Aller au contenu principal
Cybersécurité

Phishing PME : 7 réflexes pour ne pas perdre 50 000 € (guide 2026)

Stéphane Degouve4 juillet 2026

# Phishing PME : 7 réflexes pour ne pas perdre 50 000 €

90 % des cyberattaques en PME commencent par un email. Selon le baromètre Cesin 2025, la fraude au président (BEC — Business Email Compromise) coûte en moyenne 51 000 € par incident aux PME françaises. Pourtant, 7 réflexes simples permettent de bloquer la grande majorité de ces tentatives — sans outil sophistiqué, sans expertise technique.

Ce guide s'adresse aux dirigeants, comptables, RH et commerciaux : les quatre profils que les attaquants visent en priorité.

Pourquoi le phishing PME est devenu aussi rentable pour les attaquants

Trois évolutions rendent 2026 particulièrement dangereux :

  • L'IA générative rend les emails frauduleux quasi indétectables au premier coup d'œil : plus de fautes d'orthographe, français impeccable, ton adapté à votre secteur.
  • Le spear-phishing ciblé exploite les données publiques (LinkedIn, site vitrine, actualité entreprise) pour personnaliser l'attaque : « J'ai vu votre publication sur le nouveau partenariat X, pouvez-vous me confirmer les coordonnées bancaires ? ».
  • La fraude au président (BEC) utilise des comptes email compromis (identifiants volés) pour envoyer un ordre de virement depuis une adresse réellement légitime — pas une usurpation.

Chiffres clés 2025 (source : Verizon DBIR 2025) :

  • 74 % des compromissions impliquent un facteur humain
  • 60 % des attaques réussies passent par un email
  • Coût moyen d'un incident phishing PME : 51 000 €
  • Délai médian de détection : 8 jours (pendant lesquels l'attaquant explore votre SI)

Réflexe 1 — Vérifier le nom de domaine de l'expéditeur (pas l'affichage)

Ce qui trompe. Un email affiche « Direction Générale <directeur@1acces.com> ». Le nom paraît légitime. Mais le nom d'affichage est configurable par l'expéditeur — l'adresse réelle peut être `directeur@lacces-fr.com` (avec un tiret) ou `directeur@1acces-comptabilite.net`.

Réflexe. Cliquez sur le nom de l'expéditeur pour afficher l'adresse email complète. Comparez lettre par lettre avec l'adresse réelle attendue. Un caractère différent (chiffre 1 vs lettre l, tiret ajouté, extension `.co` au lieu de `.com`) = suspect.

Outils. Les clients modernes (Outlook, Gmail) affichent l'adresse au survol. En cas de doute persistant, vérifiez les enregistrements SPF, DKIM, DMARC dans les en-têtes email.

Réflexe 2 — Passer la souris sur les liens avant de cliquer

Ce qui trompe. Un email affiche « Cliquez ici pour valider votre facture ». Le texte est banal, le style légitime. Le lien pointe vers un site cloné à l'identique de votre banque ou de Microsoft 365.

Réflexe. Passez la souris sur le lien sans cliquer. L'URL de destination s'affiche dans la barre de statut (en bas à gauche). Vérifiez qu'elle correspond au domaine attendu. Si l'URL est raccourcie (bit.ly, tinyurl), suspicion maximale.

Sur mobile. Maintenez le doigt appuyé sur le lien pour afficher l'URL sans l'ouvrir.

Réflexe 3 — Se méfier de l'urgence artificielle

Ce qui trompe. « Votre facture est en retard, action requise sous 2 h », « Le président a besoin d'un virement urgent avant la clôture », « Votre compte sera suspendu si vous ne validez pas maintenant ».

Réflexe. L'urgence dans un email non attendu est le premier drapeau rouge. Aucun processus légitime ne dépend d'une action à 5 minutes prises hors de vos canaux habituels. Prenez 15 minutes. Vérifiez par téléphone, sur le numéro que vous connaissez (pas celui indiqué dans l'email).

Réflexe 4 — Rappeler avant tout virement inhabituel

Ce qui trompe. Un email du président demande un virement urgent sur un compte étranger « pour boucler un contrat confidentiel ». L'expéditeur est réel. Le ton est cohérent avec sa personnalité.

Réflexe. Toute demande de virement hors procédure habituelle doit être validée par téléphone ou en face à face. Rappelez sur le numéro connu (pas celui du mail). Si le président est injoignable, différez le virement — la vraie urgence attend 30 minutes.

