Formation payante

Cette formation est protégée. Veuillez saisir le mot de passe reçu lors de votre achat.

Mot de passe incorrect.

NovaSec

Formation cybersécurité pour TPE/PME

Reconnaître un e-mail de phishing

29 €

Version 1.0 — 2026 — ~15 pages

Sommaire

Introduction : pourquoi vous êtes une cible

Vous pensez que votre petite entreprise n'intéresse pas les pirates ? Détrompez-vous. 80 % des cyberattaques contre les TPE/PME commencent par un simple e-mail de phishing. Les pirates n'ont pas besoin de cibler spécifiquement votre entreprise : ils envoient des millions d'e-mails automatiques et attendent que quelqu'un morde à l'hameçon.

En France, en 2025 :

La bonne nouvelle : 90 % des attaques de phishing peuvent être évitées avec une simple sensibilisation. C'est l'objectif de cette formation.

Qu'est-ce que le phishing ?

Le phishing (hameçonnage en français) est une technique de fraude où un cybercriminel se fait passer pour un organisme ou une personne de confiance afin de vous voler des informations sensibles.

L'objectif du pirate peut être de :

Le saviez-vous ? Le terme "phishing" est une variante de "fishing" (pêche) : le pirate lance un appât (l'e-mail) et attend que vous mordiez à l'hameçon. Le "ph" vient d'une vieille tradition hacker (phreaking).

Les 10 signes qui doivent vous alerter

Un e-mail de phishing présente presque toujours au moins 3 de ces signes. Apprenez à les repérer.

1. L'expéditeur est suspect

Ne vous fiez pas au nom affiché. Regardez l'adresse email complète.

Nom affichéAdresse réelleVerdict
La Postesupport@laposte.xyz.com❌ Phishing
La Posteclient@laposte.fr✓ Authentique
Banque de Francesec-alert@banquedefrance.secure-login.net❌ Phishing
CPAMne-pas-repondre@cpam.fr✓ Authentique

2. L'objet crée un sentiment d'urgence

Les pirates veulent vous faire agir sans réfléchir. Méfiez-vous des objets comme :

3. La formule de politesse est générique

"Cher client", "Cher utilisateur", "Madame, Monsieur", "Bonjour" sans votre nom. Les organismes sérieux vous appellent par votre nom.

4. Des fautes d'orthographe ou de grammaire

Un e-mail professionnel est relu et corrigé. Les fautes sont un signal d'alarme. Exemples relevés dans de vrais phishing :

5. Un lien suspect ou un bouton "Cliquez ici"

Survolez le lien avec la souris (sans cliquer) pour voir la véritable destination. La technique s'appelle le hover (survol).

Exemple : un bouton "Accéder à mon compte" qui pointe vers http://192.168.1.1/banque/fake-login au lieu de https://www.banque.fr.

Piège fréquent : Les pirates utilisent des noms de domaine qui ressemblent au vrai : banque-securisee.com au lieu de banque.fr, paypall.com au lieu de paypal.com, amaz0n.fr au lieu de amazon.fr.

6. Une pièce jointe non sollicitée

Vous recevez une "facture", un "bon de commande" ou un "devis" alors que vous n'attendez rien. Les fichiers les plus dangereux sont :

7. Une demande d'informations personnelles

Aucun organisme sérieux ne vous demande par email :

8. Une offre trop belle pour être vraie

"Gagnez un iPhone 16", "Vous avez gagné 10 000 €", "Héritage d'un oncle inconnu". Si c'est trop beau pour être vrai, c'est que c'est faux.

9. Le message est générique et ne vous concerne pas

"Vous avez gagné à la loterie" (alors que vous n'avez jamais joué), "Votre commande Amazon est partie" (alors que vous n'avez rien commandé).

10. L'adresse de réponse est différente de l'expéditeur

Vérifiez l'en-tête "Reply-To" si possible. Les pirates font souvent répondre à une adresse différente de celle qui apparaît.

