NovaSec
Formation cybersécurité pour TPE/PME
Reconnaître un e-mail de phishing
29 €
Version 1.0 — 2026 — ~15 pages
Sommaire
- Introduction : pourquoi vous êtes une cible
- Qu'est-ce que le phishing ?
- Les 10 signes qui doivent vous alerter
- Exemples concrets : phishing vs vrai e-mail
- Les variantes du phishing
- Exercices pratiques
- Quiz de 10 questions
- Checklist anti-phishing
- Que faire si vous avez cliqué
- Bonnes pratiques au quotidien
Introduction : pourquoi vous êtes une cible
Vous pensez que votre petite entreprise n'intéresse pas les pirates ? Détrompez-vous. 80 % des cyberattaques contre les TPE/PME commencent par un simple e-mail de phishing. Les pirates n'ont pas besoin de cibler spécifiquement votre entreprise : ils envoient des millions d'e-mails automatiques et attendent que quelqu'un morde à l'hameçon.
En France, en 2025 :
- 400 000+ signalements de phishing sur Signal Spam
- 1 entreprise sur 3 a reçu au moins un e-mail frauduleux
- 60 % des PME qui subissent une attaque grave déposent le bilan sous 18 mois
- Le coût moyen d'une attaque de phishing pour une TPE : 8 000 à 15 000 €
La bonne nouvelle : 90 % des attaques de phishing peuvent être évitées avec une simple sensibilisation. C'est l'objectif de cette formation.
Qu'est-ce que le phishing ?
Le phishing (hameçonnage en français) est une technique de fraude où un cybercriminel se fait passer pour un organisme ou une personne de confiance afin de vous voler des informations sensibles.
L'objectif du pirate peut être de :
- Voler vos identifiants de connexion (email, banque, réseau social)
- Récupérer votre numéro de carte bancaire
- Vous faire payer une fausse facture
- Installer un logiciel malveillant sur votre ordinateur
- Prendre le contrôle de votre boîte mail pour envoyer des e-mails frauduleux à vos contacts
Le saviez-vous ? Le terme "phishing" est une variante de "fishing" (pêche) : le pirate lance un appât (l'e-mail) et attend que vous mordiez à l'hameçon. Le "ph" vient d'une vieille tradition hacker (phreaking).
Les 10 signes qui doivent vous alerter
Un e-mail de phishing présente presque toujours au moins 3 de ces signes. Apprenez à les repérer.
1. L'expéditeur est suspect
Ne vous fiez pas au nom affiché. Regardez l'adresse email complète.
| Nom affiché | Adresse réelle | Verdict |
| La Poste | support@laposte.xyz.com | ❌ Phishing |
| La Poste | client@laposte.fr | ✓ Authentique |
| Banque de France | sec-alert@banquedefrance.secure-login.net | ❌ Phishing |
| CPAM | ne-pas-repondre@cpam.fr | ✓ Authentique |
2. L'objet crée un sentiment d'urgence
Les pirates veulent vous faire agir sans réfléchir. Méfiez-vous des objets comme :
- "Votre compte a été bloqué"
- "Action requise sous 24h"
- "Dernier avertissement avant suspension"
- "Paiement en attente — 48h pour régulariser"
- "Votre colis vous attend — frais de douane impayés"
- "Activité suspecte détectée sur votre compte"
3. La formule de politesse est générique
"Cher client", "Cher utilisateur", "Madame, Monsieur", "Bonjour" sans votre nom. Les organismes sérieux vous appellent par votre nom.
4. Des fautes d'orthographe ou de grammaire
Un e-mail professionnel est relu et corrigé. Les fautes sont un signal d'alarme. Exemples relevés dans de vrais phishing :
- "Votre compte a étais bloquer" (au lieu de "a été bloqué")
- "Veuillez cliquer sur le lien ci-dessous pour confirmer votre identitée"
- "Nous avons détecté une activité suspecte sur voter compte"
5. Un lien suspect ou un bouton "Cliquez ici"
Survolez le lien avec la souris (sans cliquer) pour voir la véritable destination. La technique s'appelle le hover (survol).
Exemple : un bouton "Accéder à mon compte" qui pointe vers http://192.168.1.1/banque/fake-login au lieu de https://www.banque.fr.
Piège fréquent : Les pirates utilisent des noms de domaine qui ressemblent au vrai : banque-securisee.com au lieu de banque.fr, paypall.com au lieu de paypal.com, amaz0n.fr au lieu de amazon.fr.
6. Une pièce jointe non sollicitée
Vous recevez une "facture", un "bon de commande" ou un "devis" alors que vous n'attendez rien. Les fichiers les plus dangereux sont :
.exe, .bat, .scr → exécutables
.docm, .xlsm → macros Office
.zip, .rar → archives (contiennent des fichiers malveillants)
.pdf → peut contenir des liens frauduleux
7. Une demande d'informations personnelles
Aucun organisme sérieux ne vous demande par email :
- Votre mot de passe
- Votre numéro de carte bleue
- Votre code PIN
- Votre numéro de sécurité sociale
- Vos identifiants de connexion
8. Une offre trop belle pour être vraie
"Gagnez un iPhone 16", "Vous avez gagné 10 000 €", "Héritage d'un oncle inconnu". Si c'est trop beau pour être vrai, c'est que c'est faux.
