Sécurité 22 avril 2026 · 8 min de lecture

Comment reconnaître un mail de phishing et ne pas se faire avoir en 2026

Q: Le phishing concerne-t-il aussi les petites entreprises ?

Oui, et de plus en plus. Les TPE/PME sont des cibles privilégiées car elles ont souvent moins de protections. En 2025, 75% des cyberattaques ciblaient des entreprises de moins de 250 salariés selon l'ANSSI.

Q: Comment protéger son entreprise contre le phishing ?

Configurez SPF, DKIM et DMARC sur votre domaine email, formez vos collaborateurs, activez la double authentification sur tous les comptes, utilisez un filtre anti-spam professionnel, et définissez une procédure de vérification pour les virements demandés par email.

Le phishing (hameçonnage) représente 80% des cyberattaques en France. Chaque jour, particuliers et entreprises se font piéger par des emails qui semblent légitimes. Voici le guide complet pour les reconnaître et ne jamais mordre à l'hameçon.

1. Qu'est-ce que le phishing ?

Le phishing est une escroquerie où un cybercriminel imite une organisation connue (banque, Ameli, impôts, Amazon…) pour vous pousser à cliquer sur un lien frauduleux ou divulguer des informations confidentielles. L'objectif : voler vos identifiants, coordonnées bancaires, ou installer un malware.

2. Les 8 signes d'un mail de phishing

Exemple d'email de phishing analysé :

De : service-client@credit-agricole-securite.fr ← domaine suspect

Objet : ⚠ URGENT — Votre compte va être suspendu dans 24h ← urgence artificielle

Lien : http://credit-agricoIe.fr/connexion ← 'I' majuscule à la place du 'l'

Adresse expéditeur suspecte : nom affiché correct mais domaine frauduleux (@amazon-service.fr au lieu de @amazon.fr)
Urgence artificielle : "Votre compte sera clôturé", "Action requise dans 24h"
Lien douteux : survolez sans cliquer pour voir l'URL réelle en bas de votre navigateur
Fautes d'orthographe ou formulations maladroites (bien que les emails deviennent de plus en plus soignés)
Pièce jointe non sollicitée (.zip, .docx, .pdf avec macros)
Demande d'informations confidentielles — aucune vraie banque ne demande votre mot de passe par email
Logo correct mais mise en page décalée
Email reçu sur une adresse professionnelle alors que vous n'êtes pas client de l'expéditeur

3. Les arnaques les plus courantes en 2026

L'arnaque au faux virement (BEC)

Un email prétend venir de votre directeur ou d'un fournisseur et demande un virement urgent sur un nouveau RIB. Coût moyen : 110 000€ par incident. Règle absolue : toute demande de virement inhabituelle doit être vérifiée par téléphone (numéro connu, pas celui de l'email).

Le faux support Microsoft / Orange / SFR

Une popup ou un email indique que votre PC est infecté et invite à appeler un numéro surtaxé. Fermez simplement la fenêtre. Microsoft et les opérateurs ne contactent jamais ainsi.

La fausse facture

Un email contient une "facture" en pièce jointe. L'ouverture installe un malware. Si vous n'attendez pas de facture, n'ouvrez pas. Activez la protection contre les macros dans Office.

Le phishing Ameli / Impôts / CAF

Email annonçant un remboursement ou contrôle fiscal, avec un lien vers un faux site. Ameli et les impôts envoient les courriers importants par voie postale et n'envoient jamais de lien vers une page de paiement par email.

4. Que faire si vous avez cliqué sur un lien de phishing

Ne saisissez aucune information — fermez la page immédiatement
Changez vos mots de passe depuis un autre appareil
Activez la double authentification (2FA) sur tous vos comptes
Lancez une analyse antivirus complète
Signalez sur signal-spam.fr et phishing-initiative.fr
Si informations bancaires saisies : contactez votre banque immédiatement

✓ Conseil pro : Activez la double authentification (2FA) partout. Même si un pirate obtient votre mot de passe, il ne peut pas se connecter sans le code envoyé sur votre téléphone.

5. Protéger votre entreprise contre le phishing

Mesures techniques

SPF, DKIM et DMARC : ces 3 enregistrements DNS protègent votre domaine contre l'usurpation. Sans eux, n'importe qui peut envoyer des emails "de votre part"
Filtre anti-spam professionnel : Microsoft 365 Defender ou Google Workspace intègrent des filtres avancés
Authentification multi-facteurs (MFA) sur tous les comptes Microsoft 365, Google Workspace et VPN

Mesures humaines

Former les collaborateurs avec des simulations de phishing (outil gratuit : GoPhish)
Procédure de vérification pour tout virement ou accès sensible demandé par email
Canal de signalement interne pour que les employés reportent les mails suspects

Sécurisez la messagerie de votre entreprise dans la Drôme

Configuration SPF/DKIM/DMARC · Formation anti-phishing · Audit sécurité email gratuit

Découvrir la sécurité informatique

FAQ — Phishing et arnaques par email

Comment reconnaître un mail de phishing ?

Les signes : expéditeur avec un domaine suspect, urgence artificielle, lien qui ne pointe pas vers le vrai domaine, pièce jointe non sollicitée, demande d'informations confidentielles. Survolez toujours les liens avant de cliquer pour vérifier l'URL.

Que faire si on a cliqué sur un lien de phishing ?

1) Ne saisissez aucune information. 2) Fermez la page. 3) Changez vos mots de passe depuis un autre appareil. 4) Activez le 2FA. 5) Signalez sur signal-spam.fr. 6) Si données bancaires saisies, contactez votre banque immédiatement.

Le phishing concerne-t-il aussi les petites entreprises ?

Oui — 75% des cyberattaques ciblaient des entreprises de moins de 250 salariés en 2025 selon l'ANSSI. Les TPE/PME sont des cibles privilégiées car elles ont souvent moins de protections.

Comment protéger son entreprise contre le phishing ?

Configurez SPF, DKIM et DMARC sur votre domaine, formez vos collaborateurs, activez la double authentification partout, utilisez un filtre anti-spam professionnel, et définissez une procédure de vérification pour les virements demandés par email.