Exemples concrets : phishing vs vrai e-mail

Exemple n°1 : Faux colis La Poste

Phishing

De : support@laposte-paquet.xyz
Objet : Votre colis est en attente

Cher client,

Votre colis est actuellement bloqué en centre de tri. Veuillez cliquer sur le lien ci-dessous pour confirmer votre adresse et payer les frais de douane (1,99 €).

Lien : http://bit.ly/laposte-fake

Cordialement,
La Poste

❌ Signaux : adresse suspecte, urgence, demande de paiement, lien raccourci

Vrai e-mail

De : client@laposte.fr
Objet : Suivi de votre colis n°7A12345678901

Bonjour [Votre Prénom],

Votre colis est en cours d'acheminement. Vous serez livré le [Date] entre [Heure] et [Heure].

Suivez votre colis ici : https://www.laposte.fr/outils/suivre

Merci de votre confiance,
L'équipe La Poste

✓ Signaux : email officiel, numéro de colis, pas de demande de paiement

Exemple n°2 : Fausse banque

Phishing

De : securite@banque-france.network
Objet : ACTIVITÉ SUSPECTE — Action requise

Cher client,

Nous avons détecté une tentative de connexion suspecte sur votre compte. Pour des raisons de sécurité, veuillez confirmer votre identité en cliquant sur le bouton ci-dessous.

[Confirmer mon identité]

Si vous ne le faites pas sous 24h, votre compte sera suspendu.

Service Client Banque de France

❌ Signaux : urgence, menace de suspension, lien non visible, adresse bizarre

Vrai e-mail

De : ne-pas-repondre@banque.fr
Objet : Alerte de connexion

Bonjour Thomas,

Une nouvelle connexion a été détectée sur votre compte :
- Date : 15/06/2026 à 14h32
- Appareil : iPhone 14 — Safari iOS
- Localisation : Paris (75)

Si c'était vous, vous pouvez ignorer ce message.
Si ce n'était pas vous, contactez-nous immédiatement au 01 23 45 67 89.

Votre conseiller Banque de France

✓ Signaux : pas de lien, pas de panique, numéro de téléphone réel

Les variantes du phishing

Le spear phishing (phishing ciblé)

Contrairement au phishing de masse, le spear phishing est une attaque personnalisée. Le pirate a fait des recherches sur vous ou votre entreprise et utilise des informations réelles (nom d'un collègue, fournisseur, projet en cours) pour gagner votre confiance.

Exemple : un e-mail qui semble venir de votre comptable avec une "facture impayée" mentionnant un vrai montant et un vrai dossier.

Le smishing (phishing par SMS)

Même principe que le phishing, mais par SMS. Très utilisé pour les faux colis (La Poste, Chronopost) et les fausses amendes (ANTAI).

Le vishing (phishing par téléphone)

Un faux conseiller vous appelle pour vous prévenir d'une "activité suspecte" et vous demande de transférer votre argent sur un "compte de sécurité". Votre banque ne vous demandera jamais cela.

Le quishing (phishing par QR code)

Un QR code frauduleux apposé sur une borne de parking, un distributeur, un menu de restaurant, ou reçu par email. Le code vous redirige vers un faux site de paiement.

Le clone phishing

Le pirate copie un e-mail légitime que vous avez déjà reçu (ex: une vraie facture Amazon), modifie le lien par un lien frauduleux, et vous le renvoie en faisant croire que c'est une mise à jour ou un doublon.

Exercices pratiques

Exercice 1 : Analyse d'e-mail

Lisez l'e-mail ci-dessous et identifiez les signes de phishing :

De : contact@free-wifi-paris.com
Objet : Offre exceptionnelle — Connexion WiFi gratuite

Madame, Monsieur,

En tant que client potentiel, nous vous offrons 1 mois de WiFi gratuit dans tout Paris. Pour profiter de cette offre, veuillez télécharger notre application sécurisée :

Télécharger maintenant

Offre valable 48h seulement !

L'équipe Free WiFi Paris

Réponses : Expéditeur inconnu · Adresse non officielle · Urgence · Fichier à télécharger · Offre trop belle

Exercice 2 : Vrai ou faux ?

