Cybersecurite TPE
Phishing en TPE : reconnaitre 3 signaux avant de cliquer
Le phishing reste une porte d entree courante dans les petites entreprises. Il ne vise pas toujours a impressionner. Il vise souvent a faire agir vite : cliquer, payer, ouvrir une piece jointe, saisir un mot de passe ou transferer un document. Une TPE n a pas besoin d un cours technique pour progresser. Elle a besoin de trois signaux simples, d une routine de verification et d un reflexe clair quand un doute existe.
Le phishing reste une porte d entree courante dans les petites entreprises. Il ne vise pas toujours a impressionner. Il vise souvent a faire agir vite : cliquer, payer, ouvrir une piece jointe, saisir un mot de passe ou transferer un document. Une TPE n a pas besoin d un cours technique pour progresser. Elle a besoin de trois signaux simples, d une routine de verification et d un reflexe clair quand un doute existe.
1. Signal 1 : l urgence ou la pression
Le premier signal est la pression. Un message te demande d agir maintenant, sous peine de perdre un compte, une livraison, un paiement ou un client. Cette urgence cherche a court-circuiter la verification normale. Exemples : facture a payer avant ce soir, compte bloque, mot de passe a renouveler immediatement, colis en attente, demande du dirigeant pendant une reunion. La pression peut etre commerciale, administrative ou emotionnelle. La reponse sobre est de ralentir. Un message urgent peut etre legitime, mais il ne doit pas supprimer la verification. Si un paiement, un mot de passe ou une piece sensible est en jeu, utilise un canal separe.
- Ne clique pas sous pression.
- Verifie depuis le site officiel, pas depuis le lien.
- Appelle le contact connu pour les demandes financieres.
- Signale le message en interne.
2. Signal 2 : l identite ne colle pas parfaitement
Le deuxieme signal est l identite. L expediteur semble connu, mais l adresse exacte, le domaine, la signature ou le ton ne colle pas. Les attaquants imitent des fournisseurs, des banques, des outils cloud, des clients ou meme un dirigeant. Regarde l adresse complete, pas seulement le nom affiche. Une lettre ajoutee, un domaine proche ou une adresse personnelle peuvent suffire a creer le doute. Attention aussi aux conversations detournees : un attaquant peut repondre dans un fil si une boite mail a ete compromise. La verification doit etre simple : compare avec un ancien email fiable, ouvre le site depuis ton favori, demande confirmation par telephone ou messagerie connue.
3. Signal 3 : le lien ou la piece jointe demande trop
Le troisieme signal est la demande. Le lien t envoie vers une page de connexion, une piece jointe demande d activer des macros, un formulaire reclame des informations bancaires, ou un fichier inattendu arrive sans contexte clair. La question utile est : est-ce normal dans ce processus ? Une facture fournisseur peut arriver en PDF, mais un fichier compressé avec mot de passe est plus suspect. Un client peut partager un document, mais une page qui te redemande ton mot de passe Microsoft doit etre verifiee. Ne telecharge pas pour voir. Ne saisis pas ton mot de passe pour tester. La curiosite est souvent le piege.
4. Mettre une procedure d equipe
La procedure doit tenir en quelques lignes. Si un email est suspect : ne pas cliquer, ne pas repondre, faire une capture ou transferer au responsable, supprimer apres validation, changer le mot de passe si une saisie a eu lieu, verifier les regles de transfert de la boite mail si le compte est suspect. Pour les paiements, ajoute une regle stricte : tout changement de RIB doit etre confirme par un canal separe avec un contact connu. Ce controle simple evite beaucoup d erreurs couteuses.
- Canal de signalement interne.
- Responsable de verification.
- Regle de validation des RIB.
- Procedure si un mot de passe a ete saisi.
5. Former sans faire peur
La sensibilisation efficace est courte et repetee. Une fois par mois, prends dix minutes pour montrer un exemple reel anonymise : faux domaine, urgence artificielle, piece jointe suspecte. Demande a l equipe quel signal elle voit. Le but n est pas de rendre tout le monde paranoiaque. Le but est de creer un droit au doute. Dans une petite equipe, quelqu un doit pouvoir dire 'je prefere verifier' sans passer pour un frein.
Controle de fin de mois
A la fin du mois, reprends le sujet en dix minutes. Verifie ce qui a ete applique, ce qui reste bloque, qui est responsable et quelle decision doit etre prise. Une mesure cyber non suivie finit souvent par disparaitre dans le quotidien. Le controle mensuel sert a garder une trace simple : fait, a faire, bloque, inutile.
Note aussi les exceptions. Si une personne ne peut pas appliquer une regle, documente pourquoi et fixe une date de correction. Une exception temporaire peut etre acceptable. Une exception oubliee devient une faiblesse durable.
Exemple concret
Un email arrive avec le nom d un fournisseur habituel. Il annonce un changement de RIB et demande de payer la prochaine facture sur un nouveau compte. Le ton est poli, la signature semble correcte, mais l adresse email contient une lettre de plus dans le domaine. Le bon reflexe est de ne pas repondre au message et de contacter le fournisseur avec le numero deja connu, pas celui present dans l email.
Autre cas : un message Microsoft ou Google indique que ton compte sera bloque. Le bouton semble officiel. Ouvre ton navigateur, tape toi-meme l adresse du service ou utilise ton favori, puis verifie les alertes depuis l interface. Si le probleme est reel, il apparaitra dans le compte. Si le probleme n existe que dans l email, tu as evite le piege.
Erreurs a eviter
Ne juge pas un email uniquement sur son apparence. Les logos, signatures et mises en page sont faciles a copier. Ne transfere pas non plus un email suspect a toute l equipe sans precaution si la piece jointe reste active. Utilise une capture ou un canal de signalement prevu.
Evite la honte apres clic. Si une personne a clique, elle doit le dire vite. Une culture du reproche pousse les gens a cacher les erreurs, ce qui augmente l impact. Le bon message interne est clair : mieux vaut signaler un doute inutile que garder un incident silencieux.
Plan 30 minutes
Prends trois emails reels : un legitime, un douteux, un ancien phishing. Cache les informations sensibles et montre les signaux a l equipe. Puis ecris une regle de validation des paiements et changements de RIB. Enfin, definis qui recoit les signalements. Cette mini-session vaut mieux qu une formation longue oubliee deux jours plus tard.
FAQ
Que faire si j ai clique mais rien saisi ?
Ferme la page, signale l incident en interne, lance une verification de securite et surveille le compte concerne.
Que faire si j ai saisi un mot de passe ?
Change le mot de passe depuis le site officiel, active ou verifie la MFA, deconnecte les sessions et controle les regles de transfert.
Faut-il bloquer toutes les pieces jointes ?
Non. Il faut surtout verifier les pieces inattendues, les formats inhabituels et les demandes d activation de contenu.
CTA Devisignes
Pour mettre ces controles en place sans repartir de zero, utilise la checklist cyber TPE. Elle sert a suivre les comptes, les sauvegardes, les mises a jour et les actions prioritaires sans transformer la securite en projet interminable.
Sources
- https://www.cybermalveillance.gouv.fr/tous-nos-contenus/bonnes-pratiques/hameconnage-phishing
- https://cyber.gouv.fr/publications/guide-dhygiene-informatique
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.