🎓 Sensibilisation·6 min read

Phishing 2026 : 7 signaux pour repérer un email piégé en 30 secondes

7 signaux concrets pour reconnaître un email de phishing en 2026 et le plan en 4 étapes à suivre si un employé a déjà cliqué sur le lien.

Maya
Sensibilisation & formation · published on April 24, 2026

TL;DR

Le phishing reste la première porte d'entrée des cyberattaques contre les PME françaises. En 2026, les emails piégés imitent à la perfection vos fournisseurs grâce à l'IA générative. Voici 7 signaux à vérifier en 30 secondes avant de cliquer, et le plan en 4 étapes si quelqu'un de votre équipe est tombé dans le piège.

Pourquoi le phishing reste l''attaque n°1 en France

Selon le panorama ANSSI 2024, entre 70 % et 80 % des cyberattaques contre les PME françaises commencent par un email frauduleux. Ce n''est pas un hasard : envoyer un mail coûte moins de 1 centime, et il suffit qu''une seule personne sur 100 clique pour que l''opération soit rentable pour l''attaquant.

Les attaquants ne ciblent pas les PME au hasard. Ils achètent des bases d''emails professionnels (parfois directement sur des forums dédiés), recoupent avec LinkedIn pour trouver le ou la comptable, le ou la dirigeant·e, puis envoient un message ultra-ciblé. C''est ce qu''on appelle le spear-phishing.

La vraie surprise en 2025-2026, c''est l''arrivée massive de l''IA générative côté attaquants. Avant, on repérait un phishing à ses fautes d''orthographe et son ton bizarre. Aujourd''hui, l''email est dans un français impeccable, calque le style de votre fournisseur habituel, et utilise même le bon prénom de votre interlocuteur.

Les 7 signaux à vérifier en 30 secondes

Avant de cliquer sur un lien ou ouvrir une pièce jointe, prenez l''habitude de balayer ces 7 points. Ça prend 30 secondes et ça évite la quasi-totalité des phishings courants.

  1. L''adresse réelle de l''expéditeur (pas juste son nom affiché). Cliquez sur le nom : Compta Société peut cacher compta-societe@gmail-secure.xyz. Si le domaine n''est pas exactement celui que vous connaissez, méfiance.
  2. L''urgence artificielle : « réponse avant 17h », « facture impayée », « accès suspendu sous 24h ». Le but est de court-circuiter votre réflexion.
  3. Une pièce jointe inattendue, surtout en .exe, .zip, .iso, ou .docm. Un fournisseur qui n''envoie jamais de PDF qui d''un coup vous balance un Word avec macros, c''est suspect.
  4. Un lien qui ne mène pas où il prétend. Survolez le lien (sans cliquer) : l''URL réelle apparaît en bas de votre client mail. Si le bouton dit banque-populaire.fr mais l''URL est banquepopulaire-secure.com, c''est un phishing.
  5. Une salutation trop générique (« Cher client », « Bonjour Madame ») venant de quelqu''un qui vous tutoie habituellement.
  6. Toute demande qui touche à l''argent : changement de RIB, virement urgent, paiement d''une facture nouvelle. Règle d''or : on appelle TOUJOURS avant de payer.
  7. Un ton inhabituel de la part d''un contact connu — même si l''email semble parfait, fiez-vous à votre instinct. Quand un fournisseur d''habitude formel vous écrit avec un ton pressant ou flatteur, ça doit déclencher une vérification.

Le nouveau piège : emails IA qui ressemblent à vos fournisseurs habituels

C''est le principal changement de 2025-2026 : l''IA générative permet à un attaquant de produire en quelques minutes un email qui calque parfaitement le style de votre comptable, de votre prestataire informatique ou de votre banque. Plus de fautes, plus de tournures bizarres, plus de signature mal copiée.

Comment ça marche concrètement

L''attaquant collecte 5-10 emails publics de votre fournisseur (newsletter, signature LinkedIn, communication client) et demande à un modèle d''IA de générer un nouvel email « dans le même style ». En 30 secondes, le résultat est crédible. Combiné avec un domaine qui ressemble (paypal-fr.com au lieu de paypal.com), l''effet est redoutable.

Ce qui ne change pas

Deux choses restent : le domaine de l''expéditeur et l''URL des liens. L''IA ne peut pas vous écrire depuis l''adresse réelle de votre fournisseur (sauf compromission de boîte mail, autre histoire). Et un lien de phishing pointera toujours vers un domaine contrôlé par l''attaquant.

La parade : pour toute demande sensible (paiement, changement de coordonnées, partage de données), décrochez le téléphone. Le contact connu, sur le numéro que vous avez déjà, pas celui qui figure dans l''email.

Quelqu''un a cliqué : le plan d''action en 4 étapes

Pas de panique, mais agissez vite. Plus on traîne, plus l''attaquant a le temps de pivoter ailleurs dans votre système.

