
    • Des données personnelles me sont-elles demandées ? Sachez, par exemple, qu’un organisme bancaire n’exige jamais la communication d’informations sensibles par internet.

  • La qualité du contenu : le contenu semble-t-il conforme à ce qu'un expéditeur de ce type peut envoyer ? En d’autres termes, scrutez les fautes d’orthographe, erreurs de frappe ou autres formules inappropriées qui sont légion dans ce type de mail.

  • Les liens et les pièces jointes :
    • Regardez si les URL des liens semblent correctes, sans fautes d’orthographe. Vous pouvez, par exemple, saisir la cible dans la barre d’adresse de votre navigateur pour contrôler sa fiabilité.
    • Méfiez-vous également des liens courts, car ils ne permettent pas de prévoir où vous allez atterrir. 💡 Astuce : pour vérifier vers quelle page renverra un lien court, utilisez des outils en ligne tels que Unshorten.It!.
    • Demandez-vous si une pièce jointe est suspecte. Diffère-t-elle, par exemple, de celle affichée en clair ? Bref, réfléchissez toujours à deux fois avant de cliquer sur quoi que ce soit dans un courriel.

#2 Sensibiliser et former les collaborateurs

Dans 80 % des cas, c’est l’action d’un utilisateur sur son poste, souvent réalisée de manière involontaire, qui est à l’origine des cyberattaques.

AvantdeCliquer.com

La prévention reste la meilleure manière de se protéger efficacement d’une attaque de phishing, car une tentative d'hameçonnage s’avère souvent détectable. Or, dans un contexte où on est de plus en plus submergés par l’information, on ne prête parfois plus attention à certains détails.

C’est pourquoi les entreprises doivent prendre à bras le corps cette problématique, et communiquer de manière active auprès des collaborateurs. Pourquoi, par exemple, ne pas organiser des sessions de formation ?

#3 Simuler des attaques pour mieux y faire face

Dans cette optique de sensibilisation, certaines organisations ont pris le parti de tester leurs employés.

En déployant de fausses campagnes de phishing, elles identifient qui « mord à l’hameçon », et obtiennent ainsi une photographie précise des vulnérabilités humaines.

Cette méthode permet de mieux cibler les actions, et donc de proposer des formations adaptées aux profils les plus exposés.

#4 Adopter les bonnes pratiques de cybersécurité

Voici quelques conseils pour allier cybersécurité et gestion de vos mails professionnels :

  • Ne communiquez jamais de données sensibles par mail, car aucune organisation ou entreprise digne de ce nom ne vous le demandera. Idem pour les demandes d’envoi d’argent (faux règlements de frais d’expédition par exemple).

  • En cas de doute, vérifiez l’information en vous rendant directement sur le site web sécurisé de l’expéditeur ou tout autre canal officiel.

  • Méfiez-vous des offres trop alléchantes (gain à la loterie, envoi de cadeaux, etc.).

  • Assurez-vous toujours de la sécurité des sites sur lesquels vous naviguez. S’ils sont fiables, les indications suivantes sont présentes dans la barre d’adresse du site : “https://” ainsi qu’une icône de verrouillage.

  • Si ce n’est pas déjà fait, activez les protections anti-phishing disponibles dans les différents navigateurs

  • Utilisez votre messagerie professionnelle uniquement pour cet usage, et idem pour votre messagerie personnelle.

  • Évitez d’utiliser un réseau Wi-Fi public pour vos opérations professionnelles.

  • Enfin, supprimez tout email de hameçonnage parvenu dans votre messagerie, et ne le transférez pas à vos collaborateurs (sauf au service informatique compétent pour mise en place d’actions).

#5 Déployer une solide politique de gestion des mots de passe

Comme évoqué plus haut, le phishing vise souvent à récupérer vos identifiants de connexion, pour ensuite accéder à vos données sensibles, parfois même sans que vous vous en rendiez compte.

Or, une fois le mot de passe compromis, la partie est (presque) perdue.

D’où l’importance cruciale de mettre en place une politique rigoureuse de gestion des mots de passe.

Un bon password doit être :

  • complexe (au moins 8 caractères, caractères spéciaux, chiffres, majuscules et des minuscules) ;
  • unique pour chaque service ;
  • régulièrement mis à jour.

En parallèle, renforcez vos accès sensibles avec l’authentification à deux facteurs.

#6 Encadrer l’usage des appareils personnels

Le phishing ne cible pas que les ordinateurs professionnels : il frappe aussi via les appareils personnels utilisés au travail, qu’il s’agisse de téléphones, tablettes ou ordinateurs portables. Ce mode de fonctionnement, connu sous le nom de BYOD (Bring Your Own Device), augmente la surface d’attaque si aucun cadre strict n’est établi.

Pour limiter les risques, imposez des règles claires :

  • antivirus à jour ;
  • mots de passe sécurisés ;
  • chiffrement des données sensibles ;
  • et si possible, la capacité d’effacer les données à distance.