Procédure PME recommandée :

  • Seuil de virement au-dessus duquel double validation obligatoire (ex. 5 000 €)
  • Deuxième signataire physique + confirmation orale
  • Aucune modification de RIB fournisseur par email — appel obligatoire au fournisseur sur son numéro connu
  • Formation dédiée du service comptable/trésorerie (une fois par semestre)

Réflexe 5 — Vérifier les pièces jointes avant d'ouvrir

Ce qui trompe. Une facture PDF d'un fournisseur habituel. Un CV Word d'un candidat spontané. Une plaquette commerciale d'un prospect. Chacune peut contenir des macros malveillantes, des scripts, ou des payloads déclenchant un ransomware.

Réflexe. Ne jamais ouvrir de pièce jointe attendue hors contexte (ex. facture d'un fournisseur que vous n'attendiez pas). Vérifier l'extension : `.exe`, `.js`, `.vbs`, `.scr`, `.docm`, `.xlsm` = suspect immédiat. `.pdf`, `.docx`, `.xlsx` sont plus courants mais restent vecteurs.

Outil. Une protection email avec sandbox (comme 1A Mail Shield) ouvre chaque pièce jointe dans un environnement isolé pour détecter les comportements malveillants avant livraison. Coût typique : dès 2,90 € HT / boîte / mois.

Protection Email 1A Mail Shield

Réflexe 6 — Ne jamais saisir d'identifiants après avoir cliqué sur un lien email

Ce qui trompe. Un email demande une reconnexion Microsoft 365 « pour renouveler votre session ». Le lien mène à une page copie conforme du portail Microsoft. Vous entrez votre email et mot de passe — l'attaquant les capture.

Réflexe. Ne jamais saisir d'identifiants sur une page ouverte depuis un lien email. Si vous devez vérifier, ouvrez un nouvel onglet et tapez l'URL vous-même (portal.office.com, workspace.google.com, votre banque). L'authentification multifacteur (MFA) est indispensable — même compromis, votre mot de passe seul ne suffit pas à l'attaquant.

Réflexe 7 — Signaler tout email suspect à votre service IT ou prestataire

Ce qui trompe. Un email semble suspect mais vous n'êtes pas sûr. Vous l'ignorez sans le signaler.

Réflexe. Signaler systématiquement les emails suspects, même en cas de doute. Les campagnes de phishing ciblent souvent plusieurs collaborateurs simultanément : votre signalement peut bloquer une attaque contre la comptable ou la RH.

Procédure. Bouton de signalement dans Outlook / Gmail (« Signaler un phishing »), ou email dédié interne (ex. `cyber@votreentreprise.fr`), ou plateforme officielle Cybermalveillance.gouv.fr / Signal Conso.

Comment 1Acces vous accompagne

1A Academy est notre plateforme de sensibilisation continue :

  • Simulations de phishing personnalisées trimestrielles (obligation NIS2 mesure 7)
  • Modules e-learning courts (5 min) sur les 7 réflexes ci-dessus
  • Tableau de bord de progression par collaborateur
  • Alertes automatiques en cas de clic dangereux (opportunité de coaching)

1A Mail Shield filtre en amont ce qui ne devrait jamais arriver dans vos boîtes :

  • Anti-phishing IA + heuristique
  • Sandbox URLs + pièces jointes
  • Blacklist expéditeurs / domaines / IP
  • Compatible Microsoft 365, Google Workspace, IMAP
  • Dès 2,90 € HT / boîte / mois

Découvrir 1A Mail Shield

Audit cybersécurité gratuit — inclut évaluation exposition phishing

Conclusion — 4 semaines pour transformer votre culture cyber

Une PME peut passer d'un niveau de sensibilisation « faible » à « bon » en un mois :

1. Semaine 1 — activer une protection email avec sandbox (blocage en amont de 80 % des tentatives) 2. Semaine 2 — lancer une première simulation de phishing pour établir le score initial 3. Semaine 3 — session de sensibilisation de 30 minutes en équipe sur les 7 réflexes ci-dessus 4. Semaine 4 — activer MFA sur tous les comptes critiques + procédure double signature virements > 5 000 €

Coût moyen mensuel pour une PME 30 postes : environ 200-300 €. À comparer aux 51 000 € de coût moyen d'un incident phishing réussi.

---

Pour aller plus loin :

À lire aussi :

Pret a moderniser votre telephonie ?

Testez gratuitement nos solutions VoIP pendant 14 jours, sans engagement.