9. Le message est générique et ne vous concerne pas
"Vous avez gagné à la loterie" (alors que vous n'avez jamais joué), "Votre commande Amazon est partie" (alors que vous n'avez rien commandé).
10. L'adresse de réponse est différente de l'expéditeur
Vérifiez l'en-tête "Reply-To" si possible. Les pirates font souvent répondre à une adresse différente de celle qui apparaît.
Exemples concrets : phishing vs vrai e-mail
Exemple n°1 : Faux colis La Poste
Phishing
De : support@laposte-paquet.xyz
Objet : Votre colis est en attente
Cher client,
Votre colis est actuellement bloqué en centre de tri. Veuillez cliquer sur le lien ci-dessous pour confirmer votre adresse et payer les frais de douane (1,99 €).
Lien : http://bit.ly/laposte-fake
Cordialement,
La Poste
❌ Signaux : adresse suspecte, urgence, demande de paiement, lien raccourci
Vrai e-mail
De : client@laposte.fr
Objet : Suivi de votre colis n°7A12345678901
Bonjour [Votre Prénom],
Votre colis est en cours d'acheminement. Vous serez livré le [Date] entre [Heure] et [Heure].
Suivez votre colis ici : https://www.laposte.fr/outils/suivre
Merci de votre confiance,
L'équipe La Poste
✓ Signaux : email officiel, numéro de colis, pas de demande de paiement
Exemple n°2 : Fausse banque
Phishing
De : securite@banque-france.network
Objet : ACTIVITÉ SUSPECTE — Action requise
Cher client,
Nous avons détecté une tentative de connexion suspecte sur votre compte. Pour des raisons de sécurité, veuillez confirmer votre identité en cliquant sur le bouton ci-dessous.
[Confirmer mon identité]
Si vous ne le faites pas sous 24h, votre compte sera suspendu.
Service Client Banque de France
❌ Signaux : urgence, menace de suspension, lien non visible, adresse bizarre
Vrai e-mail
De : ne-pas-repondre@banque.fr
Objet : Alerte de connexion
Bonjour Thomas,
Une nouvelle connexion a été détectée sur votre compte :
- Date : 15/06/2026 à 14h32
- Appareil : iPhone 14 — Safari iOS
- Localisation : Paris (75)
Si c'était vous, vous pouvez ignorer ce message.
Si ce n'était pas vous, contactez-nous immédiatement au 01 23 45 67 89.
Votre conseiller Banque de France
✓ Signaux : pas de lien, pas de panique, numéro de téléphone réel
Les variantes du phishing
Le spear phishing (phishing ciblé)
Contrairement au phishing de masse, le spear phishing est une attaque personnalisée. Le pirate a fait des recherches sur vous ou votre entreprise et utilise des informations réelles (nom d'un collègue, fournisseur, projet en cours) pour gagner votre confiance.
Exemple : un e-mail qui semble venir de votre comptable avec une "facture impayée" mentionnant un vrai montant et un vrai dossier.
Le smishing (phishing par SMS)
Même principe que le phishing, mais par SMS. Très utilisé pour les faux colis (La Poste, Chronopost) et les fausses amendes (ANTAI).
Le vishing (phishing par téléphone)
Un faux conseiller vous appelle pour vous prévenir d'une "activité suspecte" et vous demande de transférer votre argent sur un "compte de sécurité". Votre banque ne vous demandera jamais cela.
Le quishing (phishing par QR code)
Un QR code frauduleux apposé sur une borne de parking, un distributeur, un menu de restaurant, ou reçu par email. Le code vous redirige vers un faux site de paiement.
Le clone phishing
Le pirate copie un e-mail légitime que vous avez déjà reçu (ex: une vraie facture Amazon), modifie le lien par un lien frauduleux, et vous le renvoie en faisant croire que c'est une mise à jour ou un doublon.
Exercices pratiques
Exercice 1 : Analyse d'e-mail
Lisez l'e-mail ci-dessous et identifiez les signes de phishing :
De : contact@free-wifi-paris.com
Objet : Offre exceptionnelle — Connexion WiFi gratuite
Madame, Monsieur,
En tant que client potentiel, nous vous offrons 1 mois de WiFi gratuit dans tout Paris. Pour profiter de cette offre, veuillez télécharger notre application sécurisée :
Télécharger maintenant
Offre valable 48h seulement !
L'équipe Free WiFi Paris
Réponses : Expéditeur inconnu · Adresse non officielle · Urgence · Fichier à télécharger · Offre trop belle
Exercice 2 : Vrai ou faux ?
- Un e-mail de votre banque vous demande de cliquer sur un lien pour "confirmer vos identifiants". Que faites-vous ?
- Vous recevez un SMS de Chronopost avec un lien de suivi de colis. Vous attendez un colis. Que faites-vous ?
- Votre "collègue" vous envoie une facture par email avec une pièce jointe .docm. Vous ne l'attendiez pas. Que faites-vous ?
