Aller au contenu principal
Sécurité Guide pratique PME

Former les collaborateurs au phishing

Vos collaborateurs ont-ils été sensibilisés aux risques de phishing et d'ingénierie sociale ?

En bref — ce que vous devez retenir

Le phishing est la première technique d'intrusion utilisée contre les PME. 91 % des cyberattaques commencent par un email frauduleux. La formation et la simulation d'attaques réduit le taux de clic sur des liens malveillants de 70 % en quelques mois.

? Nature du problème

Un email de phishing bien construit imite parfaitement un email de votre banque, de votre prestataire IT, d'un client ou d'un collègue. Il vous demande de cliquer un lien, de vous connecter, ou d'ouvrir une pièce jointe. En quelques secondes, votre poste peut être compromis ou vos identifiants volés.

Les attaques récentes utilisent le spear phishing : emails ultra-personnalisés qui mentionnent votre prénom, votre entreprise, un contexte réel (facture d'un vrai fournisseur, invitation à une réunion Teams). Ces emails trompent même les personnes méfiantes.

Comment corriger — étape par étape

  1. Sensibilisation initiale : organisez une session de 30 min avec toute l'équipe — expliquez ce qu'est le phishing, montrez des exemples réels
  2. Simulation : envoyez un faux email de phishing via un outil comme GoPhish (gratuit) ou KnowBe4 (SaaS) et mesurez le taux de clic
  3. Formation ciblée : les collaborateurs qui ont cliqué reçoivent une formation courte immédiatement après
  4. Apprenez les réflexes de base : vérifier l'adresse expéditeur réelle (pas seulement le nom affiché), survoler les liens sans cliquer, appeler le vrai expéditeur en cas de doute
  5. Créez une adresse email interne (ex : phishing@votreentreprise.fr) pour signaler les mails suspects
  6. Répétez les simulations tous les 6 mois

! Incidents réels

Expert-comptable — Lyon, 2023

Un email imitant le portail de l'Urssaf demandait de confirmer les coordonnées bancaires. Un collaborateur a saisi ses identifiants. L'attaquant a modifié le RIB de prélèvement et détourné 18 000 € de cotisations.

Directrice administrative — Paris, 2024

"J'ai reçu un email de mon 'PDG' en déplacement me demandant de faire un virement urgent de 35 000 €. L'adresse ressemblait exactement à la sienne avec juste un point en plus. Sans formation, j'aurais validé."

Votre entreprise est-elle vraiment protégée ?

Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.

Démarrer mon diagnostic →