#7 Surveiller les canaux de communication moins traditionnels

Le phishing ne passe plus uniquement par l’email. En effet, Les SMS, les réseaux sociaux professionnels ou encore les outils collaboratifs (Teams, Slack, etc.) constituent autant de cibles attractives pour les malfaiteurs.

Apprenez alors à vos équipes à rester vigilantes sur l’ensemble des canaux exploités au sein de votre entreprise.

Un message LinkedIn qui demande une action urgente ? Une URL douteuse reçue sur WhatsApp ? Même réflexe : prudence, vérification et alerte au service informatique si besoin.

#8 Limiter la publication d’informations sensibles en ligne

La communication externe demeure essentielle pour faire rayonner votre entreprise. Mais attention à ne pas trop en dire !

Plus un pirate a accès à des informations précises sur votre organisation, plus ses tentatives de phishing ciblé (ou spear phishing) gagneront en crédibilité.

Il convient de trouver le juste milieu, c’est-à-dire de valoriser vos équipes et vos expertises, sans exposer inutilement des données sensibles. Par exemple, évitez de publier des adresses email nominatives, des organigrammes internes trop détaillés ou de mentionner en ligne les outils techniques que vous utilisez. Incitez également vos collaborateurs à rester prudents sur LinkedIn, dans leurs signatures de mail ou sur les forums professionnels.

#9 Utiliser des outils de protection contre le phishing

Si les comportements humains appropriés restent gages d’une meilleure protection contre le phishing, l’utilisation de certains logiciels et outils s’avère bénéfique.

  • 🛠️ Les logiciels anti-phishing. Citons par exemple Mailinblack, et sa solution Mailinblack Protect qui identifie, et donc vous préserve des emails frauduleux. L’éditeur propose également le module Phishing Coach pour accompagner les entreprises dans l’identification des comportements à risque des collaborateurs et dans la mise en place d’actions de sensibilisation auprès des équipes.

  • 🛠️ Les antivirus. Utiliser un antivirus fiable et à jour assure une meilleure protection contre les actions malveillantes consécutives à une tentative d'hameçonnage aboutie (si vous avez par mégarde téléchargé une pièce jointe frauduleuse par exemple).

  • 🛠️ Les gestionnaires de mots de passe. Rappelons qu’il est recommandé d’utiliser des mots de passe uniques pour vous connecter à vos différents comptes. Mais puisque le cerveau humain ne peut tous les retenir, on vous conseille d’opter pour un gestionnaire de mots de passe sécurisé.

#10 Signaler les tentatives d'hameçonnage

Enfin, on vous recommande de signaler toute tentative d'hameçonnage :

  • dans votre messagerie, à l’aide des fameux onglets « courrier indésirable » et « tentative d'hameçonnage ». Vous vous prémunissez ainsi d’attaques futures ;
  • sur Signal Spam et/ou internet-signalement.gouv.fr. De cette façon, vous aidez les autorités à agir et vous contribuez à rendre internet plus sûr.

☝️ Dans le cadre professionnel, rapprochez-vous du service informatique pour qu’il puisse vite réagir, afin d’éviter notamment que d’autres collaborateurs moins aguerris que vous mordent à l’hameçon.

Que faire si l’attaque de phishing a eu lieu ?

Vous vous êtes aperçu trop tard avoir été victime de phishing ? Voici quelques actions à mettre rapidement en place :

  1. Une fois n’est pas coutume, signalez vite la fraude au service informatique de votre entreprise ;
  2. Changez tous vos mots de passe, pour éviter que le pirate accède à vos informations via les identifiants obtenus ;
  3. Rapprochez-vous des organismes concernés. Si par exemple vous avez révélé vos coordonnées bancaires, faites immédiatement opposition auprès de votre banque ;
  4. Déposez une plainte au commissariat ou à la gendarmerie.
Jennifer Montérémal

Jennifer Montérémal, Editorial Manager, Appvizer

Actuellement Editorial Manager, Jennifer Montérémal a rejoint la team Appvizer en 2019. Depuis, elle met au service de l’entreprise son expertise en rédaction web, en copywriting ainsi qu’en optimisation SEO, avec en ligne de mire la satisfaction de ses lecteurs 😀 !

Médiéviste de formation, Jennifer a quelque peu délaissé les châteaux forts et autres manuscrits pour se découvrir une passion pour le marketing de contenu. Elle a retiré de ses études les compétences attendues d’une bonne copywriter : compréhension et analyse du sujet, restitution de l’information, avec une vraie maîtrise de la plume (sans systématiquement recourir à une certaine IA 🤫).

Une anecdote sur Jennifer ? Elle s’est distinguée chez Appvizer par ses aptitudes en karaoké et sa connaissance sans limites des nanars musicaux 🎤.