  1. Déconnectez le poste du réseau dans la minute (câble Ethernet débranché ou Wi-Fi désactivé). Si un malware a été téléchargé, on l''empêche de communiquer avec son serveur de contrôle. Ne redémarrez pas — gardez l''état de la machine pour l''analyse.
  2. Changez les mots de passe depuis un autre poste sain : email, banque pro, services cloud (Microsoft 365, Google Workspace, Salesforce, Stripe…). Activez le MFA partout où ce n''est pas déjà fait.
  3. Surveillez les comptes pendant 7 jours : connexions inhabituelles, virements, changements de RIB fournisseurs, règles de redirection email créées (les attaquants en mettent souvent pour intercepter vos réponses).
  4. Déclarez si des données personnelles ont fuité (clients, salariés, candidats…). La CNIL impose 72h entre la prise de conscience et la notification. Tenir un registre interne de l''incident, même si vous estimez qu''il n''y a pas eu de fuite.

Si vous avez un MSP ou un prestataire cyber, appelez-le immédiatement après l''étape 1. Pas demain matin. Le temps est l''ennemi numéro un dans ces 24 premières heures.

Trois habitudes à instaurer dans votre équipe cette semaine

La sensibilisation, c''est comme la sécurité incendie : un exercice annuel ne suffit pas. Voici trois actions concrètes que vous pouvez lancer dès cette semaine, sans budget.

  • Un faux phishing trimestriel. Plusieurs services gratuits envoient des emails de simulation à votre équipe, mesurent qui clique, puis affichent une page pédagogique. Ça crée un réflexe collectif de vigilance.
  • La règle « j''appelle avant de payer ». Toute modification de RIB ou de virement urgent passe par un appel téléphonique sur le numéro connu, pas celui de l''email. Inscrire cette règle dans votre charte interne.
  • Le MFA partout, sans exception. Email, banque pro, services cloud, accès admin du site. Si un compte est compromis sans MFA, l''attaquant a directement les clés. Avec MFA, il a 1 % de chances de réussir.

Et côté outil, n''oubliez pas que l''audit gratuit CyberTool vérifie en 5 secondes si votre site web a les bons en-têtes anti-spoofing email (SPF, DKIM, DMARC) — ce sont eux qui empêchent les attaquants d''usurper votre propre domaine pour piéger vos clients.

Frequently asked questions

Comment reconnaître un email de phishing en 2026 ?

Vérifiez en priorité 3 choses en moins de 30 secondes : l''adresse réelle de l''expéditeur (pas juste le nom affiché), l''URL réelle des liens (en survolant sans cliquer), et la cohérence avec vos échanges habituels. En 2026, les fautes d''orthographe ne sont plus un signal fiable car l''IA générative produit du français parfait. Le seul bon réflexe pour une demande sensible (virement, changement de RIB, partage de données) reste de décrocher le téléphone et appeler le contact sur son numéro connu.

Que faire si un employé a cliqué sur un lien de phishing ?

Quatre étapes dans l''ordre : 1) Déconnecter le poste du réseau immédiatement (câble Ethernet ou Wi-Fi off), sans redémarrer. 2) Changer tous les mots de passe depuis un autre poste sain, en activant le MFA. 3) Surveiller les comptes critiques pendant 7 jours (banque, mail, cloud) et vérifier qu''aucune règle de redirection email n''a été créée. 4) Notifier la CNIL sous 72h si des données personnelles ont pu fuiter. Si vous avez un MSP, appelez-le tout de suite après l''étape 1.

Faut-il déclarer un phishing à la CNIL ?

Vous devez notifier la CNIL dans les 72 heures uniquement si la tentative a abouti à une violation de données personnelles : compte compromis donnant accès à des fichiers clients, salariés ou prospects. Une simple tentative interceptée n''oblige à rien, mais nous recommandons de tenir un registre interne (date, expéditeur, ce qui a été cliqué ou non). Si vous hésitez, mieux vaut notifier : la CNIL ne sanctionne pas les notifications préventives de bonne foi.

Combien coûte une attaque par phishing à une PME française ?

Le coût médian d''un incident phishing pour une PME française se situe entre 5 000 € et 50 000 €, selon les chiffres ANSSI et CESIN 2024. Le poste principal n''est pas la rançon (quand il y a ransomware) mais la perte d''activité pendant la remise en route, plus les coûts de notification CNIL et la communication aux clients impactés. Le seul vrai investissement préventif rentable, c''est la sensibilisation continue de l''équipe — moins de 1 000 € par an pour une PME de 20 personnes.

Mon antivirus ne bloque-t-il pas tous les phishings ?

Non, et c''est important de le savoir. Les antivirus repèrent les pièces jointes malveillantes connues, mais un email de phishing classique est juste du texte avec un lien — rien à détecter pour un antivirus. Les filtres anti-spam des suites professionnelles (Microsoft 365, Google Workspace) bloquent une partie, mais un phishing ciblé bien rédigé passe au travers. La sensibilisation des humains reste la meilleure ligne de défense, complétée par le MFA qui rend une fuite de mot de passe quasi inexploitable.

Related reading