  1. Un e-mail de votre banque vous demande de cliquer sur un lien pour "confirmer vos identifiants". Que faites-vous ?
  2. Vous recevez un SMS de Chronopost avec un lien de suivi de colis. Vous attendez un colis. Que faites-vous ?
  3. Votre "collègue" vous envoie une facture par email avec une pièce jointe .docm. Vous ne l'attendiez pas. Que faites-vous ?
  4. Un QR code sur une borne de parking vous propose de payer par carte. Que vérifiez-vous ?
  5. Vous recevez un appel de Microsoft vous disant que votre ordinateur est infecté. Que faites-vous ?

Réponses : 1. Ne pas cliquer, appeler sa banque au numéro officiel · 2. Aller sur le site du transporteur directement, ne pas cliquer sur le lien · 3. Appeler le collègue pour vérifier, n'ouvrir aucun fichier sans confirmation · 4. Vérifier l'URL après avoir scanné · 5. Racrocher, Microsoft ne contacte jamais les particuliers.

Quiz de 10 questions

  1. Qu'est-ce que le phishing ?
    a) Une technique de pêhce en ligne
    b) Une tentative d'usurpation pour voler des données ✓
    c) Un logiciel antivirus
  2. Quel est le premier réflexe à avoir en recevant un e-mail suspect ?
    a) Cliquer sur le lien pour vérifier
    b) Vérifier l'adresse de l'expéditeur ✓
    c) Le transmettre à ses collègues
  3. Que faire si vous avez cliqué sur un lien de phishing ?
    a) Attendre de voir ce qui se passe
    b) Changer immédiatement vos mots de passe ✓
    c) Éteindre votre ordinateur
  4. Quel est le meilleur moyen de vérifier un lien ?
    a) Cliquer dessus
    b) Le survoler avec la souris ✓
    c) Le copier dans Word
  5. Un e-mail de votre banque vous demande votre mot de passe. Que faites-vous ?
    a) Vous le donnez (c'est la banque)
    b) Vous ignorez (aucune banque ne demande ça par mail) ✓
    c) Vous répondez en demandant pourquoi
  6. Qu'est-ce que le "smishing" ?
    a) Un phishing par SMS ✓
    b) Un phishing par téléphone
    c) Un phishing par courrier postal
  7. Quel type de fichier joint est particulièrement dangereux ?
    a) .jpg
    b) .docm (avec macros) ✓
    c) .txt
  8. Que faire si un e-mail crée un sentiment d'urgence ?
    a) Agir vite pour éviter le problème
    b) Prendre son temps et vérifier avant d'agir ✓
    c) Appeler le numéro dans l'e-mail
  9. Où signaler un e-mail de phishing ?
    a) Sur Facebook
    b) Sur Signal Spam (signal-spam.fr) ✓
    c) À son fournisseur d'accès
  10. Quel pourcentage des attaques contre les TPE/PME commencent par un e-mail ?
    a) 30 %
    b) 50 %
    c) 80 % ✓

Checklist anti-phishing (à imprimer et afficher)

Que faire si vous avez cliqué sur un lien de phishing

  1. Ne paniquez pas. Le plus important est d'agir vite.
  2. Déconnectez-vous de tous vos comptes immédiatement.
  3. Changez vos mots de passe (commencez par votre email et votre banque).
  4. Activez la double authentification (2FA) si ce n'est pas déjà fait.
  5. Contactez votre banque si vous avez entré des informations bancaires.
  6. Scannez votre ordinateur avec Windows Defender ou un antivirus.
  7. Prévenez votre entourage (ils pourraient recevoir un e-mail piégé venant de vous).
  8. Signalez l'incident sur signal-spam.fr et à votre chef d'entreprise.
  9. Contactez NovaSec si vous avez besoin d'une aide d'urgence.
Ne payez jamais une rançon. Si un ransomware chiffre vos fichiers suite à un clic sur un lien piégé, ne payez pas. Contactez un professionnel.

Bonnes pratiques au quotidien

Règle d'or : "Stop, Look, Call" — Arrêtez-vous, Regardez attentivement, et Appelez l'organisme directement si vous avez un doute.

Formation NovaSec – Tous droits réservés – 2026 – Version 1.0