Phishing · 8 min

Phishing en PME : reconnaître les pièges et s’en protéger efficacement

Comment le phishing frappe les PME : fraude au président, changement d’IBAN, signaux d’alerte, défenses techniques (SPF, DKIM, DMARC) et humaines, et réaction en cas de clic.

Réponse courte

En bref

Comment le phishing frappe les PME : fraude au président, changement d’IBAN, signaux d’alerte, défenses techniques (SPF, DKIM, DMARC) et humaines, et réaction en cas de clic.

Le phishing reste, de loin, la porte d’entrée la plus fréquente des incidents dans les PME. La raison est simple : il ne vise pas vos machines, il vise vos collaborateurs. Un e-mail bien tourné, envoyé au bon moment, peut faire payer une fausse facture ou livrer un mot de passe sans qu’aucune faille technique ne soit exploitée.

Les PME sont particulièrement exposées car les décisions y sont rapides, les circuits courts et la confiance élevée. Un message qui semble venir du dirigeant ou d’un fournisseur habituel passe facilement les défenses humaines.

Cet article décrit les scénarios les plus fréquents, les signaux qui doivent alerter, les protections techniques à mettre en place et, tout aussi important, la marche à suivre quand quelqu’un a déjà cliqué.

Les scénarios qui touchent le plus les PME

Deux fraudes reviennent constamment et coûtent le plus cher, car elles ciblent directement l’argent de l’entreprise.

Elles reposent moins sur la technique que sur la psychologie : urgence, autorité, confidentialité. C’est cette pression qui pousse à agir sans vérifier.

  • Fraude au président : un e-mail imitant le dirigeant demande un virement urgent et confidentiel, souvent en fin de journée ou en période de congés.
  • Changement d’IBAN : un faux fournisseur annonce un nouveau numéro de compte, et la prochaine facture légitime est payée sur le compte de l’attaquant.
  • Vol d’identifiants : un faux message Microsoft 365 invite à « confirmer » son mot de passe sur une page piégée.
  • Fausse facture ou faux service : une pièce jointe ou un lien déclenche le téléchargement d’un logiciel malveillant.

Les signaux qui doivent alerter

La plupart des tentatives partagent des marqueurs reconnaissables. Apprendre à les repérer réduit fortement le taux de réussite des attaques.

Le réflexe le plus utile reste la vérification par un second canal : en cas de demande sensible, on rappelle la personne à un numéro connu plutôt que de répondre à l’e-mail.

  • Une urgence inhabituelle et une pression à agir vite, sans possibilité de vérifier.
  • Une demande de confidentialité qui vise à court-circuiter les contrôles internes.
  • Une adresse d’expéditeur légèrement modifiée ou un domaine ressemblant.
  • Une demande de virement, de changement d’IBAN ou de saisie de mot de passe.
  • Un ton, une signature ou une tournure qui détonnent par rapport à l’habitude.

Les défenses techniques

Aucune sensibilisation ne remplace de bonnes protections techniques, qui bloquent une grande partie des messages avant même qu’ils n’atteignent une boîte de réception.

L’authentification de votre domaine par SPF, DKIM et DMARC empêche notamment des tiers d’usurper votre nom pour tromper vos clients et vos collaborateurs. C’est un chantier discret mais très efficace.

  • Configurer SPF, DKIM et DMARC pour protéger votre domaine contre l’usurpation.
  • Activer les protections anti-phishing de votre messagerie et affiner leurs réglages.
  • Généraliser la double authentification pour neutraliser les mots de passe volés.
  • Signaler visuellement les e-mails provenant de l’extérieur de l’organisation.

Les défenses humaines

Le facteur humain n’est pas une faiblesse à déplorer, mais une ligne de défense à outiller. Des collaborateurs informés et entraînés repèrent les pièges et donnent l’alerte tôt.

Les simulations de phishing, menées sans esprit de sanction, sont l’un des moyens les plus efficaces d’ancrer les bons réflexes. Elles transforment la théorie en réaction automatique.

  • Mettre en place une procédure de vérification à double canal pour les paiements et changements d’IBAN.
  • Former régulièrement les équipes aux scénarios réels, pas à des exemples caricaturaux.
  • Réaliser des simulations de phishing bienveillantes pour mesurer et progresser.
  • Encourager le signalement immédiat, sans crainte de reproche.

Que faire si quelqu’un a cliqué

L’erreur arrivera tôt ou tard. Ce qui distingue un incident maîtrisé d’une catastrophe, c’est la rapidité et la clarté de la réaction. Chaque collaborateur doit savoir quoi faire, sans hésiter ni craindre d’être blâmé.

Avoir défini à l’avance ces quelques gestes, et savoir qui prévenir, fait gagner un temps décisif. C’est précisément ce qu’un plan de réponse aux incidents formalise.

  • Changer immédiatement le mot de passe concerné et vérifier le MFA.
  • Prévenir sans délai le responsable et, le cas échéant, votre prestataire de sécurité.
  • Rechercher des règles de transfert d’e-mails créées à votre insu.
  • Contacter la banque au plus vite en cas de virement effectué.
  • Documenter l’incident pour comprendre et éviter la récidive.