- Un QR code sur une borne de parking vous propose de payer par carte. Que vérifiez-vous ?
- Vous recevez un appel de Microsoft vous disant que votre ordinateur est infecté. Que faites-vous ?
Réponses : 1. Ne pas cliquer, appeler sa banque au numéro officiel · 2. Aller sur le site du transporteur directement, ne pas cliquer sur le lien · 3. Appeler le collègue pour vérifier, n'ouvrir aucun fichier sans confirmation · 4. Vérifier l'URL après avoir scanné · 5. Racrocher, Microsoft ne contacte jamais les particuliers.
Quiz de 10 questions
- Qu'est-ce que le phishing ?
a) Une technique de pêhce en ligne
b) Une tentative d'usurpation pour voler des données ✓
c) Un logiciel antivirus
- Quel est le premier réflexe à avoir en recevant un e-mail suspect ?
a) Cliquer sur le lien pour vérifier
b) Vérifier l'adresse de l'expéditeur ✓
c) Le transmettre à ses collègues
- Que faire si vous avez cliqué sur un lien de phishing ?
a) Attendre de voir ce qui se passe
b) Changer immédiatement vos mots de passe ✓
c) Éteindre votre ordinateur
- Quel est le meilleur moyen de vérifier un lien ?
a) Cliquer dessus
b) Le survoler avec la souris ✓
c) Le copier dans Word
- Un e-mail de votre banque vous demande votre mot de passe. Que faites-vous ?
a) Vous le donnez (c'est la banque)
b) Vous ignorez (aucune banque ne demande ça par mail) ✓
c) Vous répondez en demandant pourquoi
- Qu'est-ce que le "smishing" ?
a) Un phishing par SMS ✓
b) Un phishing par téléphone
c) Un phishing par courrier postal
- Quel type de fichier joint est particulièrement dangereux ?
a) .jpg
b) .docm (avec macros) ✓
c) .txt
- Que faire si un e-mail crée un sentiment d'urgence ?
a) Agir vite pour éviter le problème
b) Prendre son temps et vérifier avant d'agir ✓
c) Appeler le numéro dans l'e-mail
- Où signaler un e-mail de phishing ?
a) Sur Facebook
b) Sur Signal Spam (signal-spam.fr) ✓
c) À son fournisseur d'accès
- Quel pourcentage des attaques contre les TPE/PME commencent par un e-mail ?
a) 30 %
b) 50 %
c) 80 % ✓
Checklist anti-phishing (à imprimer et afficher)
- J'ai vérifié l'adresse email complète de l'expéditeur
- Je n'ai pas cliqué sur un lien sans l'avoir survolé
- L'e-mail ne crée pas un faux sentiment d'urgence
- La formule de politesse utilise mon nom
- Il n'y a pas de fautes d'orthographe évidentes
- La pièce jointe était attendue (ou j'ai vérifié avant d'ouvrir)
- L'e-mail ne me demande pas d'informations personnelles
- L'offre n'est pas "trop belle pour être vraie"
- J'ai signalé l'e-mail si je pense que c'est un phishing
- J'ai prévenu mes collègues
Que faire si vous avez cliqué sur un lien de phishing
- Ne paniquez pas. Le plus important est d'agir vite.
- Déconnectez-vous de tous vos comptes immédiatement.
- Changez vos mots de passe (commencez par votre email et votre banque).
- Activez la double authentification (2FA) si ce n'est pas déjà fait.
- Contactez votre banque si vous avez entré des informations bancaires.
- Scannez votre ordinateur avec Windows Defender ou un antivirus.
- Prévenez votre entourage (ils pourraient recevoir un e-mail piégé venant de vous).
- Signalez l'incident sur signal-spam.fr et à votre chef d'entreprise.
- Contactez NovaSec si vous avez besoin d'une aide d'urgence.
Ne payez jamais une rançon. Si un ransomware chiffre vos fichiers suite à un clic sur un lien piégé, ne payez pas. Contactez un professionnel.
Bonnes pratiques au quotidien
- Vérifiez toujours l'adresse de l'expéditeur avant d'ouvrir un e-mail
- Survolez les liens avant de cliquer (regardez l'URL en bas à gauche du navigateur)
- Utilisez des mots de passe différents pour chaque compte (voir formation Mots de passe)
- Activez la 2FA sur tous vos comptes (email, banque, réseaux sociaux)
- Ne téléchargez jamais de fichier depuis un e-mail non sollicité
- Mettez à jour votre navigateur, votre antivirus et Windows
- Formez vos employés : organisez une session de sensibilisation tous les 6 mois
- Signalez les e-mails suspects sur signal-spam.fr
- Affichez la checklist ci-dessus dans votre espace de travail
- En cas de doute, ne cliquez pas. Contactez directement l'organisme concerné par téléphone (au numéro officiel, pas celui de l'e-mail).
Règle d'or : "Stop, Look, Call" — Arrêtez-vous, Regardez attentivement, et Appelez l'organisme directement si vous avez un doute.
Formation NovaSec – Tous droits réservés – 2026 – Version 1.0