Comment reconnaitre un email de phishing quand on est TPE

Le phishing est la premiere cause d'incidents cyber en TPE. L'attaquant envoie un email qui ressemble a un message legitime (banque, fournisseur, administration) pour te faire cliquer sur un lien ou donner tes identifiants.

Les TPE sont des cibles privilegiees : moins de formation, moins d'outils de filtrage, et souvent un seul compte email pour tout.

Les 8 signes d'un email de phishing

1. L'expediteur ne correspond pas au domaine officiel

L'email vient de "service-client@bnp-securite.com" au lieu de "@bnpparibas.fr". Regarde toujours l'adresse email complete, pas juste le nom affiche.

2. L'urgence artificielle

"Votre compte sera bloque dans 24h", "action requise immediatement", "derniere chance". Le phishing utilise la panique pour empecher la reflexion.

3. Le lien ne pointe pas ou tu crois

Survole le lien sans cliquer. L'URL affichee dans la barre de statut doit correspondre au domaine officiel. Si tu vois un domaine inconnu, des caracteres bizarres ou un raccourcisseur d'URL, ne clique pas.

4. Les fautes inhabituelles

Un email officiel de ta banque ou de l'administration n'a normalement pas de fautes grossieres. Des erreurs de grammaire ou de mise en page sont un signal.

5. La demande de donnees sensibles

Aucune banque, aucune administration, aucun fournisseur serieux ne te demande ton mot de passe, ton numero de carte ou ton code de securite par email. Jamais.

6. La piece jointe inattendue

Un PDF de facture que tu n'attends pas, un fichier .zip d'un expediteur inconnu, un document Word avec "activer les macros" — ne les ouvre pas.

7. Le ton inhabituel

Tu recois un email de ton "patron" ou d'un "collegue" avec un ton different de l'habitude, une demande urgente de virement ou un lien a cliquer. Verifie par un autre canal (telephone, message direct).

8. L'email arrive a un moment etrange

Un email de l'URSSAF un dimanche a 3h du matin. Un message de ton fournisseur pendant un jour ferie. Les systemes automatiques existent, mais la combinaison horaire + urgence + lien est suspecte.

Les 4 reflexes a avoir

1. Ne clique pas

En cas de doute, ne clique sur rien. Ferme l'email.

2. Verifie par un autre canal

Si le message pretend venir de ta banque, appelle ta banque avec le numero habituel (pas celui dans l'email). Si c'est un fournisseur, appelle-le directement.

3. Signale l'email

Transfère l'email suspect a signal-spam.fr (pour les emails en France) ou utilise le bouton "signaler comme phishing" de ta messagerie.

4. Change tes mots de passe si tu as clique

Si tu as clique et saisi des identifiants :

• change immediatement le mot de passe du service concerne ;
• change-le partout ou tu utilises le meme mot de passe ;
• active l'authentification multifacteur ;
• surveille tes comptes pendant les jours suivants.

Former ton equipe en 10 minutes

Si tu as des collaborateurs :

1. Montre-leur un vrai email de phishing (tu en as probablement dans ton spam).
2. Explique les 3 signes les plus courants : expediteur suspect, urgence, lien etrange.
3. Donne la regle simple : "en cas de doute, ne clique pas et demande".
4. Repete l'exercice tous les trimestres.

CTA

Pour une protection plus complete, consulte la checklist cybersecurite TPE — le phishing est couvert dans les actions 7 et 2.

Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise.